Antwoord:

Er zijn drie situaties waarin je verplicht bent om een Functionaris voor gegevensbescherming (FG) aan te stellen. 

Ten eerste, is dit het geval voor overheidsinstanties en publieke organisaties. Zij moeten een FG aanstellen ongeacht het type persoonsgegevens dat ze verwerken. 

Ten tweede is dit het geval wanneer een van de kernactiviteiten van je organisatie is het op grote schaal monitoren van individuen. Van belang hierbij is onder andere het aantal mensen dat je volgt en de duur van dit monitoren.  

Ten derde, is dit het geval wanneer je op grote schaal bijzondere persoonsgegevens verwerkt (dus bijvoorbeeld gegevens over gezondheid, geloofsovertuiging, ras etc.). Ook dit moet een kernactiviteit van je organisatie zijn. 

Tot nog toe zijn er geen duidelijke richtlijnen die betrekking hebben op wat "op grote schaal monitoren van personen" nu precies inhoudt. Er is sprake van een grijs gebied. Echter moet vooral gedacht worden aan verwerkingen op regionaal, nationaal en supranationaal (Europees of internationaal) niveau.

Voorbeelden van het op grote schaal monitoren van personen (als kernactiviteit) zijn:

  • (regionale) ziekenhuizen die patiëntgegevens verwerken als onderdeel van de gebruikelijke werkzaamheden;
  • De NS die reisinformatie verwerkt van reizigers (door deze bijv. te volgen via reiskaarten);
  • MacDonalds of Burger King die voor statistische doeleinden locatiegegevens verwerkt;

  • Google of Yahoo die persoonsgegevens verwerkt door het tonen van advertenties op basis van internetgedrag;
  • Telefoon- of internetproviders, zoals KPN en Vodafone, die gegevens verwerken (inhoud, verkeer, locatie).

Voorbeelden van het niet op grote schaal monitoren van personen (als kernactiviteit) zijn: 

  • Verwerking van patientgegevens door een individuele arts;
  • Verwerking van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.

Heeft u het antwoord gevonden?