Verwerker of verwerkingsverantwoordelijke? Vergissen leidt tot inbreuk op GDPR

Een kwartaal na de invoering van de Algemene Verordening Gegevensbescherming, beter bekend onder de Engelstalige afkorting GDPR, duiken er steeds vaker cijfers op over de naleving ervan. De cijfers zijn niet altijd positief, want ondanks de inspanningen en financiële investeringen die vele bedrijven deden met het oog op 25 mei 2018, blijkt dat een groot deel van de bedrijven nog niet voldoet aan de bepalingen van de GDPR.

Was er nu verantwoordelijkheid of verwerking?

Een van de redenen hiervoor is de verwarring omtrent verschillende begrippen uit de GDPR, en dan vooral het onderscheid tussen verwerkingsverantwoordelijke en verwerker van persoonsgegevens.

Dat zegt Aleid Wolfsen, directeur van de Nederlandse Autoriteit Persoonsgegevens (de Nederlandse toezichthoudende autoriteit, vergelijkbaar met de Belgische Gegevensbeschermingsautoriteit, voorheen de Privacycommissie).

De GDPR stelt de tweedeling nochtans vrij eenvoudig voor. Een entiteit is:

• verwerkingsverantwoordelijke indien zij “het doel en de middelen voor de verwerking vaststelt”
• en is verwerker in het geval van “verwerken van persoonsgegevens ten behoeve van een verwerkingsverantwoordelijke”.

Toch blijkt het onderscheid in de praktijk soms niet eenvoudig. Sommige bedrijven trachten de vinger naar elkaar te wijzen voor verantwoordelijkheid of trachten contractueel de rollen te verdelen, maar een verkeerde kwalificatie kan ertoe leiden dat bedrijven aan de verkeerde GDPR-verplichtingen trachten te voldoen.

Dit brengt ons tot de vraag: “wat wordt verstaan onder doel en middelen van de verwerking, en wanneer word je geacht deze vast te stellen?”

De verantwoordelijke: bepaalt doel en middelen

De verwerkingsverantwoordelijke is diegene die doelstellingen en middelen van de verwerking bepaalt. Met andere woorden: diegene die het “waarom” en het “hoe” van de verwerking vaststelt.

Voorbeelden van doelstellingen van de verwerking zijn het optimaliseren van de surfervaring op een website of het verstrekken van gepersonaliseerde reclame.

In tegenstelling tot wat de term middelen van de verwerking zou doen vermoeden, slaat dit niet enkel op de technische modaliteiten van verwerking, zoals bijvoorbeeld het gebruik van cookies. Het omvat namelijk bijvoorbeeld ook het bepalen van het type gegevens dat verwerkt zal worden, alsook het bepalen van de bewaartermijn van de gegevens.

Een voorbeeld van een verwerkingsverantwoordelijke is een werkgever.

Wanneer een “verwerker”?

Indien de middelen in opdracht van de verwerkingsverantwoordelijke worden vastgesteld, is het antwoord echter iets complexer. De vraag die zich hier stelt is of er door de verwerker over de essentiële elementen van de middelen wordt beslist.

• Indien de verwerker louter de technische en organisatorische aspecten bepaalt, zijn dat waarschijnlijk geen essentiële elementen en is er daadwerkelijk sprake van een verwerker. Een voorbeeld van zo'n verwerker is een aanbieder van cloudopslag. 
• Beslist de verwerker daarentegen bijvoorbeeld over de bewaartermijn van persoonsgegevens of de doorgifte van gegevens aan derden, dan gaat het niet om een werkelijke verwerker, maar eerder om een verwerkingsverantwoordelijke. Bovendien zal een partij die zichzelf als verwerker kwalificeert, maar die wel een aandeel heeft gehad in het bepalen van de doelstellingen die aan de verwerking ten grondslag liggen, toch eerder als verwerkingsverantwoordelijke worden gekwalificeerd.

Het Wirtschaftsakademie arrest

Het aandeel waarvan sprake is, kan bestaan in het gebruik van de verwerkte gegevens in het eigen voordeel, bijvoorbeeld voor het verstrekken van add-on services, of door het louter hebben van een invloed op de vaststelling van de doelstellingen. Dit volgt uit het Wirtschaftsakademie arrest waarbij het Duitse Wirtschafsakademie, dat nochtans geen toegang had tot de verwerkte persoonsgegevens, als gezamenlijke verwerkingsverantwoordelijke (met Facebook) werd gehouden. Dit gebeurde op grond van het voordeel dat Wirtschafsakademie haalde uit de verwerking en de invloed die zij hadden in het bepalen van de doelstellingen voor de verwerking.

Uit bovenstaande blijkt dat het bepalen van het onderscheid tussen verwerkingsverantwoordelijke en verwerker een feitenkwestie is.

De kwalificatie moet geval per geval worden bekeken en kan niet contractueel worden vastgelegd, als dit niet overeenstemt met de realiteit.

Wat als u zich vergist van rol?

Het belang van het onderscheid tussen verwerkingsverantwoordelijke en verwerker ligt in het verschil aan verplichtingen en verantwoordelijkheden die beide kwalificaties met zich mee brengen.

De verwerkingsverantwoordelijke draagt de hoofdverantwoordelijkheid voor de verwerking. Zo zal de verantwoordelijke bijvoorbeeld instaan voor de naleving van de GDPR door de verwerker, het verkrijgen van rechtsgeldige toestemming en het toekennen van rechten van de betrokkenen, zoals het recht op toegang (al dan niet met hulp van de verwerker).

Bent u een verwerker, dan dient u onder meer de persoonsgegevens te verwerken in overeenstemming met de doelstellingen bepaald door de verwerkingsverantwoordelijke, de verwerkingsverantwoordelijke in te lichten van datalekken en mee te werken aan controles op de naleving van de GDPR.

Indien u zicht vergist van rol of uw contractueel bepaalde rol stemt niet overeen met de realiteit, dan kan is er sprake van een onjuiste kwalificatie en voldoet u mogelijks niet aan de juiste verplichtingen van de GDPR, wat kan leiden tot een sanctie of administratieve geldboete.

Hulp bij de juiste kwalificatie?

Heeft u een juridische vraag over de kwalificatie van uw bedrijf als verwerkingsverantwoordelijke, dan wel als verwerker en de GDPR-verplichtingen die hieraan gekoppeld zijn? Internationaal advocatenkantoor Timelex kan u helpen bij de juiste kwalificatie.

Meer weten? Neem contact met ons op voor een kennismaking.