Organiseren van trainingen Ex art 39 lid 1(a)

In artikel 39 lid 1 GDPR staan vijf taken opgesomd waaraan de Functionaris voor Gegevensbescherming invulling moet geven. In lid 2 wordt duidelijk gemaakt dat dit niet een ‘checklist aangelegenheid’ is, maar dat er bij de uitvoering van die taken echt gewikt en gewogen moet worden. 

Dit blog beperkt zich tot de eerste verplichting ex art. 39 lid 1a GDPR, die gaat over het ‘informeren’ van de verwerkingsverantwoordelijke, de verwerker(s) en de ‘werknemers’ over hun verplichtingen uit hoofde van de GDPR en andere EU of nationale wetgeving.

Plicht tot informeren

Art. 39 lid 1 GDPR voorziet in een verplichting om alle personen betrokken bij de verwerking van persoonsgegevens (dus ook verwerkers) actief te informeren over de verplichtingen die zij hebben m.b.t. de bescherming van die persoonsgegevens. Het is belangrijk om vast te stellen dat deze ‘plicht tot informeren’ zich niet beperkt tot alleen de GDPR. Artikel 39 lid 1 breidt deze verplichting expliciet uit met de verplichtingen uit hoofde van andere EU-wetgeving en onze eigen nationale wetgeving.

Wat betekent dit?

Allereerst moet er duidelijkheid bestaan over welke verplichtingen uit welke wet- en regelgeving het hier gaat en welke taken daaruit voortvloeien. Vervolgens moet vastgesteld worden welke functies (als in functieomschrijvingen) welke taken moeten gaan uitvoeren. Is dit duidelijk, dan weten we welke personen waarover geïnformeerd moet worden.

In de praktijk gaat het hier niet alleen over bestaande en nieuwe medewerkers, maar ook over personen die het bedrijf gaan verlaten. Voor al deze personen geldt dat zij middels entry/exit gesprekken en/of permanente training geïnformeerd moeten worden en blijven over hoe er van hen verwacht wordt dat zij invulling geven aan de bescherming van persoonsgegevens. Dit geldt ook voor medewerkers die vertrekken.

Het gaat hier dus nadrukkelijk over meer dan het plaatsen van een handtekening met verwijzing naar bijvoorbeeld het handboek personeel. De kern van deze verplichting bestaat uit het periodiek verzorgen van privacytrainingen, met specifieke aan de ‘plicht tot informeren’ gerelateerde leerdoelen, een aanwezigheidsregistratie en waarvan de inhoud up-to-date is met de laatste privacy-ontwikkelingen. Daarnaast moet bijgehouden worden of de respectievelijke leerdoelen ook echt bereikt zijn. En net zoals ook voor de 56 andere privacy-activiteiten, geldt ook voor de ‘plicht tot informeren’ dat je moet kunnen aantonen dat je hier op correcte wijze invulling hebt gegeven. Dit kan onder meer door het bijhouden van:

– up-to-date lesmateriaal dat gebruikt wordt tijdens de permanente opleiding;
– een les-planning (data – tijdstip – lokatie – doelgroep) van te geven trainingen;
– verslaglegging aan de directie over de wijze en mate van naleving van de ‘plicht tot informeren’;

Mijn organisatie hoeft geen FG te benoemen!

‘Maar wat nu als mijn organisatie niet verplicht is om een Functionaris voor Gegevensbescherming te benoemen? Heb ik dan nog steeds een ‘plicht tot informeren’?’

Art. 39 GDPR gaat over de taken van de Functionaris voor de Gegevensbescherming. Dit betreft geen limitatieve opsomming, maar wel een minimum lijst van door de FG uit te voeren taken. Impliciet betekent dit dat de wetgever hiermee aangeeft dat hij het belangrijk vindt dat in ieder geval deze taken worden uitgevoerd.

Zo dus ook voor de ‘plicht tot informeren’. De rede waarom, lijkt voor de hand te liggen. Wil je een organisatie Privacy Accountable laten zijn, dan zul je je medewerkers en verwerkers moeten informeren en instrueren, hoe conform wet- en regelgeving invulling te geven aan het beschermen van persoonsgegevens. Zonder kan gewoon niet!

Als PrivacyO nemen wij daarom het standpunt in dat ook als je niet verplicht bent een Functionaris voor Gegevensbescherming te benoemen, het toch zaak is gestructureerd invulling te geven aan de ‘plicht tot informeren’. Hoe beperkt ook.