Magento & Shopware
Services

AVG / GDPR: Moet mijn Magento shop een Data protection Officer (DPO) aanstellen?

De Data Protection Officer (DPO) is een persoon met voldoende kennis over de Algemene Verordening Persoonsgegevens (AVG), Ook wel General Data Protection Regulation (GDPR) genoemd. De DPO houdt hierdoor toezicht op de interne naleving van de AVG binnen zijn organisatie. Hiervoor moet een DPO dus voldoende kennis hebben van AVG, hoe zijn organisatie persoonsgegevens verwerkt en moet hij zijn taken onafhankelijk kunnen uitoefenen.

We hebben besloten om de taken en verplichtingen van de Data Protection Officer (DPO) als laatst te bewaren en meteen antwoord te geven op de grote vraag:

Heb ik een DPO nodig voor mijn Magento shop?

Er bestaat een grote kans dat je niet verplicht bent een DPO aan te stellen. Het oorspronkelijke wetsvoorstel is aangepast waardoor minder organisaties binnen de criteria vallen. Wanneer moet je dan wel een DPO aanstellen? Volgens artikel 37 van de AVG, of GDPR, is het aanstellen van een Data Protection Officer verplicht wanneer:

  • 1. De verwerking van gegevens wordt verricht door een overheidsinstantie of overheidsorgaan.
  • 2. Wanneer jouw Magento shop hoofdzakelijk is belast met gegevensverwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatigeobservatie op grote schaal van betrokkenen vereisen. Enige uitleg over deze termen:
    • Hoofdzakelijk: betekent dat dit een kerntaak is van de organisatie, noodzakelijk om de hoofdactiviteiten van de organisatie te kunnen uitvoeren. Als deze gegevens noodzakelijk zijn voor het uitvoeren van je hoofdactiviteiten (bijv. een huisarts die medische gegevens nodig heeft om jou te helpen). Is de verwerking dus ook een hoofdactiviteit.
    • Regelmatige observatie: Wordt omschreven als het voortdurend of periodiek, op gezette tijden, herhaaldelijk verwerken van persoonsgegevens.
    • Stelselmatige observatie: Wordt omschreven als het volgens een systeem, georganiseerd, in het kader van een plan, of uitgevoerd onderdeel van een strategie volgen van consumenten.
    • Grote schaal: Wordt niet gedefinieerd in de AVG. Hier hopen wij snel antwoord op te krijgen.
    • Voorbeeld: emailtargeting, kredietbeoordelingen en andere grootschalige marketingactivieiten
  • 3. Jouw Magento shop hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens.
    • Bijzondere categorieën van gegevens: Dit zijn gevoelige gegevens zoals politieke opvattingen, gezondheid, godsdienst en seksuele voorkeur. Het verwerken van deze gegevens is vaak verboden. Indien hier toch een gegronde reden voor is, bijvoorbeeld door de de aard van bepaale werkzaamheden, dient de organiatie een DPO aan te stellen.

Als Magento shop eigenaar zullen met name de laatste twee criteria voor jou van belang zijn. Mocht je aan een van deze criteria voldoen dan kun je hieronder alvast lezen wat de taken van jouw aan te stellen DPO zijn.

Wat zijn de taken en verplichtingen van de Data Protection Officer (DPO)?

In Artikel 39 van de Algemene Verordening Gegevensbescherming (AVG) staan de taken en verplichtingen van de DPO als volgt omschreven:
Taken als volgt omschreven in Artikel 39 sub a/e:

  • 1. Art 39 sub a. Het informeren en adviseren over de verplichtingen uit de AVG aan de webshop, werknemers en gegevensverwerkers. Zoals:
    • a. Het kunnen aantonen en waarborgen dat gegevensverwerking in overeenstemming met de AVG regelgeving gebeurt.
      • De DPO zorgt ervoor dat alle gegevensverwerkingen in jouw Magento shop volgens AVG regelgeving geschieden en dat dit aangetoond kan worden aan de autoriteiten.
    • b. Hiervoor de juiste maatregelen en processen op toepast.
      • Is alles in de organisatie, de back-end en de front-end van jouw Magento shop dusdanig vormgegeven dat alles voldoet aan de AVG normen en eisen?
    • c. De maatregelen en processen up to date houd volgens de meest actuele AVG regelgeving.
      • Bij aanpassingen in de AVG zorgt de DPO ervoor dat jouw organisatie en Magento shop hieraan voldoet
    • d. Een gegevensbeschermingsbeleid maken.
  • 2. Art 39. Sub b. De DPO zorgt voor het toezien en naleving van de Algemene Verordening Gegevensbescherming (AVG) en het gegevensbeschermingsbeleid. Hier valt ook onder;
    • a. Toewijzen van verantwoordelijkheden
    • b. Bewustmaking en opleiding van de bij de verwerking betrokken personeelsleden en betreffende audits.
  • 3. Art 39 sub c. Het verstrekken van advies m.b.t. de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan.
  • 4. Art 39 sub d. Optreden als contactpunt voor toezichthouders
  • 5. Art 39 sub e. De DPO houdt rekening met de risico’s, de aard, de omvang, de context en verwerkingsdoeleinden van de te verwerken gegevens bij de uitvoering van zijn taken.

Niet iedere Magento shop heeft dus een DPO nodig. Wel is het raadzaam om te kijken naar de taken van de DPO. Immers, er moet voor implementatie en naleving van de AVG regelgeving worden gezorgd.

Wil jij weten of je een Data Protection Officer moet aanstellen voor jouw Magento shop of hoe je diens taken kunt implementeren in de organisatie? Neem gerust contact met ons op.

Wil je meer weten over wat jij volgens de AVG allemaal op orde moet hebben in jouw Magento shop? Kijk voor meer relevante onderwerpen op deze blog.