De aanwijzing  van een functionaris voor gegevensbescherming is verplicht:

• als de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht
• als de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatig en stelselmatige observatie op grote schaal van betrokkenen vereisen
• als de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten

Kerntaken kunnen worden beschouwd als de belangrijkste handelingen die gesteld worden met het oog op het bereiken van de doelstellingen van de verwerkingsverantwoordelijke of de verwerker. Deze omvatten ook alle activiteiten waarbij het verwerken van gegevens onlosmakelijk deel uitmaakt van de activiteit van de verwerkingsverantwoordelijke of de verwerker.

De term “regelmatige en stelselmatige observatie” van betrokkenen wordt niet gedefinieerd in de AVG, maar omvat duidelijk alle vormen van opsporing en profilering op internet, ook met het oog op gedragsgerelateerde publiciteit. Het begrip “observatie” beperkt zich echter niet tot het internet.

Regelmatig kan o.a. als volgt worden geïnterpreteerd:

• Iets wat doorlopend of op specifieke ogenblikken gedurende een bepaalde periode voorkomt;
• Terugkerend of repetitief op vaste tijdstippen;
• Iets wat zich constant of periodiek voordoet.

Stelselmatig kan o.a. als volgt worden geïnterpreteerd:

• Iets wat zich volgens een systeem voordoet;
• Vooraf geregeld, georganiseerd of methodisch,
• Iets wat zich voordoet in het kader van een algemeen programma voor gegevensverzameling;
• Iets wat wordt uitgevoerd in het kader van een strategie.

In de AVG wordt niet gedefinieerd wat precies wordt bedoeld met “op grote schaal”. In het algemeen wordt geadviseerd met de volgende factoren rekening te houden bij het bepalen of de verwerking op grote schaal wordt uitgevoerd:

• Het aantal betrokkenen waarover het gaat;
• De hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems;
• De duur of permanentie van de gegevensverwerking;
• De geografische omvang van de verwerkingsactiviteit.

Ja.

Een concern kan één enkele functionaris voor gegevensbescherming aanstellen, op voorwaarde dat deze persoon “vanuit elke vestiging makkelijk te contacteren is”. 

Ja.

De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten. Dit betekent dat de functionaris voor gegevensbescherming ook een derde kan zijn die zijn/haar functie uitoefent op basis van een dienstverleningsovereenkomst die met een individu of organisatie wordt afgesloten

De functionaris voor gegevensbescherming moet over de nodige middelen beschikken om zijn/haar taken te kunnen uitvoeren. Afhankelijk van de aard van de verwerkingen, de activiteiten en omvang van de organisatie moeten aan de functionaris voor gegevensbescherming de volgende middelen ter beschikking worden gesteld:

• Actieve ondersteuning van de functionaris voor gegevensbescherming door het hoger management;
• Voldoende tijd voor de functionaris voor gegevensbescherming om hun taken te vervullen;
• Adequate ondersteuning op het vlak van financiële middelen, infrastructuur (kantoren, faciliteiten, apparatuur) en personeel waar van toepassing
• Officiële bekendmaking van de aanstelling van de functionaris voor gegevensbescherming aan alle personeelsleden;
• Toegang tot andere diensten binnen de organisatie, zodat de functionaris voor gegevensbescherming van die andere diensten de benodigde essentiële ondersteuning, bijstand of informatie kan ontvangen;
• Voortgezette opleiding.

Nee.

Functionarissen voor gegevensbescherming zijn niet persoonlijk verantwoordelijk voor de niet-naleving van de vereisten inzake gegevensbescherming. Het is de verwerkingsverantwoordelijke of de verwerker die moet verzekeren en kunnen aantonen dat de verwerking in overeenstemming met de AVG is uitgevoerd. Naleving inzake gegevensbescherming behoort tot de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.

Voor de DPIA moet de verwerkingsverantwoordelijke of de verwerker aan de functionaris voor gegevensbescherming advies vragen in onder andere de volgende situaties:

• Of er al dan niet een DPIA moet worden uitgevoerd;
• Welke methodologie bij een DPIA moet worden gevolgd;
• Of de DPIA intern uitgevoerd of uitbesteed moet worden;
• Welke waarborgen (waaronder technische en organisatroische maatregelen) moeten worden toegepast om eventuele risico’s voor de rechten en belangen van de betrokkenen te beperken;
• Of de DPIA al dan niet correct is uitgevoerd en of de conclusies (e verwerking al dan niet uitvoeren en welke waarborgen toepassen) al dan niet in overeenstemming zijn met de vereisten inzake gegevensbescherming.

Voor het Register van de verwerkingsactiviteiten is het de verwerkingsverantwoordelijke of de verwerker en niet de functionaris voor gegevensbescherming die deze registers moet bijhouden. Niets weerhoudt de verwerkingsverantwoordelijke of de verwerker er echter van om de functionaris voor gegevensbescherming te belasten met het bijhouden van de registers van de verwerkingsactiviteiten, onder toezicht van de verwerkingsverantwoordelijke of de verwerker.