De Algemene verordening gegevensverwerking (AVG) stelt het in sommige gevallen verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Daarbij kan ook de ondernemingsraad (OR) een belangrijke rol spelen.
Sommige organisaties moeten met de inwerkingtreding van de AVG per 25 mei 2018 met een functionaris voor de gegevensbescherming (FG) werken. Een FG ziet erop toe dat een organisatie zich aan de AVG houdt.
Hoewel het aanstellen van een FG soms verplicht is, kunnen werkgevers zonder verplichting ook besluiten om een FG aan te wijzen. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin (artikel 37 AVG):
De OR heeft instemmingsrecht over het privacybeleid voor zover het beleid het interne toezicht van de gegevensbescherming van de werknemers raakt (artikel 27, lid 1k van de Wet op de ondernemingsraden). Heeft de (invulling van de) functie van de FG gevolgen voor het privacyreglement en wordt dit gewijzigd, dan heeft de OR instemmingsrecht op de wijziging van het reglement.
De wet stelt dat een FG een natuurlijk persoon moet zijn. Een OR of commissie komt hiervoor dus niet in aanmerking. Ook moet hij voldoende kennis hebben van de organisatie en de privacywetgeving en betrouwbaar zijn in verband met de (geheimhoudingsplicht).