Zonder het te weten worden onze persoonsgegevens dagdagelijks verwerkt. Denk maar aan bijvoorbeeld het voorbijrijden van een ANPR-camera. Wist u dat deze camera’s persoonsgegevens verwerken en dat deze ook gedurende een bepaalde tijd worden bijgehouden door de politie? Dit is maar één van de duizenden voorbeelden van een gegevensverwerking waarbij de mens niet bij stil staat. Bij iedere gegevensverwerking is er een verwerkingsverantwoordelijke en een verwerker die wordt aangeduid die elk zijn eigen verplichtingen heeft in het kader van het verwerken van persoonsgegevens. Dit ter bescherming van natuurlijke persoon wiens persoonsgegevens wordt verwerkt. Wat wordt er nu verstaan onder een verwerkingsverantwoordelijke en verwerker?
Een verwerkingsverantwoordelijke
Onder een verwerkingsverantwoordelijke wordt op grond van art. 4, 7) AVG verstaan: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.”
Volgens de AVG is er geen beperking ten aanzien van het soort entiteit die wordt aangeduid als verwerkingsverantwoordelijke. Dit kan zowel een organisatie, als een persoon of een groep personen zijn. Doch wanneer een persoon wordt aangeduid als verwerkingsverantwoordelijke, treedt deze persoon op namens de rechtspersoon. Dit wil zeggen dat de uiteindelijke verantwoordelijkheid in geval van een inbreuk op de regels bij de rechtspersoon ligt en niet de natuurlijke persoon die in naam van deze laatste optreedt.
In sommige gevallen kan het zijn dat de verwerkingsverantwoordelijke bij wet wordt aangeduid. Dit wil zeggen dat de wetgever de welbepaalde entiteit als verwerkingsverantwoordelijke heeft aangewezen die daadwerkelijk in staat is zeggenschap uit te oefenen. Dit is bijvoorbeeld het geval voor de politie in het kader van de ANPR-camera’s. Zij hebben de bevoegdheid volgens de wet om bepaalde gegevens bij te houden wanneer een automobilist voorbij de ANPR-camera rijdt.
Wanneer de verwerkingsverantwoordelijke niet bij wet wordt aangeduid, moet de kwalificatie als verwerkingsverantwoordelijke worden vastgesteld op basis van relevante feitelijke omstandigheden waarin de verwerking plaatsvindt. Dit wil zeggen dat de entiteit een beslissende invloed moet uitoefenen op de verwerking van de persoonsgegevens. Denk maar bijvoorbeeld aan een advocatenkantoor die zijn cliënt wil vertegenwoordigen voor de rechtbank. Om zijn cliënt te kunnen verdedigen, moet de advocaat in kwestie persoonsgegevens gaan verwerken die verband houden met de zaak.
De verwerkingsverantwoordelijke moet beslissen over het doel en de middelen die betrekking heeft op de gegevensverwerking. Het is ten alle tijden verboden om gegevens te verwerken zonder enig doel. Wat betreft de middelen zijn er twee soorten middelen. Wezenlijke middelen zijn middelen die nauw verbonden zijn met het doel en de reikwijdte van de verwerking zoals bijvoorbeeld de duur van de verwerking en welke gegevens worden verwerkt. Niet-wezenlijke middelen zijn meer praktische aspecten van de uitvoering zoals bijvoorbeeld de keuze voor een type software.
Een verwerker
Onder een verwerker wordt op grond van art. 4, 8) AVG verstaan: “een natuurlijke persoon of een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.
Een verwerker wordt aangeduid door een verwerkingsverantwoordelijke. Ook hier kunnen er meerdere partijen worden aangeduid. Dit wil zeggen dat er geen beperking bestaat ten aanzien van welk type partij de rol opneemt van verwerker. Twee voorwaarden zijn voorhanden om een verwerker aan te duiden. Als eerste moet de verwerker een aparte rechtspersoon (externe organisatie) zijn, die dus los staat van de verwerkingsverantwoordelijke. Daarnaast moet de verwerker persoonsgegevens verwerken namens de verwerkingsverantwoordelijke. Deze laatste betekent dat de verwerker de belangen van de verwerkingsverantwoordelijke zal dienen. Er is geenszins sprake van rechtstreeks gezag of controle in hoofde van de verwerkingsverantwoordelijke. Dit wil zeggen dat de verwerker de gegevens niet op een andere manier mag verwerken dan volgens de instructies van de verwerkingsverantwoordelijke. Toch moet de verwerker de meest geschikte technische en organisatorische middelen kiezen dus is een bepaalde vrijheid laten bij de instructies aangeraden. De verwerker kan aansprakelijk worden gesteld in geval van niet-naleving van de regels of wanneer hij buiten of in strijd met de wettelijke instructies van de verwerkingsverantwoordelijke handelt.
De rol van een verwerker vloeit niet voort uit de aard van een entiteit die gegevens verwerkt, maar wel uit haar concrete activiteiten in een specifieke context. Dit betekent dat eenzelfde entiteit tegelijkertijd een verwerker en een verwerkingsverantwoordelijke kan zijn maar in het kader van een andere verwerkingsactiviteit.
Besluit
Er zijn heel wat regels die gelden omtrent het verwerken van persoonsgegevens. Het is dus heel belangrijk om eerst goed na te gaan welke verplichtingen gelden in dit kader, ook wat betreft de verwerkingsverantwoordelijke en verwerker. U mag niet zomaar eender wie aanduiden om deze rol op zich te nemen.
Indien u meer informatie wilt of vragen hebt omtrent dit onderwerp, aarzel niet om ons te contacteren.
Bron: AVG en ‘Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG’