De “verwerkingsverantwoordelijke” is, uiteraard naast de “betrokkene”, de belangrijkste geadresseerde van de privacywetgeving (art. 4 onder 7 AVG; zie ook WP 169). Onder de Wbp werd de “verwerkingsverantwoordelijke” aangeduid als “verantwoordelijke”. Vaak zal het eenvoudig te bepalen zijn wie die verwerkingsverantwoordelijke is. Hij is degene “(…) die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Maar de praktijk is soms weerbarstig. Is sprake van één enkele verwerkingsverantwoordelijke of zijn er modaliteiten?
Bij uitbesteding worden de werkzaamheden door de verwerkingsverantwoordelijke uitbesteed aan een “verwerker” (art. 4 onder 8 AVG; onder de Wbp aangeduid als “bewerker”): “degene (…) die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”. Ook daar kunnen modaliteiten zijn. De AP heeft op haar website een voorbeeldlijst geplaatst waarin wordt aangegeven wie in bepaalde situaties de verwerker, dan wel de verwerkingsverantwoordelijke is.
Het onderscheid is van belang omdat de AVG zowel aan de verwerkingsverantwoordelijke als aan de verwerker eigen verplichtingen oplegt. Het onderscheid werkt door in alle onderdelen van de AVG. Bijvoorbeeld bij de meldplicht datalekken. Ook de boetebepaling kent een eigen verdeling van aansprakelijkheid tussen de verwerkingsverantwoordelijke(n) en verwerker(s) (art. 82 lid 2 AVG).
Een logistiek dienstverlener is in beginsel geen verwerker, ook al werkt hij als logistieke dienstverlener voor een opdrachtgever. Hij is zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk zijn voor zijn dienstverlening. Bijvoorbeeld namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor “track & trace”-bezorging.
Als een externe partij weliswaar persoonsgegevens van relaties van een opdrachtgever ziet of kan zien, maar hij niet als opdracht heeft om die persoonsgegevens te verwerken, hij meestal geen verwerker is.
De wettelijke regeling betreffende verwerkingsverantwoordelijken en verwerkers betreft dwingend recht. Omdat de begrippen in de praktijk niet altijd goed bruikbaar zijn is er echter wél enige bandbreedte. Dat betekent dat er risico’s kunnen worden gelopen bij foutieve inschatting van de rollen, maar ook dat er enige ruimte is om de werkelijkheid te modelleren. Het is dus uitermate belangrijk om de rollen van alle partijen die bij een gegevensverwerking zijn betrokken goed te analyseren en goed te beschrijven. Zowel binnen een groep als bij uitbesteding. Zie ook de verplichte verwerkersovereenkomst (checklist 17).
De AVG kan van toepassing zijn op verwerkingsverantwoordelijken en verwerkers die buiten EU-lidstaten zijn gevestigd (zie hierna onder “toepasselijk recht”).
enkelvoudige verwerkingsverantwoordelijke (art. 24 AVG);
gezamenlijke verantwoordelijkheid (art. 26 AVG). Voorbeelden van gezamenlijke verantwoordelijkheid:
een aantal verwerkingsverantwoordelijken exploiteert voor gezamenlijk gebruik een database, bijvoorbeeld een marketingdatabase, adressenbestand, of zwarte lijst;
een aantal verwerkingsverantwoordelijken heeft een eigen aandeel in een verwerking (“taartpunt”);
een aantal verantwoordelijken is ieder verantwoordelijk voor een laag in het hele verwerkingsproces (aparte verantwoordelijkheden voor content, opslag, transport of delen ervan); zogenoemde “geschaalde verantwoordelijkheid”;
ziekenhuismodel: het ziekenhuis is verantwoordelijk voor de kwaliteit van het ziekenhuisinformatiesysteem, maar de artsen zijn verantwoordelijk voor de kwaliteit van de gegevens (zie Kamerstukken II 1997/1998, 25892 nr. 3, p. 58).
concern als verwerkingsverantwoordelijke (art. 4 onder 19 AVG; overwegingen 36 en 37 AVG).
Er gelden aparte regels voor concerns zoals het aanstellen van een functionaris voor gegevensbescherming (art. 37 lid 2 AVG), het kunnen gebruiken van bindende bedrijfsvoorschriften (art. 47 AVG) en concernverkeer (overweging 48 AVG in relatie tot art. 6 lid 1 sub f AVG); zie ook art. 2:24b BW.
