Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/2.2.3.2
2.2.3.2 ‘Verwerkingsverantwoordelijke’
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660909:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Art. 4 onder 7 AVG. Dit artikel bepaalt verder dat, wanneer de doelstellingen van en de middelen voor deze verwerking in het EU-recht of het lidstatelijke recht worden vastgesteld, daarin kan worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. Zie ook verderop in deze paragraaf.
Art. 26 AVG. Iedere partij die deelneemt aan de vaststelling van het doel van en de middelen voor deze verwerking kan worden gekwalificeerd als een verwerkingsverantwoordelijke (HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, pt. 68 (Jehovan); HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 68 (Fashion ID)).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 34 (Google Spain); HvJ EU 5 juni 2018, ECLI:EU:C:2018:388, pt. 28 (Wirtschaftsakademie); HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, pt. 66 (Jehovan); HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 66 (Fashion ID). Zie in gelijke zin: Conclusie M. Bobek 19 december 2018, ECLI:EU:C:2018:1039, pt. 72-76 (Fashion ID); Mahieu, Van Hoboken & Asghari 2019; Demetzou 2020-II, §II.B.
Deze aanwijzingen zijn in 2010 door de art. 29-werkgroep opgesteld (art. 29-werkgroep 2010, WP 169) en in 2020 door het Europees Comité voor gegevensbescherming herzien en uitgewerkt (Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020). Zij zijn zodoende opgesteld nog voordat het HvJ EU zich over het verwerkingsverantwoordelijkebegrip heeft uitgelaten. De uitspraken die daarna op dit punt zijn gewezen zijn in lijn met de aanwijzingen. Zie over de art. 29-werkgroep ook de tweede voetnoot van §2.2.2.2.
Art. 29-werkgroep 2010, WP 169, §III.1.a; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 12.
Om als verwerkingsverantwoordelijke te worden gekwalificeerd, is m.a.w. niet vereist dat een entiteit het doel en de middelen heeft vastgelegd van de verwerking die het betreft in richtsnoeren of instructies, zie HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, pt. 67 (Jehovan).
Zie Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 37-39, waarin dit onderscheid wordt toegelicht. Zie verder art. 29-werkgroep 2010, WP 169, §III.1.a en III.1.b.
Art. 29-werkgroep 2010, WP 169, §III.1.a; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 19.
Art. 29-werkgroep 2010, WP 169, §III.1.a; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 19.
Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 37-39.
Zie hierover ook §6.2.2.
De art. 29-werkgroep onderscheidde er drie. Naast de twee uit de hoofdtekst legde zij uit dat ook een impliciete bevoegdheid de hoedanigheid van verwerkingsverantwoordelijke kan meebrengen. Zo’n bevoegdheid kan bijv. bestaan bij de aanwezigheid van vaste juridische praktijken. Traditionele rollen zijn dan van belang. Zo is een vereniging vanwege een impliciete bevoegdheid de verwerkingsverantwoordelijke t.a.v. de verwerking van de gegevens van haar leden en draagt een werkgever om dezelfde reden de verantwoordelijkheid voor de verwerking van de gegevens van zijn werknemers (art. 29-werkgroep 2010, WP 169, §III.1.a.2). Dat deze grondslag niet meer terugkomt in de aanwijzingen van het Comité, heeft mogelijk te maken met dat er in dergelijke gevallen ook feitelijke invloed zal zijn.
Art. 29-werkgroep 2010, WP 169, §III.1.a.1; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 21-22.
Art. 29-werkgroep 2010, WP 169, §III.1.a.3; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, pt. 23-28.
HvJ EU 5 juni 2018, ECLI:EU:C:2018:388 (Wirtschaftsakademie). In gelijke zin Concl. A-G M. Bobek 19 december 2018, ECLI:EU:C:2018:1039, pt. 99 (Fashion ID).
A-G. M. Bobek legt in dit kader uit dat verwerkingen zelden lineair verlopen, vaak niet in een voor de hand liggende volgorde plaatsvinden en ook niet door één persoon worden verricht: “Persoonsgegevens zullen vermoedelijk veeleer een cyclische levensduur hebben, heen en weer worden verzonden en hier en daar vertakkingen hebben, op allerlei plaatsen worden verzameld en vervolgens door iemand anders bekeken worden en daarna samengevoegd en bekeken worden en weer daarna wellicht opnieuw worden samengevoegd en doorgezonden naar iemand anders enz.”, zie Concl. A-G M. Bobek 19 december 2018, ECLI:EU:C:2018:1039, pt. 99 (Fashion ID). Zie verder art. 29-werkgroep 2010, WP 169, §I, II.2, III.1.d, en IV en Mahieu, Van Hoboken & Asghari 2019, nr. 12.
