De AVG biedt een gemoderniseerd, op verantwoording gebaseerd kader voor de naleving van regels inzake gegevensbescherming in Europa. Functionarissen voor gegevensbescherming zullen in dat nieuwe juridische kader voor veel organisaties centraal staan om naleving van de bepalingen mogelijk te maken. Met andere woorden, een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving.

Het concept FG is niet nieuw. Hoewel de Wbp het als huidige wetgeving (lees: tot 25 mei 2018) geen enkele organisatie verplicht om een functionaris voor gegevensbescherming aan te stellen, is het de voorbije jaren in verschillende lidstaten van de EU toch de gewoonte geworden om een functionaris voor gegevensbescherming aan te stellen. De functie wordt gezien als de hoeksteen van de verantwoording, waarbij het aanstellen van een FG naleving van privacywetgeving kan vereenvoudigen en bovendien een concurrentievoordeel voor bedrijven kan vormen, vanuit het idee dat privacy dé business case is van nu.

Vanuit de AVG zijn bepaalde organisaties wel verplicht om een FG aan te duiden. Om concreet de letter van de wet (artikel 37, lid 1 van de AVG) aan te halen, is de aanwijzing van een functionaris voor gegevensbescherming verplicht:

a) wanneer de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht;

b) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

c) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

De verplichting geldt daarmee ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat dus ook zorg- en onderwijsinstellingen.

Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven.

Tot slot maakt verwerking van bijzondere persoonsgegevens het verplicht om een FG te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden.

Ook wanneer een organisatie niet aan één of meer van de drie voorwaarden voldoet en een FG dus niet specifiek verplicht is, kan het mogelijk wel interessant zijn om op vrijwillige basis een functionaris voor gegevensbescherming aan te wijzen. De Groep Gegevensbescherming, een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en privacy dat onder meer belast is met de richtlijnen voor de FG, moedigt dat zelfs aan. Bijvoorbeeld voor bedrijven die overheidstaken uitvoeren zoals energiebedrijven, woningcorporaties en openbaarvervoerbedrijven.

Voor de vrijwillig aangestelde FG gelden dezelfde regels als voor de verplichte FG, als het gaat om het takenpakket en de professionaliteit van de functie.

Alle organisaties die verplicht zijn om een FG aan te stellen, zijn verplicht om die functionaris aan te melden bij de AP. Alleen aanmelding via het nieuwe webformulier, het online aanmeldingsformulier functionaris voor de gegevensbescherming (FG), op de website van de AP is geldig. Organisaties die hun FG al eerder op andere wijze hebben aangemeld, moeten dat opnieuw doen. FG-aanmeldingen die niet via het online aanmeldingsformulier zijn gedaan, komen na 25 mei 2018 te vervallen. Ook een vrijwillig aangestelde FG moet bij de AP aangemeld worden.

De formele richtlijnen voor de Functionaris voor de gegevensbescherming zijn opgesteld door de eerdergenoemde Groep Gegevensbescherming en te vinden via deze link (PDF).