concern zonder dat de hoofdvestiging optreedt als verwerkingsverantwoordelijke (art. 4 onder 19 AVG en overwegingen 36 en 37 AVG); de onderdelen van het concern bepalen zelf doel en middelen van de verwerking;
buiten de EU gevestigde gegevensverwerkingsverantwoordelijke (art. 3 lid 2 AVG; art. 27 AVG); zie ook hierna onder “toepasselijk recht”;
vertegenwoordiger van buiten de EU gevestigde verwerkingsverantwoordelijke (art. 4 onder 17 AVG; art. 27 AVG); let op: eigen positie via art. 27 lid 4 AVG;
verwerkingsverantwoordelijke met hoofdvestiging in een bepaalde lidstaat (art. 4 onder 16 (a) AVG, overweging 36 AVG); van belang voor bepalen leidende toezichthoudende autoriteit (art. 55 AVG, art. 60 AVG (klachten));
verwerker (art. 4 onder 8 AVG); let op: een interne IT-afdeling binnen een rechtspersoon is geen verwerker;
sub-verwerker (door verwerker ingeschakelde “andere verwerker”; art. 28 lid 2 en 4 AVG; art. 82 lid 2 en 5 AVG);
verwerkingsverantwoordelijke en verwerker tegelijk (hybride variant);
buiten de EU gevestigde verwerker (art. 3 lid 2 AVG; art. 27 AVG); zie ook hierna onder “toepasselijk recht”;
vertegenwoordiger van buiten de EU gevestigde verwerker (art. 4 onder 17 AVG; art. 27 AVG); let op: eigen positie via art. 27 lid 4 AVG;
verwerker met hoofdvestiging in een bepaalde lidstaat (art. 4 onder 16 sub b AVG, overweging 36 AVG); van belang voor bepalen leidende toezichthoudende autoriteit (art. 55 AVG, art. 60 AVG (klachten));
verwerker wordt soms als verwerkingsverantwoordelijke beschouwd (art. 28 lid 10 AVG); voorbeelden van mogelijk handelen als verwerkingsverantwoordelijke door verwerker:
verwerker beslist zelfstandig op verzoeken om informatie van toezichthouders (in Nederland, Europa of buiten Europa);
verwerker houdt gegevens vast als zekerheid bij wanbetaling verwerkingsverantwoordelijke;
verwerker gebruikt bestanden bij geschillen over de kwaliteit van zijn werk als bewijs voor de onderbouwing van de eigen positie;
verwerker anonimiseert gegevens om ze daarna in geanonimiseerde vorm voor eigen doeleinden te gebruiken;
verwerker gebruikt filters om illegale content te weren uit zijn systemen;
verwerker gebruikt persoonsgegevens in bestanden om voor zichzelf managementinformatie te genereren;
verwerker heeft zoveel invloed op een verwerking dat hij als verwerkingsverantwoordelijke moet worden aangemerkt; ook als hij optreedt als dienstverlener voor de oorspronkelijke verwerkingsverantwoordelijke; (bijvoorbeeld een adviseur (zoals een advocaat of accountant) of een gespecialiseerd administratiekantoor); zie ook voorbeelden WP 169.
de AVG is van toepassing op verwerkingen in het kader van activiteiten van de vestiging (bijkantoor of rechtspersoon) van een verwerkingsverantwoordelijke of verwerker binnen een lidstaat (art. 3 lid 1 AVG, art. 4 UAVG); in geval van een verwerkingsverantwoordelijke die gevestigd is buiten de EU geldt de AVG indien de verwerking gericht is op dienstverlening aan of monitoring van binnen de EU verblijvende betrokkenen (art. 3 lid 2 AVG); in dat laatste geval moet de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger binnen de EU aanwijzen (art. 27 AVG en art. 4 onder 17 AVG); deze aanwijzingsplicht geldt niet voor incidentele verwerkingen van niet-bijzondere of niet-strafrechtelijke gegevens of verwerkingen door de overheid (art. 27 lid 2 AVG);
EER-landen (Liechtenstein, Noorwegen en IJsland) hebben hun nationale wetgeving aangepast aan de AVG (zie hiervoor PbEU 2018, L 183/23).
de AVG bevat aparte definities voor de begrippen “vertegenwoordiger” (art. 4 onder 17 AVG), “onderneming” (art. 4 onder 18 AVG), “hoofdvestiging” (art. 4 onder 16 AVG) en “concern” (art. 4 onder 19 AVG);
art. 30 lid 5 AVG (registerplicht) en overweging 13 AVG bevatten een aparte regeling voor de registerplicht van ondernemingen of “organisaties” onder de 250 werknemers. Verwezen wordt naar aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (C(2003) 1422) (PbEU L 124 van 20.5.2003, p. 36); in art. 5 van die aanbeveling staat hoe dat aantal moet worden berekend (volle FTE); het begrip “organisatie” uit art. 5 lid 4 AVG wordt niet gedefinieerd, omdat lid 5 niet refereert aan “verwerkingsverantwoordelijken” of “verwerkers” vallen overheidsinstellingen daarom mogelijk niet onder de vrijstelling; zie echter de terminologie uit de UAVG: de uitzondering geldt ook voor een “orgaan” (Kamerstukken II 2017/18, 34851, nr. 3, p. 55); de praktische betekenis van deze uitzondering is beperkt door de afsluitende clausuleringen in art. 30 lid 5 AVG (zie checklist 9 en 10);
soms worden (evenals onder de Wbp) de begrippen “ontvanger” (art. 4 onder 9 AVG) en “derde” (art. 4 onder 10 AVG) gebruikt om partijen die bij een verwerking zijn betrokken aan te duiden. De term “ontvanger” speelt een belangrijke rol bij de informatieverplichtingen van de verwerkingsverantwoordelijke. De term “derde” is van belang in situaties waarin verstrekking aan een “derde” aan de orde is;
een verwerker valt onder het begrip “ontvanger” (art. 4 onder 9 AVG), maar is geen “derde” (art. 4 onder 10 AVG);
een interne beheerder van een verwerking valt niet onder het begrip “verwerker”, maar is een “ontvanger”;
art. 29 AVG vernoemt verwerkingen onder het gezag van de verwerkingsverantwoordelijke of de verwerker: “De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is”;
als een particulier een verwerking met een persoonlijk karakter uitbesteedt, is de AVG niet van toepassing (art. 2 lid 2 sub c AVG). Dan is ook geen verwerkersovereenkomst nodig (vgl. advies AP nr. z2015-00245 inzake verfilmen uitvaart).
