Op 16 december 2016, publiceerde de Artikel 29-werkgroep (WP29) op haar website richtlijnen en FAQ’s ter verduidelijking van een drietal begrippen uit de Algemene Verordening Gegevensbescherming (AVG). In dit artikel een bespreking van de richtlijnen ten aanzien van de leidende toezichthouder.
De Algemene Verordening Gegevensbescherming (AVG) gaat uit van het zogeheten OneStopShop-principe. Dit principe heeft als gevolg dat organisaties, met meerdere vestigingen in meerdere lidstaten, voor grensoverschrijdende gegevensverwerkingen vallen onder het toezicht van slechts één leidende toezichthouder.
Er is sprake van een grensoverschrijdende gegevensverwerking (artikel 4 lid 23 AVG), wanneer:
- er persoonsgegevens worden verwerkt tussen vestigingen en/of verantwoordelijke(n) en /of bewerker(s) gevestigd in verschillende lidstaten; of
- betrokkenen in meerdere lidstaten, dan enkel de lidstaat waarin een organisatie gevestigd is, waarschijnlijk wezenlijke gevolgen ondervinden van deze gegevensverwerking.
De eerste situatie is helder, minder helder daarentegen is de tweede situatie. Het begrip ‘waarschijnlijk wezenlijke gevolgen’ wordt in de Richtlijnen dan ook nader uitgewerkt.
Waarschijnlijk wezenlijke gevolgen voor betrokkene van gegevensverwerking
Volgens WP29 kan er worden gesproken van ‘waarschijnlijk wezenlijke gevolgen’ voor betrokkenen, wanneer het waarschijnlijker is dat betrokkenen gevolgen van de gegevensverwerking ondervinden dan dat deze ze niet ondervinden. Hierbij moeten door de toezichthouder de context van de gegevensverwerking, het soort persoonsgegevens, de doeleinden van de gegevensverwerking en andere factoren in acht worden genomen. Voorbeelden van deze andere factoren zijn, of de gegevensverwerking (waarschijnlijk) leidt tot:
- schade, verlies en/of leed bij individuen;
- beperking van rechten, of ontzegging van mogelijkheden;
- effecten op de gezondheid van geest of lichaam van individuen;
- discriminatie of ongelijke behandeling;
- analyses met betrekking tot bijzondere persoonsgegevens of gegevens van kinderen;
- verandering van gedrag van individuen;
- onwaarschijnlijke, onvoorziene en ongewenste consequenties;
- vernedering of andere negatieve resultaten, inclusief reputatieschade;
- de verwerking van een grote diversiteit aan persoonsgegevens.
Welke nationale toezichthouder is de leidende toezichthouder?
Voor zowel een verantwoordelijke als een bewerker is het relevant om op de hoogte te zijn van de leidende toezichthouder. Dit, aangezien bij deze toezichthouder aan de verplichtingen op basis van de AVG, zoals bijvoorbeeld de meldplicht datalekken, dient te worden voldaan.
De hoofdregel ten aanzien van de leidende toezichthouder is, dat dit de toezichthouder is van de lidstaat waarin de hoofdvestiging is gevestigd. Als hoofdvestiging wordt in de AVG de vestiging aangemerkt waar de centrale administratie is gelegen of waar beslissingen ten aanzien van de doelstellingen en aanpak van gegevensverwerkingen worden genomen. Hierbij is het niet relevant of in deze vestiging daadwerkelijk de grensoverschrijdende gegevensverwerking plaatsvindt. Daarnaast is het relevant om op te merken dat naast de leidende toezichthouder, andere toezichthouders bevoegd blijven om zelfstandig te handelen bij een klacht of inbreuk op de AVG welke enkel verband houdt met één vestiging.
Verantwoordelijke en bewerker hebben een verschillende leidende toezichthouder
Het is voor de toepassing van het OneStopShop-principe niet relevant of een organisatie functioneert als bewerker, dan wel als verantwoordelijke. Dit is echter anders, indien een verantwoordelijke voor diens gegevensverwerking een bewerker inschakelt welke onder de autoriteit van een andere leidende toezichthouder valt. Wanneer dat het geval is valt de bewerker, enkel ten aanzien van die specifieke gegevensverwerking, eveneens onder de autoriteit van de leidende toezichthouder van de verantwoordelijke. Dit zou in de toekomst dus tot gevolg kunnen hebben dat de AP behoorlijk kan gaan handhaven bij Amerikaanse bewerkers, zoals bijvoorbeeld Google of Amazon.
