Vraagstuk
Dit vraagstuk blijkt ook de Nederlandse privacy toezichthouder, de Autoriteit Persoonsgegevens (AP), te hebben bereikt die hier onlangs nadere uitgangspunten over heeft gepubliceerd. In deze blog leest u welke taken een FG heeft en wat van de organisatie en de FG verwacht wordt op basis van de privacywetgeving, kaders van de Artikel 29 Werkgroep en de uitgangspunten van de AP.
Taken van de FG
De FG heeft de volgende taken:
- Het informeren en adviseren van de organisatie over de toepassing en naleving van de privacywetgeving en het houden van toezicht hierop;
- Het geven van advies over Data Protection Impact Assessments (DPIA’s);
- Het optreden als contactpunt voor, en samenwerken met, de AP;
- Het op verzoek, contact hebben met betrokkenen over de verwerking van hun persoonsgegevens en hun privacy rechten;
- Het aanjagen en stimuleren van privacy bewustzijn binnen de organisatie;
- Het rapporteren aan de AP wanneer hij/zij in het uitvoeren van zijn/haar werkzaamheden wordt belemmerd.
Kenmerken van de FG
Om de taken die aan een FG toebehoren goed te kunnen uitvoeren dient een FG de volgende kenmerken te bezitten:
- Deskundigheid op het gebied van de privacywetgeving;
- Kennis over de organisatie;
- Zichtbaarheid en vindbaarheid binnen de organisatie en voor betrokkenen;
- Het nemen van ruimte, zoals het aanspreken van het hoogste bestuurlijke niveau van de organisatie, wanneer dit nodig is;
- Het bezitten van persoonlijke kwaliteiten, zoals integriteit en een hoge mate van professionele ethiek.
Verwachtingen ten aanzien van de organisatie
De organisatie moet de volgende zaken borgen om de FG in de gelegenheid te stellen om zijn/haar werk goed te kunnen uitvoeren:
- Het tijdig betrekken van de FG bij relevante aangelegenheden, zodat deze o.a. kan adviseren over de toepassing van Privacy by Design;
- Het verschaffen van benodigde toegang en het ter beschikking stellen van voldoende middelen (waaronder budget);
- Het waarborgen van de onafhankelijkheid van de FG, door het niet geven van instructies over zijn/haar werkzaamheden en het niet straffen of ontslaan hiervoor;[1]
- Het niet laten verrichten van andere werkzaamheden door de FG waardoor een belangenconflict kan ontstaan (zoals het vervullen van een rol waarin hij/zij (operationele) verantwoordelijkheid draagt voor gegevensverwerkingen);
- Het bieden van de mogelijkheid aan de FG om het hoogste bestuurlijke niveau van de organisatie te kunnen aanspreken als hij/zij dat nodig vindt;
- De FG enkel te vragen om op te treden als contactpunt voor de organisatie, en niet te laten spreken namens de organisatie (i.v.m. de onafhankelijkheid).
Vragen?
Heeft u behoefte aan advies over de positie van de FG binnen uw organisatie, aan een externe FG of aan ondersteuning van uw FG? Neem dan gerust contact op.
Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity
[1] NB: Een FG heeft vergelijkbare ontslagbescherming als een lid van de ondernemingsraad.