Vragen over: verplichte aanstelling FG en instemmingsrecht OR
De Algemene verordening gegevensverwerking (AVG) stelt het in sommige gevallen verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Daarbij kan ook de ondernemingsraad (OR) een belangrijke rol spelen.
Sommige organisaties moeten met de inwerkingtreding van de AVG per 25 mei 2018 met een functionaris voor de gegevensbescherming (FG) werken. Een FG ziet erop toe dat een organisatie zich aan de AVG houdt.
Wanneer zijn organisaties verplicht om een FG aan te stellen?
Hoewel het aanstellen van een FG soms verplicht is, kunnen werkgevers zonder verplichting ook besluiten om een FG aan te wijzen. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin (artikel 37 AVG):
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken.
- een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
- de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
Heeft de ondernemingsraad (OR) instemmingsrecht?
De OR heeft instemmingsrecht over het privacybeleid voor zover het beleid het interne toezicht van de gegevensbescherming van de werknemers raakt (artikel 27, lid 1k van de Wet op de ondernemingsraden). Heeft de (invulling van de) functie van de FG gevolgen voor het privacyreglement en wordt dit gewijzigd, dan heeft de OR instemmingsrecht op de wijziging van het reglement.
Mag de OR de rol van de FG op zich nemen?
De wet stelt dat een FG een natuurlijk persoon moet zijn. Een OR of commissie komt hiervoor dus niet in aanmerking. Ook moet hij voldoende kennis hebben van de organisatie en de privacywetgeving en betrouwbaar zijn in verband met de (geheimhoudingsplicht).