Er is een belangrijke vernieuwing in de General Data Protection Regulation (GDPR): een paar weken geleden heeft de Bondsdag de drempel voor de aanstelling van een functionaris voor gegevensbescherming in bedrijven verdubbeld. Dit is bedoeld om kleine bedrijven te verlossen van bureaucratie.
De GDPR is nu meer dan een jaar van kracht en er is nu een interessante verandering met betrekking tot de functionaris voor gegevensbescherming (DPO). De verplichting om een functionaris voor gegevensbescherming aan te stellen, hangt nog steeds af van het aantal werknemers dat constant te maken heeft met de geautomatiseerde verwerking van persoonsgegevens.
Oorspronkelijk werd gezegd dat als 10 werknemers constant te maken hebben met de geautomatiseerde verwerking van persoonsgegevens, een functionaris voor gegevensbescherming noodzakelijk is. Met het nieuwe wetsontwerp is deze drempel verhoogd tot 20 werknemers. Dit is bedoeld om de lasten voor met name kleine ondernemingen en verenigingen te verlichten. Voorstanders van de nieuwe drempel stellen dat 90 procent van de ambachtelijke ondernemingen er baat bij zou hebben en dat een enorme vermindering van de bureaucratie mogelijk is. Anderzijds beschouwen critici zoals de federale commissaris voor gegevensbescherming Ulrich Kelber het als een “verkeerde maatregel die de handhaving van het hoge niveau van gegevensbescherming in Duitsland ernstig in gevaar zou kunnen brengen”. “Het zou wenselijk zijn dat de regering de huidige evaluatie van de Algemene Verordening Gegevensbescherming gebruikt om gegevensbescherming zo praktisch en risicogericht mogelijk te maken,” zegt Patrycja Tulinska, IT-beveiligingsexpert en managing director van PSW Group Consulting. Tulinska legt uit welke gevolgen de wetswijziging zou hebben voor ondernemingen in de praktijk: “Voor de wetgever wordt iemand als werknemer in vaste dienst beschouwd als hij of zij permanent verantwoordelijk is voor het klanten- of personeelsbeheer. Mensen die zich bijvoorbeeld als handwerkslieden of werknemers in de productie alleen bezighouden met namen en adressen van klanten, zijn daar niet permanent mee bezig.
Geautomatiseerde gegevensverwerking betekent het verzamelen, verwerken en gebruiken van persoonsgegevens met behulp van gegevensverwerkingsapparatuur. Dat kunnen dus computers, smartphones of servers zijn, maar ook een fotokopieerapparaat als dat met een opslagmedium werkt.” De nieuwe drempel geldt echter niet voor bedrijven die persoonsgegevens verwerken die bijdragen tot de beoordeling van de persoonlijkheid van de betrokkene, zijn prestaties of zijn gedrag.
“Dit zou bijvoorbeeld gevolgen hebben voor een audicien of een orthopedisch monteur. Persoonsgegevens worden door hen verwerkt en gebruikt om de betrokkene te evalueren. Daarom moeten zij een functionaris voor gegevensbescherming benoemen, zelfs als zij onder de drempel vallen,” voegt Tulinska eraan toe. Hetzelfde geldt voor bedrijven die soevereine taken uitvoeren, zoals de schoorsteenveger.