Rina Steenkamp - Privacy en technologie
Paragraaf 2. De functionaris voor de gegevensbescherming
- wanneer de voor de verwerking verantwoordelijke, overeenkomstig het nationale recht waaraan hij is onderworpen, een functionaris voor de gegevensbescherming aanwijst die met name
- op onafhankelijke wijze toezicht uitoefent op de toepassing binnen de organisatie van de krachtens deze richtlijn getroffen nationale maatregelen,
- een register bijhoudt van de door de voor verwerking verantwoordelijke verrichte verwerkingen, waarin de in artikel 21, lid 2, bedoelde gegevens opgenomen zijn,
en er aldus voor zorgt dat inbreuk op de rechten en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is.
Deze artikelen gaan uit van een individuele functionaris. Daar waar er privacy-commissies werkzaam zijn, is het dus nodig dat één van de leden de verantwoordelijkheid op zich neemt voor het uit te oefenen toezicht. Hij kan zich laten vertegenwoordigen door anderen; bijvoorbeeld leden van een privacy-commissie. Dit laat de verantwoordelijkheid van de individueel aangewezen functionaris onverlet.
De toezichthoudende functionaris moet aan bepaalde vereisten voldoen. Hij moet bijvoorbeeld over toereikende kennis beschikken. Hieronder wordt verstaan kennis van de organisatie, de gegevensverwerkingen die zich binnen de organisatie afspelen, de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Ook moet hij voldoende betrouwbaar worden geacht. Deze betrouwbaarheid uit zich bijvoorbeeld in het vermogen alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen. De functionaris moet in staat zijn op een juiste en zorgvuldige wijze gebruik te maken van zijn bevoegdheden zoals geregeld in afdeling 5.2 van de Algemene wet bestuursrecht.
De Registratiekamer moet op de hoogte gebracht worden van de naam van deze functionaris. De Registratiekamer moet namelijk met hem contact kunnen onderhouden in geval navraag wordt gedaan over gegevensverwerkingen die niet zijn vrijgesteld. Een melding van gegevensverwerkingen bij deze functionaris lijkt zinvol en kan in de plaats komen van die aan de Registratiekamer. Verantwoordelijken hebben daarmee de keuze, hetzij te melden bij een functionaris in eigen dienst, hetzij bij de van overheidswege benoemde functionaris: de Registratiekamer.
Overigens laat de benoeming van een toezichthouder de toezichthoudende bevoegdheden van de Registratiekamer onverlet. De toezichthouder vervangt de Registratiekamer slechts voor wat betreft de meldingen van de meldingsplichtige gegevensverwerkingen. Dit laat onverlet dat ook niet-meldingsplichtige gegevensverwerkingen bij de functionaris kunnen worden aangemeld. Dit ligt eerder in de rede bij een functionaris die door een individuele verantwoordelijke is aangemeld. De functionaris pleegt een overzicht te hebben van de verwerkingen binnen de organisatie of de branche. Met de melding van de niet-meldingsplichtige gegevensverwerkingen kan de functionaris een totaalbeeld van alle verwerkingen krijgen. Deze melding komt de transparantie ten goede, mede omdat vanuit een dergelijk totaalbeeld op het niveau van de individuele verantwoordelijke, makkelijk een antwoord gegeven kan worden op vragen naar de gegevensverwerkingen van de verantwoordelijke.
De richtlijn stelt twee eisen aan de functionaris: allereerst dient het toezicht op een wijze te worden uitgeoefend dat het op onafhankelijke wijze plaatsvindt en ten tweede dat de inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is. Daar de regeling is opgesteld tegen de achtergrond van de Duitse wet, zijn de waarborgen in die wet die gelden voor interne toezichthouders, grotendeels overgenomen in het onderhavige wetsvoorstel. De bepalingen in het derde tot en met vijfde lid moeten in dat licht worden gezien. Om zijn toezicht daadwerkelijk te kunnen uitoefenen, is het noodzakelijk dat de functionaris over adequate bevoegdheden beschikt, zoals bijvoorbeeld toegang tot alle systemen waar mogelijk gegevens worden verwerkt. Daartoe is in het wetsvoorstel opgenomen dat de verantwoordelijke of de organisatie door wie de functionaris is aangesteld er voor zorg dient te dragen dat hij vergelijkbare bevoegdheden heeft als de Registratiekamer op grond van Afdeling 5.2 Awb. Het ligt in de rede dat deze schriftelijk worden vastgelegd. In de gekozen constructie ligt besloten dat de functionaris voor de gegevensbescherming niet wordt beschouwd als een toezichthouder in de zin van artikel 5:11 Awb. De functionaris wordt immers niet bij of krachtens wettelijk voorschrift met het houden van toezicht belast. Het betreft hier een facultatief instituut dat wordt ingesteld door de verantwoordelijke of door een organisatie van verantwoordelijken op basis van een interne regeling. Het ligt in de rede dat in dat geval ook de bevoegdheden van de toezichthouder bij interne regeling worden vastgesteld. Artikel 64, derde lid, sluit daarbij aan.
Oefent de functionaris een van zijn bevoegdheden uit en treft hij onregelmatigheden aan, dan ligt in zijn taakopdracht en in zijn aanstelling besloten dat hij daarover verslag uitbrengt aan de verantwoordelijke of de organisatie waardoor hij is aangesteld. De functionaris heeft geen verplichting onregelmatigheden te melden bij de Registratiekamer; hij is immers niet de verlengde arm van deze kamer.
Daar staat tegenover dat de Registratiekamer te allen tijde zijn bevoegdheden kan uitoefenen, ook al is er een functionaris aangesteld binnen de organisatie of branche. Adviezen die de functionaris aan de verantwoordelijke geeft kunnen door de Registratiekamer veroordeeld worden en de verantwoordelijke kan zich dus ook niet beroepen op het opvolgen van bepaalde adviezen. Evenzeer moet rekening worden gehouden met de reële mogelijkheid dat de functionaris de verantwoordelijke aanbevelingen doet die niet voldoen aan wettelijke normeringen. Heeft een verantwoordelijke twijfels over de grondslag van een aanbeveling van de functionaris, dan kan hij de Registratiekamer een nader oordeel vragen. De bedoeling is dat een soepel samenspel zich ontwikkelt tussen functionaris, verantwoordelijke en de Registratiekamer, maar in dit spel zijn conflicten niet uit te sluiten. Het is daarbij echter te verwachten dat in gevallen van het optreden van een functionaris de bemoeienis van de Registratiekamer een meer afstandelijke kan zijn.
Er is van afgezien om voor te schrijven dat de functionaris een jaarverslag opstelt. Het is aan degene die een functionaris aanstelt dit eventueel te eisen. Indien een functionaris werkzaam is ten behoeve van een rechtspersoon of van rechtspersonen die verplicht zijn een jaarrekening en een jaarverslag uit te brengen, ligt het in de rede dat de functionaris een eventueel jaarverslag, voor zover zijn geheimhoudingsplicht dat toelaat, afstemt met de accountant die ingevolge artikel 2:393, vierde lid, tweede volzin, BW in zijn verslag aan de raad van commissarissen en aan de raad van bestuur melding maakt van zijn bevindingen met betrekking tot de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking.
[MvT, pagina 184-186]