ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Artikel 29-werkgroep richtlijnen ten aanzien van de leidende toezichthouder in de AVG

12 januari 2017 Door

Juridisch Product

De Wet bescherming persoonsgegevens biedt organisaties ruimte om een functionaris gegevensbescherming aan te stellen. Met de naderende Algemene Verordening Gegevensbescherming is het voor sommige organisaties zelfs verplicht.

Op 16 december 2016, publiceerde de Artikel 29-werkgroep (WP29) op haar website richtlijnen en FAQ’s ter verduidelijking van een drietal begrippen uit de Algemene Verordening Gegevensbescherming (AVG). In dit artikel een bespreking van de richtlijnen ten aanzien van de leidende toezichthouder.

De Algemene Verordening Gegevensbescherming (AVG) gaat uit van het zogeheten OneStopShop-principe. Dit principe heeft als gevolg dat organisaties, met meerdere vestigingen in meerdere lidstaten, voor grensoverschrijdende gegevensverwerkingen vallen onder het toezicht van slechts één leidende toezichthouder.

Er is sprake van een grensoverschrijdende gegevensverwerking (artikel 4 lid 23 AVG), wanneer:

  • er persoonsgegevens worden verwerkt tussen vestigingen en/of verantwoordelijke(n) en /of bewerker(s) gevestigd in verschillende lidstaten; of
  • betrokkenen in meerdere lidstaten, dan enkel de lidstaat waarin een organisatie gevestigd is, waarschijnlijk wezenlijke gevolgen ondervinden van deze gegevensverwerking.

De eerste situatie is helder, minder helder daarentegen is de tweede situatie. Het begrip ‘waarschijnlijk wezenlijke gevolgen’ wordt in de Richtlijnen dan ook nader uitgewerkt.

Waarschijnlijk wezenlijke gevolgen voor betrokkene van gegevensverwerking

Volgens WP29 kan er worden gesproken van ‘waarschijnlijk wezenlijke gevolgen’ voor betrokkenen, wanneer het waarschijnlijker is dat betrokkenen gevolgen van de gegevensverwerking ondervinden dan dat deze ze niet ondervinden. Hierbij moeten door de toezichthouder de context van de gegevensverwerking, het soort persoonsgegevens, de doeleinden van de gegevensverwerking en andere factoren in acht worden genomen. Voorbeelden van deze andere factoren zijn, of de gegevensverwerking (waarschijnlijk) leidt tot:

  • schade, verlies en/of leed bij individuen;
  • beperking van rechten, of ontzegging van mogelijkheden;
  • effecten op de gezondheid van geest of lichaam van individuen;
  • discriminatie of ongelijke behandeling;
  • analyses met betrekking tot bijzondere persoonsgegevens of gegevens van kinderen;
  • verandering van gedrag van individuen;
  • onwaarschijnlijke, onvoorziene en ongewenste consequenties;
  • vernedering of andere negatieve resultaten, inclusief reputatieschade;
  • de verwerking van een grote diversiteit aan persoonsgegevens.

Welke nationale toezichthouder is de leidende toezichthouder?

Voor zowel een verantwoordelijke als een bewerker is het relevant om op de hoogte te zijn van de leidende toezichthouder. Dit, aangezien bij deze toezichthouder aan de verplichtingen op basis van de AVG, zoals bijvoorbeeld de meldplicht datalekken, dient te worden voldaan.

De hoofdregel ten aanzien van de leidende toezichthouder is, dat dit de toezichthouder is van de lidstaat waarin de hoofdvestiging is gevestigd.  Als hoofdvestiging wordt in de AVG de vestiging aangemerkt waar de centrale administratie is gelegen of waar beslissingen ten aanzien van de doelstellingen en aanpak van gegevensverwerkingen worden genomen. Hierbij is het niet relevant of in deze vestiging daadwerkelijk de grensoverschrijdende gegevensverwerking plaatsvindt. Daarnaast is het relevant om op te merken dat naast de leidende toezichthouder, andere toezichthouders bevoegd blijven om zelfstandig te handelen bij een klacht of inbreuk op de AVG welke enkel verband houdt met één vestiging.

Verantwoordelijke en bewerker hebben een verschillende leidende toezichthouder

Het is voor de toepassing van het OneStopShop-principe niet relevant of een organisatie functioneert als bewerker, dan wel als verantwoordelijke. Dit is echter anders, indien een verantwoordelijke voor diens gegevensverwerking een bewerker inschakelt welke onder de autoriteit van een andere leidende toezichthouder valt. Wanneer dat het geval is valt de bewerker, enkel ten aanzien van die specifieke gegevensverwerking, eveneens onder de autoriteit van de leidende toezichthouder van de verantwoordelijke. Dit zou in de toekomst dus tot gevolg kunnen hebben dat de AP behoorlijk kan gaan handhaven bij Amerikaanse bewerkers, zoals bijvoorbeeld Google of Amazon.

 

ICTRecht Academy

Onze privacytrainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.

Michelle Wijnant

Juridisch adviseur

Michelle Wijnant is juridisch adviseur bij ICTRecht. Binnen ICTRecht houdt Michelle zich voornamelijk bezig met alle juridische aspecten rondom privacy.

Ze heeft onderzoek gedaan naar het effect van de inwerkingtreding van de Europese Algemene Verordening Gegevensbescherming (AVG) op het Nederlandse rechtssysteem.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *