Het Europese Comité voor Gegevensbescherming (European Data Protection Board, oftewel 'EDPB') heeft conceptrichtsnoeren opgesteld over de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ in de zin van de AVG. Tot 19 oktober 2020 lagen deze richtsnoeren klaar voor openbare raadpleging. Daarna zal de feedback worden verwerkt en worden de richtsnoeren aangenomen.
coauteur: Adrine Like
De EDPB is een onafhankelijk Europees orgaan dat bijdraagt aan de consequente toepassing van regels voor gegevensbescherming in de gehele Europese Unie (EU). Ook bevordert de EDPB de samenwerking tussen de privacytoezichthouders in de EU.
De EDPB werd opgericht naar aanleiding van de Algemene verordening gegevensbescherming (AVG). Het is de opvolger van de Artikel 29-werkgroep voor gegevensbescherming, dat in 2010 een opinie aannam die inging op de begrippen ‘verantwoordelijke’ en ‘verwerker’ in het kader van Richtlijn 95/46/EC. Sindsdien en met name sinds de inwerkingtreding van de AVG zijn de genoemde begrippen en de uit Richtlijn 95/46/EC voortvloeiende verplichtingen geëvolueerd. Daarnaast zijn er nieuwe verplichtingen voor verwerkingsverantwoordelijken en verwerkers bijgekomen. Het Europese Hof van Justitie (HJEU) heeft ook diverse uitspraken geveld over de interpretatie van de betreffende begrippen, in het bijzonder het begrip ‘gezamenlijke verwerkingsverantwoordelijken’.
De nieuwe richtsnoeren zijn de volgende fase in deze evolutie en geven daarnaast antwoord op de roep om verheldering.
Om de begrippen 'verwerkingsverantwoordelijke’, ‘gezamenlijke verwerkingsverantwoordelijken’ en ‘verwerker’ goed duidelijk te maken, bevat de concepttekst gedetailleerde omschrijvingen en zelfs illustraties.
Verwerkingsverantwoordelijke
In de richtsnoeren staat dat de verantwoordelijke het orgaan is dat het laatste woord heeft over de belangrijkste onderdelen van de verwerking, met welke doelen de gegevens worden verwerkt en de middelen waarmee dat gebeurt, kortom de 'hoe' en 'waarom' van de verwerking. Bovendien kan de functie van verantwoordelijke ook in de wet zijn vastgelegd of voortvloeien uit een analyse van de daadwerkelijke omstandigheden van het geval, wat in de richtsnoeren wordt uitgelegd.
Een interessante ontwikkeling is dat de richtsnoeren nu precies omschrijven dat bepaalde verwerkingsactiviteiten welbeschouwd van nature bij de rol van een entiteit behoren (als werkgever tegenover werknemers, als uitgever tegenover abonnees or als vereniging tegenover leden). In veel gevallen kan de verantwoordelijke worden vastgesteld aan de hand van de inhoud van de overeenkomst, hoewel dat niet in alle gevallen tot sluitende antwoorden aanleiding geeft. Verder hoeft de verantwoordelijke niet daadwerkelijk toegang tot de te verwerken gegevens te hebben om toch als verantwoordelijke te kwalificeren.
Gezamenlijke verantwoordelijken
Waar meer dan één partij betrokken is bij de verwerking, kunnen die partijen als gezamenlijke verantwoordelijken kwalificeren. In de richtsnoeren wordt daarom nu bevestigd dat de gezamenlijke deelname van twee of meer entiteiten aan de vaststelling van de doelen en middelen van een verwerkingsoperatie het belangrijkste criterium is om als gezamenlijke verantwoordelijken te kwalificeren. Gezamenlijke deelname kan diverse vormen aannemen. Het kan om een gezamenlijk besluit van twee of meer entiteiten gaan, maar ook om het resultaat van een proces waarin de besluiten van twee of meer entiteiten met elkaar in de pas lopen. Hierbij vullen de besluiten elkaar aan en zijn beide nodig om de verwerking dusdanig te laten verlopen dat ze een merkbare invloed hebben op de vaststelling van de doelen en middelen van de verwerking.
Het EDPB omschrijft eindelijk in precieze bewoordingen dat het feit dat verscheidene partijen bij hetzelfde verwerkingsproces betrokken zijn, op zichzelf niet betekent dat zij ook als gezamenlijke verantwoordelijken van dat proces moeten worden beschouwd. Kwalificatie als gezamenlijke verantwoordelijken ligt niet impliciet vast bij elke soort partnerschap of samenwerkingsverband, aangezien voor zo'n kwalificatie per geval een analyse moet worden gemaakt van de betreffende verwerking en de rol van elke entiteit daarbij. Het EDPB geeft nog een voorbeeld van een geval waarin de verantwoordelijken niet als gezamenlijke verantwoordelijken worden aangemerkt:
Een bedrijf verzamelt en verwerkt persoonsgegevens van de werknemers. Het doel hiervan is het beheer van de salarisadministratie, ziektekostenverzekering, enz. Op grond van wetgeving rust op het bedrijf de verplichting alle salarisgegevens aan de belastingdienst door te geven om zodoende belastingcontrole te kunnen uitoefenen. Hoewel het bedrijf en de belastingdienst dezelfde salarisgegevens verwerken, zorgt het feit dat er geen gezamenlijke doelen en middelen zijn vastgesteld ten aanzien van dit verwerkingsproces ervoor dat de twee entiteiten als afzonderlijke verwerkingsverantwoordelijken worden aangemerkt.
Verwerker
Om als verwerker te worden aangemerkt, moet een entiteit aan twee basisvoorwaarden voldoen. Ten eerste dient de entiteit een andere entiteit te zijn dan de verantwoordelijke, en ten tweede dient de entiteit persoonsgegevens te verwerken namens de verantwoordelijke. De verwerker moet de instructies van de verantwoordelijke ten aanzien van de verwerking van de gegevens volgen. Ten aanzien van de vraag hoe de belangen van de verantwoordelijke het best worden gediend staan de instructies een zekere mate van vrijheid toe. Zo staat het de verwerker vrij de meest geschikte technische en organisatorische wijze van verwerking te kiezen. Wel schendt een verwerker de AVG als hij de instructies van de verantwoordelijke voor lief neemt en zelf vaststelt met welk doel en welke middelen de verwerking plaatsvindt. In dat geval wordt de verwerker aangemerkt als verantwoordelijke voor de betreffende verwerking en kunnen er sancties worden opgelegd voor het niet opvolgen van de instructies.
Ten aanzien van de contractuele verhouding tussen de verantwoordelijke en de verwerker, benoemt de AVG de onderdelen die in de verwerkingsovereenkomst moeten worden opgenomen. Deze overeenkomst mag echter niet een simpele kopie van de door de EDPB aanbevolen AVG-bepalingen zijn. De overeenkomst moet specifieke, concrete informatie bevatten over de manier waarop aan de vereisten wordt voldaan en welke maatregelen nodig zijn om de veiligheid van de betrokken persoonsgegevens te garanderen.
De AVG zegt niets over de juridische vorm waarin gezamenlijke verantwoordelijken hun afspraken gieten. Omwille van de rechtszekerheid, transparantie en verantwoording, beveelt de EDPB wel aan dat die afspraken in een bindend document worden vastgelegd, zoals een overeenkomst of een ander instrument dat de verantwoordelijken op grond van nationale of Europese wetgeving juridisch bindt.
Meer artikelen van AKD
