De Algemene verordening gegevensbescherming (AVG) dient de regels omtrent de verwerking van persoonsgegevens in de gehele Europese Unie (EU) te standaardiseren: voor alle lidstaten van de EU gelden dezelfde regels. Om de consequente toepassing van de AVG te waarborgen en de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU te bevorderen, is de European Data Protection Board (EDPB) opgericht. Dit onafhankelijke Europese orgaan publiceert onder andere richtlijnen over de interpretatie van kernonderwerpen uit de AVG. Vorige week bespraken wij in onze blog al de door de EDPB opgestelde guidelines inzake social media targeting. Deze week gaan we dieper in op de guidelines inzake de rolverdeling.
Rolverdeling
De AVG kent in hoofdlijnen twee verschillende rollen bij de verwerking van persoonsgegevens: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is die partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerker is de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Heldere definities, dus makkelijk te bepalen wie nou de verwerkingsverantwoordelijke is en wie de verwerker, zou je zeggen. Zo simpel is het in de praktijk alleen niet. Het blijkt soms namelijk best lastig om vast te stellen wie nou de verwerkingsverantwoordelijke en wie de verwerker is. Het is echter van groot belang om de rolverdeling helder te hebben, omdat de rol die je inneemt in de verwerking van persoonsgegevens, bepaalt aan welke verplichtingen onder de AVG je moet voldoen. De EDPB achtte het daarom van belang om de juiste interpretatie van deze concepten onder de AVG voor eens en voor altijd te verduidelijken, zodat ze door de gehele Europese Unie consistent doorgevoerd worden. In een eerder advies ging de EDPB al in op de interpretatie van de begrippen verwerkingsverantwoordelijke en verwerker, maar inmiddels zijn we 10 jaar verder en is dit advies toe aan een update.
Guidelines 07/2020
In haar Guidelines 07/2020 on the concept of controller and processor in the GDPR maakt de EDPB een onderscheid tussen drie verschillende rollen: de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerker. De definitie van de verwerkingsverantwoordelijke bevat vijf verschillende elementen, waaraan een partij moet voldoen om als verwerkingsverantwoordelijke aangemerkt te kunnen worden. Het moet gaan om:
een (1) natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, (2) alleen of samen met anderen, (3) het doel van en de middelen (4) voor de verwerking van persoonsgegevens (5) vaststelt.
Het eerste element betekent in principe dat iedereen, zelfs een individu, verwerkingsverantwoordelijke kan zijn in de zin van de AVG. In de praktijk zien we echter dat het meestal de organisatie is en niet een individu, zoals de CEO of medewerker, die als verwerkingsverantwoordelijke optreedt. Uiteindelijk handelt dit individu namelijk niet voor zichzelf, maar ten behoeve van de entiteit waarvoor hij of zij werkt. Het tweede element erkent dat meerdere partijen als verwerkingsverantwoordelijke kunnen optreden voor dezelfde verwerking, waarbij ieder van hen moet voldoen aan de verplichtingen onder de AVG. Partijen zijn als gezamenlijke verwerkingsverantwoordelijken aan te merken, wanneer zij gezamenlijk het doel en de middelen voor de verwerking bepalen en wanneer de verwerking niet mogelijk is zonder de medewerking van beide partijen.
Het derde element ziet daarnaast op het feit dat de verwerkingsverantwoordelijke het doel en de middelen van de verwerking bepaalt. Deze partij stelt het hoe en waarom van de verwerking vast. Daarbij is het niet van belang of de verwerkingsverantwoordelijke toegang heeft tot de persoonsgegevens en kunnen niet-essentiële middelen ook door de verwerker vastgesteld worden.
Op basis van het vierde element moet het door de verwerkingsverantwoordelijke vastgestelde doel en de middelen ook daadwerkelijk betrekking hebben op de verwerking van persoonsgegevens. Partijen dienen daarom altijd na te gaan of de gegevens die zij verwerken mogelijk persoonsgegevens zijn. Het is daarbij wederom niet van belang of de verwerkingsverantwoordelijke toegang heeft tot de persoonsgegevens.
Het vijfde element ziet tot slot op de vraag of de partij invloed heeft op de verwerking: mag de partij belangrijke beslissingen nemen over de verwerking van de persoonsgegevens? Dit kan vastliggen in de wet, maar kan ook voortvloeien uit een analyse van de feitelijke elementen of omstandigheden van de zaak. Voldoet een partij aan deze vijf elementen, dan is deze als (gezamenlijke) verwerkingsverantwoordelijke aan te merken.
Verwerker
Om als verwerker gekwalificeerd te kunnen worden, zijn er slechts twee criteria waaraan een partij moet voldoen: de partij moet een afzonderlijke entiteit zijn ten opzichte van de verwerkingsverantwoordelijke en persoonsgegevens verwerken ten behoeve van de verwerkingsverantwoordelijke. Dit betekent dat de verwerker enkel op basis van instructies van de verwerkingsverantwoordelijke mag handelen, waarbij er wel wat ruimte voor de verwerker is om zelf de meest passende technische en organisatorische middelen te kiezen om de gegevens te verwerken. In ieder geval mag de verwerker niet zelf het doel en de middelen van de verwerking vaststellen. In dat geval zal de verwerker als verwerkingsverantwoordelijke gezien worden en kan deze een boete verwachten, omdat er tegen de instructies van de verwerkingsverantwoordelijke gehandeld is.