De (Belgische) Gegevensbeschermingsautoriteit (GBA) heeft recent een opinie gepubliceerd over de begrippen verwerkingsverantwoordelijke en verwerker. Deze opinie neemt grotendeels een oudere opinie van de Werkgroep Artikel 29 over die gepubliceerd is in 2010 en dus behoort tot het pre-GDPR tijdperk. De opinie van de GBA is dus een duidelijke bevestiging dat de redenering van de Werkgroep Artikel 29 nog steeds standhoudt in het GDPR tijdperk. Laat ons even stilstaan bij de belangrijkste standpunten in deze opinie.
Zoals u wellicht weet, is een partij een verwerkingsverantwoordelijke indien hij “alleen of samen met anderen het doel en de middelen voor de verwerking vaststelt” en een verwerker wanneer hij “persoonsgegevens verwerkt ten behoeve van een verwerkingsverantwoordelijke”.
Hoewel beide definities op het eerste zicht duidelijk lijken te zijn, leiden zij in de praktijk toch tot de nodige discussies. In onze vorige blog maakten wij al duidelijk hoe belangrijk het is om de begrippen verwerker en verwerkingsverantwoordelijke van elkaar te onderscheiden en wat de implicaties zijn van een foute kwalificatie.
Ten eerste benadrukt de GBA dat beide begrippen functionele begrippen zijn. De verantwoordelijkheid moet gelegd worden bij de partijen die een feitelijke invloed uitoefenen op de bedoelde verwerkingen. Een feitelijke analyse is dus noodzakelijk op partijen correct te kwalificeren.
Dit belet echter niet dat de verwerker geen zekere beoordelingsmarge mag hebben. Zolang de beoordelingsmarge beperkt blijft tot de niet-essentiële elementen van een verwerking, mag de verwerker passende technische en organisatorische middelen uitkiezen wanneer hij aan dienstverlening doet.
Essentiële elementen zijn volgens de GBA:
Daarnaast mag de verwerker enkel persoonsgegevens verwerken voor rekening van de verwerkingsverantwoordelijke.
Als de verwerker zijn boekje te buiten gaat, overschrijdt hij zijn mandaat en zal hij de hoedanigheid van verwerkingsverantwoordelijke verwerven.
De GBA herhaalt welke criteria dienstig kunnen zijn voor de juridische kwalificatie van de feitelijke situaties:
Volgens de GBA is het contractueel gewicht waarover een partij beschikt tegenover de andere partij in een onderhandeling echter geen dienstig element. De partij die het initiatief neemt of die beschikt over een overmatige machtspositie bij de onderhandeling is dus niet per definitie een verwerkingsverantwoordelijke. De focus ligt op de bovenstaande criteria.
Deze analyse toont aan dat de juridische kwalificatie van een partij als verwerkingsverantwoordelijke of verwerker niet steeds een zwart-wit verhaal is. Om te bepalen of iemand een verwerkingsverantwoordelijke of een verwerker is, moet men steeds kijken naar wie een feitelijke invloed kan uitoefenen op een bedoelde verwerking. Beschikt een bepaalde partij over een ruime beslissingsbevoegdheid wanneer het gaat over de essentiële kenmerken van een verwerking, dan is die partij een verwerkingsverantwoordelijke.
U kunt hier de volledige opinie van de GBA lezen.
Heeft u een juridische vraag over de kwalificatie als verwerkingsverantwoordelijke of verwerker en de GDPR-verplichtingen die hieraan gekoppeld zijn? Neem dan contact op met het internationaal advocatenkantoor Timelex voor een vrijblijvende kennismaking.