Afbakening van verantwoordelijkheid

Afbakening van voor de verwerking verantwoordelijken, verwerkers en gezamenlijk voor de verwerking verantwoordelijken.

Zodra een onderneming of organisatie persoonsgegevens verwerkt, moet de voor de verwerking verantwoordelijke de grenzen van de verantwoordelijkheid vaststellen. Het verduidelijken van deze vraag is onder andere belangrijk om te bepalen of er een functionaris voor gegevensbescherming moet worden aangesteld.

In principe onderscheidt de AVG op dit punt drie spelers:

• Ten eerste is er de voor de verwerking verantwoordelijke op zich, die in art. 4 nr. 7 AVG wordt gedefinieerd als een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat, gezamenlijk of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Anderzijds is er de verwerker. Deze wordt in art. 4 nr. 8 AVG gedefinieerd als een natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die of dat persoonsgegevens verwerkt namens de voor de verwerking verantwoordelijke.
• De derde mogelijke constructie in art. 26 AVG gaat ervan uit dat meerdere partijen gezamenlijk verantwoordelijk kunnen zijn voor de verwerking van persoonsgegevens (gezamenlijke zeggenschap); de verduidelijking in lid 1 van art. 26 is hier van belang, volgens welke er sprake is van gezamenlijke zeggenschap als alle partijen gezamenlijk de doeleinden en middelen van de verwerking bepalen. Dit betekent dat er sprake is van gezamenlijk beheer als ten minste twee voor de verwerking verantwoordelijken (zie artikel 4, nr. 7 AVG) gezamenlijk persoonsgegevens verwerken.

De verduidelijking van de vraag naar de grenzen van de verantwoordelijkheid is onder andere van belang om te duidelijkheid te verkrijgen of er een functionaris voor gegevensbescherming moet worden aangesteld. Tegelijkertijd wordt duidelijk welke contractuele overeenkomsten aangegaan moeten worden.