Aanstelling van een data protection officer (DPO) is in drie situaties verplicht, zo staat in artikel 37 van de Verordening:
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan. Gerechtelijke instanties zijn uitgezonderd;
- een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen. Erg duidelijk is dit criterium niet. Voorbeelden zijn: het profileren van mensen voor het maken van risico-inschattingen, gevallen waarin sprake is van cameratoezicht en monitoring. Te denken valt ook aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics). Verdere voorbeelden zijn het verwerken van patiëntendata door ziekenhuizen; het verzamelen van reisdata van burgers op de bus; het verwerken van klantendata door een verzekeraar of bank; het verwerken van persoonlijke data voor ‘behavioural advertising’. Om te beslissen of een organisatie al dan niet data verwerkt op grote schaal, moet worden gekeken naar het aantal datasubjecten, het volume van de data, de tijdsduur waarin de data wordt verwerkt en het geografisch gebied van het verwerken,
- Als men op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, seksuele aard, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden .
Meer weten? Neem contact op met Annelies ten Hove, ath@tenhoveadvocatuur.com
