(Gezamenlijk) verwerkingsverantwoordelijke of verwerker: wat ben ik?

Wanneer ben je nu een verwerkingsverantwoordelijke, een verwerker of gezamenlijke verwerkingsverantwoordelijken? Fruytier Lawyers in Business vertelt u graag het verschil.

Verwerkingsverantwoordelijke is de partij die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Een verwerker is de partij die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Er lijkt tussen deze beide definities een vast onderscheid te bestaan. De verwerkingsverantwoordelijke verwerkt naar eigen inzicht persoonsgegevens. Daarbij kan deze een verwerker inschakelen, die op instructie de persoonsgegevens verwerkt en daarbij geen eigen doel of middelen vaststelt.

Ten tijde van de invoering van de AVG in 2018 was er een hausse aan verwerkersovereenkomsten die partijen aan elkaar toezonden, omdat dat zou moeten. Wijzer geworden (of geschrokken van een enorme administratieve last) , namen veel partijen het standpunt in, geen verwerker te zijn en dus ook geen verwerkersovereenkomst te hoeven aangaan.

Welke voorbeelden geeft de Autoriteit Persoonsgegevens?

Als een clouddienst ten behoeve van uw organisatie (persoons)gegevens verwerkt, en daarbij ook is overeengekomen dat automatisch de persoonsgegevens worden geanalyseerd voor marketingdoeleinden, dan wordt de clouddienst daarmee ook verwerkingsverantwoordelijke.

Wanneer een zzp-er wordt ingehuurd om een tijdelijk een zwangerschapsverlof op te vangen, en de zzp-er werkt enkel binnen de organisatie met de persoonsgegevens in opdracht van de verwerkingsverantwoordelijke, dan is de zzp-er een verwerker.

Als persoonsgegevens worden verstrekt in het kader van een opdracht aan een zzp-er, dan is deze zzp-er weer een verwerkingsverantwoordelijke.

Een ander voorbeeld is wanneer persoonsgegevens door een bedrijf worden verstrekt aan de advocaat voor een zaak. Dan bepaalt in dat geval de advocaat zelf hoe die persoonsgegevens worden ingezet. De hoofdactiviteit ligt in de juridische dienst verlening, niet de persoonsgegevensverwerking. De advocaat is dan ook verwerkingsverantwoordelijke.

In voorkomende gevallen ontstaat er echter een gedeelde verwerkingsverantwoordelijkheid. En anders dan rond de invoering van de AVG werd aangenomen, is dat geen weinig voorkomende situatie.

Gezamenlijke verwerkingsverantwoordelijkheid

Er is sprake van een gezamenlijke verwerkingsverantwoordelijkheid, als beide partijen gezamenlijk doel en middelen bepalen voor de verwerking. Maar ook in het geval als er samenvallende verwerkingen zijn, waarbij de ene verwerking niet los gezien kan worden van de andere, is er sprake van gezamenlijke verwerkingsverantwoordelijkheid. Een sprekend voorbeeld is daarvan de Jehova getuigen zaak uit 2018 van het Hof van Justitie van de EU. Hierin werd de kerk en de afzonderlijke deur-aan-deur predikers als gezamenlijke verwerkingsverantwoordelijken aangemerkt voor de door de afzonderlijke getuigen aan de kerk aangeleverde persoonsgegevens die zij tijdens hun tocht langs de deuren verzamelden.

Ook is het niet nodig dat beide partijen in gelijke mate toegang hebben tot de persoonsgegevens. Dit besliste het Hof van Justitie van de EU in 2018 in de zaak ‘Wirtschaftsakademie’. In die zaak werd besloten dat de beheerder van een fanpagina op Facebook, zoals Wirtschaftsakademie, door het vastleggen van instellingen naargelang van, met name, zijn doelpubliek en van doelstellingen voor het beheer of de promotie van zijn activiteiten, deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van zijn fanpagina. Ook al verkreeg de beheerder enkel statistische gegevens.

AVG

In de AVG is daarvoor in artikel 26 opgenomen dat beide partijen daarvoor een ‘onderlinge regeling’ opstellen, waarin beide partijen op transparante wijze hun respectievelijke verantwoordelijkheden voor de nakoming van de verplichtingen uit de AVG vastleggen. Dat is vormvrij, maar vanuit het oogpunt van de transparantie en accountability, is enige vastlegging wel aan te raden.

Die verplichtingen betreffen de uitoefening van de rechten van de betrokkenen en de verplichting om de informatie te verstrekken als bedoeld in artikel 13 of 14 AVG (informatie die moet worden verstrekt wanneer de persoonsgegevens worden verzameld). Niet alleen dat, ook de wezenlijke inhoud van de onderlinge regeling dient aan de betrokkene beschikbaar te worden gesteld.

De werkelijkheid is dus weerbarstiger dan de papieren wereld. Niet vaak zal een verwerker ook daadwerkelijk enkel ten behoeve van de verwerkingsverantwoordelijke de verstrekte persoonsgegevens verwerken. Zodra een ontvanger van de persoonsgegevens een eigen doel of middel bepaalt, wordt deze voor die verwerking een ook verwerkingsverantwoordelijke. Het kan zijn dat beide als zelfstandige verwerkingsverantwoordelijken worden aangemerkt. In dat geval hoeft er geen ‘onderlinge regeling’ te zijn. Maar zodra er een afgestemde of samenvallende persoonsgegevensverwerking aan de orde is, is het goed om aan artikel 26 AVG aandacht te besteden.

De toezichthouder, de Autoriteit Persoonsgegevens, kijkt niet naar hoe partijen de rechtsverhouding noemen, maar hoe het in de werkelijkheid uitwerkt. Als er in werkelijkheid geen verwerkersrelatie is, maar een gedeelde verwerkersverantwoordelijkheid, dan treft beide partijen daarvan een verwijt. En mogelijk een boete.

Advies

Neem contact op met mr. Jop Fellinger voor het opstellen van een adequate ‘onderlinge regeling’.