Wanneer is een Functionaris Gegevensbescherming (FG) verplicht?

Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:

1. Overheden en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet;
2. Observatie - Organisaties die vanuit hun kernactiviteiten* op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
3. Bijzondere persoonsgegevens - Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvoor dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is.
Een bedrijf dat volgens de richtlijnen niet verplicht is om een functionaris voor de gegevensbescherming aan te stellen, kan er wel voor kiezen om dat vrijwillig te doen. Dat is vooral aan te raden voor een bedrijf dat overheidstaken uitvoert. Te denken valt aan een openbaarvervoerbedrijf, energiebedrijf of woningcorporatie.

•) Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken of die tot de hoofdtaken van de organisatie horen. Zo is de verwerking van gegevens over de gezondheid een kernactiviteit van een ziekenhuis, maar de verwerking van persoonsgegevens die ondersteunend is aan de bedrijfsvoering, zoals voor de salarisadministratie, valt dan buiten de kernactiviteiten.