HvJ EU 5 juni 2018, ECLI:EU:C:2018:388, pt. 36 (Wirtschaftsakademie).
In gelijke zin Ducuing, Schroers & Kindt 2018, §III; Mahieu, Van Hoboken & Asghari 2019, §III.1; Oostveen 2021, §5.
HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 100 (Fashion ID).
HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, pt. 68 (Jehovan); HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 68 (Fashion ID).
Dit wordt ook wel co-control genoemd. Zie Oostveen 2021, §2.
HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 101 (Fashion ID).
Art. 29-werkgroep 2010, WP 169, §III.1.d; HvJ EU 5 juni 2018, ECLI:EU:C:2018:388, pt. 43 (Wirtschaftsakademie); HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 70 (Fashion ID); Mahieu, Van Hoboken & Asghari 2019, §B.III.3.
Zie hierover uitgebreider Oostveen 2021, §4.
Art. 29-werkgroep 2010, WP 169, §III.1.d; Europees Comité voor gegevensbescherming 2021, richtsnoeren 07/2020, §3.2.
Een verwerkingsverantwoordelijke is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (…)”.1 Iedere verwerking kent minimaal één verwerkingsverantwoordelijke. Er kunnen ook meerdere verwerkingsverantwoordelijken bij een persoonsgegevensverwerking zijn betrokken (zie de laatste alinea van deze paragraaf).2
Verwerkingsverantwoordelijken dienen ervoor te zorgen dat hun verwerkingen aan de AVG voldoen en dragen hier ook de juridische verantwoordelijkheid voor.3 Omwille van de waarborging van een “doeltreffende en volledige bescherming van betrokkenen” legt het HvJ EU het begrip verwerkingsverantwoordelijke ruim uit.4 Het heeft echter nog geen duidelijke criteria geformuleerd aan de hand waarvan kan worden beoordeeld of iemand ‘het doel en de middelen’ van een verwerking vaststelt, maar lijkt zich op dit punt aan te sluiten bij de hierop betrekking hebbende aanwijzingen van de art. 29-werkgroep/het Europees Comité voor gegevensbescherming.5 In deze paragraaf verwijs ik daarom geregeld naar deze aanwijzingen.
Verwerkingsverantwoordelijke is een functioneel begrip. Het uitgangspunt is dat de partij die feitelijk voor een verwerking verantwoordelijk is, ook de juridische verantwoordelijkheid draagt.6 Bij de vaststelling van de verwerkingsverantwoordelijke ten aanzien van een specifieke verwerking spelen feitelijke omstandigheden dan ook een grote rol.7 Het is van belang wie het doel en de middelen van de betreffende verwerking daadwerkelijk heeft vastgesteld. Verwerkingsverantwoordelijkheid draait, met andere woorden, om beslissingsmacht. Daarbij is vooral belangrijk wie het doel (het ‘waarom’) van de verwerking heeft bepaald. De verwerkingsverantwoordelijke kan het vaststellen van sommige middelen (het ‘hoe’) delegeren aan een verwerker.8 Bij de vaststelling van de verwerkingsverantwoordelijke moet daarom hoofdzakelijk worden onderzocht wie besluit persoonsgegevens voor eigen doeleinden te verwerken en beslist over de redenen die aan de verwerking ten grondslag liggen.9 De AVG gaat ervan uit dat deze entiteit ook de verwerking vormgeeft, en dus de middelen ervoor bepaalt. Dit betekent dat zij onder meer beslist welke gegevens worden verwerkt, hoe lang de verwerking duurt en wie de verwerking verricht.10 Zoals gezegd kan de verwerkingsverantwoordelijke het vaststellen van bepaalde middelen delegeren. Het gaat daarbij om de zogenoemde niet-essentiële middelen. Dit zijn veelal de praktische aspecten van de verwerking, zoals de keuze voor specifieke beveiligingsmaatregelen.11 Het doet dan ook niet aan de kwalificatie van een entiteit als ‘verwerkingsverantwoordelijke’ af (en evenmin aan haar verantwoordelijkheden), als hij het aan een verwerker laat om de specifieke te treffen beveiligingsmaatregelen te kiezen.12
Het Europees Comité voor gegevensbescherming onderscheidt twee omstandigheden waaruit beslissingsmacht (en dus verwerkingsverantwoordelijkheid) kan worden afgeleid.13
De eerste grond voor beslissingsmacht speelt als de wet aangeeft wie de verwerkingsverantwoordelijke voor een verwerking is of criteria geeft voor de vaststelling van de identiteit van de verwerkingsverantwoordelijke.14 Dergelijke ‘uitdrukkelijke juridische bevoegdheid’ gaat vaak gepaard met de wettelijke verplichting tot het verrichten van een bepaalde verwerking.15 In strikte zin heeft de verwerkingsverantwoordelijke in deze gevallen niet zozeer het doel van de verwerking bepaald (dit zal veelal de wetgever zijn geweest), maar heeft hij vanwege de wet toch de beslissingsmacht en verantwoordelijkheid. Een Nederlands voorbeeld van een bepaling waarin de beslissingsmacht op deze manier wordt toegekend, is de zogenoemde know your customer-verplichting, op grond waarvan financiële ondernemingen in bepaalde situaties informatie dienen in te winnen over een klant ten behoeve van de beoordeling van de geschiktheid van een financiële dienst of een financieel product voor een bepaalde klant.16
De tweede omstandigheid waaruit beslissingsmacht blijkt is de feitelijke invloed. Of er sprake is van feitelijke invloed moet blijken uit een diepgaande analyse van de feitelijke situatie. Contracten zijn daarbij van belang, maar niet doorslaggevend. Een partij zonder feitelijke invloed is nooit verwerkingsverantwoordelijke, ook niet als een contract bepaalt van wel.17 De feitelijke invloed van een entiteit moet worden beoordeeld per verwerking.18 Doordat in de praktijk vaak vele verschillende verwerkingen door elkaar lopen, kan het lastig zijn een verwerking geïsoleerd te bekijken en te beoordelen welke partij ten aanzien waarvan feitelijk het doel en de middelen bepaalt.19 Het HvJ EU heeft in ieder geval verduidelijkt dat een partij feitelijke invloed kan hebben ten aanzien van een verwerking die wordt verricht door een door haar gekozen platform (in de uitspraak Facebook) – bijvoorbeeld indien zij via de door haar gekozen instellingen invloed op deze verwerking heeft kunnen uitoefenen.20
De ruime uitleg van het begrip verwerkingsverantwoordelijke brengt mee dat er vaak meerdere verwerkingsverantwoordelijken zijn betrokken bij een verwerking.21 Als uitgangspunt geldt dan dat deze partijen slechts verantwoordelijk zijn voor de verwerkingen waarvan ze daadwerkelijk het doel en de middelen hebben vastgesteld.22 Wanneer meerdere partijen dit tezamen hebben gedaan, is er gezamenlijke verantwoordelijkheid.23 Als een verwerking is op te splitsen in meerdere delen, en de middelen en doelen van de verschillende delen door verschillende partijen zijn bepaald, zijn de partijen zelfstandig verwerkingsverantwoordelijk voor het deel waarvan zij het doel en de middelen hebben bepaald.24 Zij zijn dan dus niet gezamenlijk verantwoordelijk voor verwerkingen die plaatsvinden voorafgaand aan of na afloop van ‘hun’ verwerking, ook niet als er wel een relatie tussen deze handelingen bestaat.25
Bij gezamenlijke verantwoordelijkheid is niet per se iedere betrokken verwerkingsverantwoordelijke in gelijke mate verantwoordelijk.26 Hoewel zij doorgaans allemaal kunnen worden aangesproken voor de gehele ontstane schade,27 dient in hun onderlinge relatie de verantwoordelijkheid te worden verdeeld. Hoe deze verdeling plaatsvindt, is nog onduidelijk.28 Per geval moet worden onderzocht welke verantwoordelijkheid de betrokken partijen precies hebben en hoe die inwerkt op hun aansprakelijkheid. Hieruit volgt onder meer dat zij niet per se allemaal verantwoordelijk zijn voor de beveiliging van de te verwerken persoonsgegevens.29