Verwerker of verwerkingsverantwoordelijke?

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
Verwerker-of-verwerkingsverantwoordelijke

Het vaststellen wie verwerker of (gezamenlijk) verwerkingsverantwoordelijke is, blijkt steeds weer opnieuw een gordiaanse knoop te zijn, vooral wanneer er sprake is van converging decisions. In deze blog wordt nader ingegaan op deze rollen en de actuele ontwikkelingen daaromtrent.

Verwerkingsverantwoordelijke

De meeste plichten uit de AVG rusten op de verwerkingsverantwoordelijke. Volgens de AVG is de verwerkingsverantwoordelijke een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Makkelijker gezegd houdt dat in dat de verwerkingsverantwoordelijke de actor is die het waarom en het hoe bepaalt van de verwerking. Op basis daarvan draagt de verwerkingsverantwoordelijke de verantwoordelijkheid voor een juiste en rechtmatige verwerking van persoonsgegevens.

Gezamenlijke verwerkingsverantwoordelijkheid

Voornoemde verantwoordelijkheid kan ook gedeeld zijn door gezamenlijke verwerkingsverantwoordelijken. Het concept van gezamenlijke verwerkingsverantwoordelijkheid is niet nieuw, maar heeft met de inwerkingtreding van de AVG specifieke regels gekregen in het geval dat twee of meer actoren gezamenlijk de doeleinden en de middelen van de verwerking bepalen (artikel 26). Het Europees Comité voor gegevensbescherming (EDPB) heeft dan ook in recente (concept)richtlijnen uitgebreid aandacht besteed aan dit concept. Daarin stelt de EDPB dat gezamenlijke verwerkingsverantwoordelijkheid kan ontstaan door een gezamenlijk besluit, maar ook door converging decisions. Het laatste geval komt voort uit drie recente zaken van het Hof van Justitie van de Europese Unie (HvJ EU).

Beslissingen kunnen worden gezien als converging als ze elkaar aanvullen en nodig zijn om de verwerking op een zodanige manier te laten plaatsvinden dat ze een merkbare impact hebben op de bepaling van de doeleinden en de middelen van de verwerking. Een belangrijk criterium daarvoor is de vraag of de verwerking niet mogelijk zou zijn zonder beide partijen, in die zin dat de verwerking door elke partij onlosmakelijk met elkaar verbonden is. Een voorbeeld is de zaak Fashion ID. Deze online webshop had op de website een Facebook ‘vind-ik-leuk’ plug-in geïntegreerd die bewerkstelligde dat bij een bezoek aan de website persoonsgegevens werden doorgestuurd naar Facebook, ook al werd niet op de plug-in knop gedrukt. Het HvJ EU oordeelde dat Fashion ID en Facebook gezamenlijke verwerkingsverantwoordelijken waren voor de verzameling en doorgifte van persoonsgegevens naar Facebook doordat Fashion ID met de knop op zijn website op een beslissende wijze invloed uitoefende op de verwerking van de persoonsgegevens ten gunste van Facebook, maar ook ten gunste van zijn eigen economische belangen. Daarvoor was het niet nodig dat Fashion ID toegang had tot de betreffende persoonsgegevens.

Verwerker

De situatie van gezamenlijke verwerkingsverantwoordelijkheid op basis van converging decisions moet echter worden onderscheiden van de rol als verwerker. De verwerker verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke en daarmee niet voor eigen doeleinden. Een simpel voorbeeld daarvan is de online webshop (verwerkingsverantwoordelijke) die zijn website laat hosten door een hostingprovider (verwerker).

Op grond van artikel 28 moet de verhouding tussen de verwerkingsverantwoordelijke en de verwerker worden vastgelegd in een verwerkersovereenkomst. Daaruit moet bijvoorbeeld blijken wat de verwerker wel of niet mag doen met de persoonsgegevens die de verwerkingsverantwoordelijke aanlevert, voor welke doeleinden dit gebeurt en welke beveiligingsmaatregelen daarvoor worden genomen.

In oktober 2020 heeft de Autoriteit Persoonsgegevens (AP) een verkennend onderzoek uitgevoerd naar verwerkersovereenkomsten in de private sector (handel, gezondheidszorg, media, vrije tijd en energie). Het doel was om een beter beeld te krijgen van hoe organisaties deze overeenkomsten opstellen. De conclusie is dat er zeer diverse verwerkersovereenkomsten in gebruik zijn. Dit past bij de voornoemde (concept)richtlijnen van de EDPB, waarin wordt benadrukt dat hoewel de AVG voorschrijft wat in een verwerkersovereenkomst moet komen te staan, de verwerkersovereenkomst specifiek en concreet moet zijn in de betreffende context. Dit brengt met zich mee dat een verwerkersovereenkomst periodiek moet worden herzien en bijgesteld indien nodig.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Abonneer u op privacyartikelen

U ontvangt alleen updates van onze blog
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.