Artikel 29-werkgroep richtlijnen ten aanzien van de leidende toezichthouder in de AVG

    / 12 January 2017

    Op 16 december 2016, publiceerde de Artikel 29-werkgroep (WP29) op haar website richtlijnen en FAQ’s ter verduidelijking van een drietal begrippen uit de Algemene Verordening Gegevensbescherming (AVG). In dit artikel een bespreking van de richtlijnen ten aanzien van de leidende toezichthouder.

    De Algemene Verordening Gegevensbescherming (AVG) gaat uit van het zogeheten OneStopShop-principe. Dit principe heeft als gevolg dat organisaties, met meerdere vestigingen in meerdere lidstaten, voor grensoverschrijdende gegevensverwerkingen vallen onder het toezicht van slechts één leidende toezichthouder.

    Er is sprake van een grensoverschrijdende gegevensverwerking (artikel 4 lid 23 AVG), wanneer:

    • er persoonsgegevens worden verwerkt tussen vestigingen en/of verantwoordelijke(n) en /of bewerker(s) gevestigd in verschillende lidstaten; of
    • betrokkenen in meerdere lidstaten, dan enkel de lidstaat waarin een organisatie gevestigd is, waarschijnlijk wezenlijke gevolgen ondervinden van deze gegevensverwerking.

    De eerste situatie is helder, minder helder daarentegen is de tweede situatie. Het begrip ‘waarschijnlijk wezenlijke gevolgen’ wordt in de Richtlijnen dan ook nader uitgewerkt.

    Waarschijnlijk wezenlijke gevolgen voor betrokkene van gegevensverwerking

    Volgens WP29 kan er worden gesproken van ‘waarschijnlijk wezenlijke gevolgen’ voor betrokkenen, wanneer het waarschijnlijker is dat betrokkenen gevolgen van de gegevensverwerking ondervinden dan dat deze ze niet ondervinden. Hierbij moeten door de toezichthouder de context van de gegevensverwerking, het soort persoonsgegevens, de doeleinden van de gegevensverwerking en andere factoren in acht worden genomen. Voorbeelden van deze andere factoren zijn, of de gegevensverwerking (waarschijnlijk) leidt tot:

    • schade, verlies en/of leed bij individuen;
    • beperking van rechten, of ontzegging van mogelijkheden;
    • effecten op de gezondheid van geest of lichaam van individuen;
    • discriminatie of ongelijke behandeling;
    • analyses met betrekking tot bijzondere persoonsgegevens of gegevens van kinderen;
    • verandering van gedrag van individuen;
    • onwaarschijnlijke, onvoorziene en ongewenste consequenties;
    • vernedering of andere negatieve resultaten, inclusief reputatieschade;
    • de verwerking van een grote diversiteit aan persoonsgegevens.

    Welke nationale toezichthouder is de leidende toezichthouder?

    Voor zowel een verantwoordelijke als een bewerker is het relevant om op de hoogte te zijn van de leidende toezichthouder. Dit, aangezien bij deze toezichthouder aan de verplichtingen op basis van de AVG, zoals bijvoorbeeld de meldplicht datalekken, dient te worden voldaan.

    De hoofdregel ten aanzien van de leidende toezichthouder is, dat dit de toezichthouder is van de lidstaat waarin de hoofdvestiging is gevestigd.  Als hoofdvestiging wordt in de AVG de vestiging aangemerkt waar de centrale administratie is gelegen of waar beslissingen ten aanzien van de doelstellingen en aanpak van gegevensverwerkingen worden genomen. Hierbij is het niet relevant of in deze vestiging daadwerkelijk de grensoverschrijdende gegevensverwerking plaatsvindt. Daarnaast is het relevant om op te merken dat naast de leidende toezichthouder, andere toezichthouders bevoegd blijven om zelfstandig te handelen bij een klacht of inbreuk op de AVG welke enkel verband houdt met één vestiging.

    Verantwoordelijke en bewerker hebben een verschillende leidende toezichthouder

    Het is voor de toepassing van het OneStopShop-principe niet relevant of een organisatie functioneert als bewerker, dan wel als verantwoordelijke. Dit is echter anders, indien een verantwoordelijke voor diens gegevensverwerking een bewerker inschakelt welke onder de autoriteit van een andere leidende toezichthouder valt. Wanneer dat het geval is valt de bewerker, enkel ten aanzien van die specifieke gegevensverwerking, eveneens onder de autoriteit van de leidende toezichthouder van de verantwoordelijke. Dit zou in de toekomst dus tot gevolg kunnen hebben dat de AP behoorlijk kan gaan handhaven bij Amerikaanse bewerkers, zoals bijvoorbeeld Google of Amazon.

     

    ICTRecht Academy

    Onze privacytrainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.

    > Bekijk het programma
    Terug naar overzicht

    Michelle Wijnant

    Michelle Wijnant, oud-medewerker ICTRecht
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram