Ben ik verwerkingsverantwoordelijke of verwerker

Verwerkingsverantwoordelijke of verwerker


Ben ik nu een verwerkingsverantwoordelijke of een verwerker? Of is er een gezamenlijke verantwoordelijkheid voor het verwerken van persoonsgegevens? Ondanks dat de Algemene Verordening Gegevensbescherming (AVG) al weer een tijdje van toepassing is, zijn er nog steeds veel vragen over deze verordening. Zo blijkt het in de praktijk lastig  te zijn om vast te stellen of je verwerkingsverantwoordelijke of verwerker bent. Laat staan of je misschien een gezamenlijke verantwoordelijkheid hebt?

Meer duidelijkheid over de vraag of je verwerkingsverantwoordelijke of verwerker bent

Op 7 juli jl. heeft de European Data Protection Board (EDPB) guidelines gepubliceerd. Deze “Guidelines 07/2020 on the concepts of controller and processor” waren al eerder ter consultatie gepubliceerd en gaan in op de begrippen verwerker, verwerkingsverantwoordelijke en gezamenlijke verwerkingsverantwoordelijke. Ook wordt er ingegaan op de belangrijkste gevolgen voor verantwoordelijken, verwerkers en gezamenlijke verantwoordelijken van persoonsgegevens.

Guidelines EDPB als hulpmiddel

De guidelines beogen een hulpmiddel te zijn bij het vaststellen of je als verwerkingsverantwoordelijke of verwerker wordt gekwalificeerd, of dat er sprake is van een gezamenlijke verwerkingsverantwoordelijkheid. Naast de tekst die zeer uitvoerig is worden er tal van voorbeelden gegeven. Het document eindigt met een flowchart die je (relatief) eenvoudig moet helpen bij het vaststellen van je verantwoordelijkheid. Ook wordt in de guidelines ingegaan op de verantwoordelijkheden die je als verwerkingsverantwoordelijke of verwerker hebt.

Ben ik verwerkingsverantwoordelijke of verwerker?

Mocht je nu denken: “hoe zat het ook alweer met die verwerkingsverantwoordelijke en die verwerker?” Op juridict.nl zijn veel specifieke artikelen hierover terug te vinden. Een voorbeeld is altijd weer een aardige manier om mee te beginnen:

Een pakkend voorbeeld is steeds weer de werkgever die de gegevens verwerkt van zijn werknemers. De werkgever bepaalt het doel en de middelen voor de verwerking van die gegevens en is daarmee de verwerkingsverantwoordelijk. Wanneer deze werkgever vervolgens een derde inschakelt voor het uitvoeren van de salarisadministratie, dan is die derde als snel aan te merken als een verwerker. Maar wat nu als werkgever een chocolatier vraagt om een mooie doos chocolade laat bezorgen bij een aantal medewerkers? Deze chocolatier bepaalt op zijn beurt het doel en de middelen om de bezorgopdracht te kunnen uitvoeren. De chocolatier is daarmee zelf een verwerkingsverantwoordelijke. Hieronder nog even een korte samenvatting.

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is op grond van art. 4 AVG een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker

De verwerker is degene (veelal een toeleverancier/ dienstverlener) die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke. Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Wanneer een verwerker tevens de persoonsgegevens voor eigen doeleinden verwerkt, is er voor dat deel sprake van medeverantwoordelijkheid.

Vragen over de verwerkingsverantwoordelijke of over de verwerker?

Heb je nog vragen over de rol van verwerkingsverantwoordelijke of van verwerker of over het privacyrecht in het algemeen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.