Functionaris Gegevensbescherming AVG alleen bij meer dan 250 werknemers?

15 november 2017 Door: Richard Beverwijk

In de nieuwe Algemene Verordening Gegevensbescherming (AVG) staat dat bepaalde organisaties een Functionaris Gegevensbescherming (FG) moeten aanstellen. Een veel voorkomend misverstand is dat de aanwijzing van deze FG verplicht zou zijn voor iedere onderneming of organisatie die meer dan 250 personen in dienst heeft. Dat is niet juist.
Artikel 37 van de AVG bepaalt dat de volgende organisaties die persoonsgegevens verwerken een FG moeten aanwijzen:
  • overheidsorganen, met uitzondering van gerechtelijke instanties;
  • de verwerkingsverantwoordelijke of de verwerker die hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen eisen;
  • de verwerkingsverantwoordelijke of de verwerker die hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld medische gegevens, strafrechtelijke gegevens en gegevens over ras, afkomst of politieke voorkeur).
De tweede bullet (‘regelmatige en stelselmatige observatie’ ) is vrij vaag, maar gelukkig worden er in de toelichting op de AVG voorbeelden genoemd van de verwerkingen die hieronder vallen: verwerking van data (inhoud, verkeer of locatie) door telefoon- of internet service providers, verwerking van GPS-gegevens door mobiele apps en de verwerking van camerabeelden (CCTV).
In ieder geval is het criterium van minimaal 250 werknemers niet van toepassing op de verplichting om een FG aan te wijzen. Dit minimumaantal geldt alleen voor de registratieverplichting van de verantwoordelijke en de verwerker ingevolge artikel 30 AVG.
Maar voor een aantal verwerkingen geldt geen minimaal aantal werknemers: de verwerking die een risico inhoudt voor de rechten en vrijheden van de betrokkene, niet-incidentele verwerking van persoonsgegevens, verwerking van gegevens de behoren tot de hierboven genoemde bijzondere categorieën en de  verwerking van strafrechtelijk gegevens. Voor deze uitzonderingen geldt dat registratie altijd verplicht is, ook indien de onderneming of organisatie minder dan 250 personen in dienst heeft.