Moeten alle vzw’s een DPO aanduiden?

Unisoc heeft de afgelopen periode meerdere contacten gehad met de Gegevensbeschermingsautoriteit (de GBA, de vroegere Commissie ter bescherming van de persoonlijke levenssfeer) over de nieuwe privacywet. De GBA geeft aan dat elke vzw die hoofdzakelijk gefinancierd wordt door de overheden of waarvan het merendeel van de leden van de raad van bestuur aangesteld is door de overheden, als een overheid moet beschouwd worden in het kader van de GDPR-regelgeving. De consequentie daarvan is dat al deze vzw’s een data protection officer (DPO) moeten aanstellen. Een beslissing die Unisoc altijd betwist heeft.

DPO

De nieuwe Europese GDPR-regelgeving (Algemeen Verordening Gegevensbescherming in het Nederlands) die op 25 mei 2018 in werking is getreden, voorziet in de verplichting voor de overheden of de overheidsorganen en bepaalde private ondernemingen om een DPO aan te duiden. Dit is eigenlijk een adviseur die de organisatie helpt bij het controleren of de verschillende activiteiten gebeuren met inachtneming van de regels over de bescherming van persoonsgegevens.

Na de inwerkingtreding van de GDPR-regelgeving heeft het federale parlement een nieuwe privacywet gestemd (wet van 30 juli 2018, hierna kortweg nieuwe wet genoemd). Deze wet herneemt in haar artikel 5 een definitie voor de notie “overheid” (deze notie bestaat ook al in artikel 37.1.a) van de Europese GDPR-regelgeving).

Na dit onderzocht te hebben, oordeelt Unisoc dat het artikel 5 van de nieuwe wet slechts op de nieuwe wet zelf van toepassing is, en niet van toepassing is op andere regelgevende bronnen (zoals de GDPR zelf).

Bijgevolg heeft Unisoc contact opgenomen met de Gegevensbeschermingsautoriteit (instelling die belast is met het controleren of de GDPR en de verschillende regelgeving inzake privacy toegepast worden) om een bevestiging te krijgen dat de definitie van artikel 5 van de nieuwe privacywet beperkt blijft tot de wet zelf en niet bekeken moet worden als een algemene verplichting voor alle vzw’s die hoofdzakelijk gefinancierd worden door publieke overheden om een DPO aan te stellen (deze verplichting lijkt niet in lijn met de bedoeling van de Europese regelgever).

Spijtig genoeg heeft de GBA onze argumenten verworpen, en heeft ze geoordeeld dat de notie “overheid” uit de nieuwe privacywet ook gebruikt moet worden voor de toepassing van artikel 37.1.a) van de GDPR-verordening. In onderliggende orde had Unisoc aan de GBA gevraagd om de controles die dienaangaande gevoerd worden uit te stellen, en de sector op die manier de tijd te geven om een politieke oplossing te zoeken. Ook deze vraag werd verworpen.

Unisoc neemt akte van deze beslissing en kan daarom niet anders dan elke vzw aanraden om een DPO aan te stellen indien ze binnen de criteria van artikel 5 van de nieuwe privacywet vallen. Zo worden sancties vermeden wanneer een controle zou plaatsvinden of een klacht ingediend zou worden. Unisoc zal met de nieuwe regering hierover opnieuw in contact treden, opdat voor deze vergaande verplichting een oplossing gevonden kan worden.

Om af te sluiten herinneren we er aan dat om de administratieve en financiële lasten te beperken, er voor gekozen kan worden om één DPO aan te stellen voor meerdere vzw’s (een mutualisering): artikelen 37.2 en 37.3 van de GDPR voorzien hierin. Op deze manier kan de impact van de nieuwe regelgeving ietwat ingeperkt worden.

 

Terug naar themafiche