WP29 licht toe: drie richtsnoeren bij de Algemene Verordening Gegevensbescherming

De ‘Artikel 29 Werkgroep’ (“WP29”) heeft, tijdens de laatste plenaire sessie in december 2016, drie richtsnoeren aangenomen die betrekking hebben op de implementatie van de Algemene Verordening Gegevensbescherming (de “Privacyverordening”) in de dagelijkse (rechts)praktijk. De richtsnoeren hebben als onderwerpen dataportabiliteit (de overdraagbaarheid van data); de functionaris gegevensbescherming (data protection officer, “DPO”); en de lead supervisory authority. Tot eind januari 2017 konden belanghebbenden hun aanvullende opmerkingen bij deze documenten naar de WP29 sturen.

Wat doet de WP29?

WP29 is een onafhankelijk Europees orgaan op het gebied van de bescherming van persoonsgegevens en privacy. De werkgroep bestaat uit de achtentwintig nationale autoriteiten persoonsgegevens van de lidstaten van de Europese Unie, en wordt tevens bijgestaan door de Europese Supervisor Gegevensbescherming.

WP29 publiceert regelmatig opinies met het doel een gelijkmatige toepassing van de verschillende richtlijnen binnen de Europese Unie; en verstrekt expert opinies aan de Europese Commissies op dit gebied. Sommige stukken, zoals de richtlijnen die in dit blog centraal staan, worden opengesteld voor publieke consultatie.

De richtsnoeren fungeren als een toelichting op en uitleg van verschillende onderwerpen uit de Privacyverordening. Ovidius bespreekt enkele interessante punten uit de drie richtsnoeren.

Richtsnoeren dataportabiliteit

Dataportabiliteit, of beter gezegd het recht daarop, is een nieuw recht van betrokkenen onder de Privacyverordening. Betrokkenen moet de mogelijkheid worden geboden om hun persoonlijke data ‘terug’ te krijgen van degene die de data laat verwerken (de verwerkingsverantwoordelijke), en deze desgewenst door te zetten naar een andere verwerkingsverantwoordelijke. De data moet op een zodanige wijze aan de betrokkene worden aangeleverd dat deze ook echt eenvoudig kan worden doorgezet.

De richtsnoeren dataportabiliteit concretiseren onder meer hoe dit recht op dataportabiliteit moet worden uitgelegd:

  • Een betrokkene kan dit recht alleen uitoefenen ten opzichte van dataverwerking waarvoor hij toestemming heeft gegeven of die gebaseerd is op een contract. Data die wordt verwerkt op basis van een uitzonderingssituatie (zoals maatschappelijk belang) valt hier dus buiten;
  • De data moet betrekking hebben op de betrokkene;
  • De data moet door de betrokkene zijn verstrekt: oftewel, aan de verwerkingsverantwoordelijke zijn gegeven (zoals een e-mailadres) of zijn gegenereerd door observatie van het gedrag van de betrokkene (zoals een zoekgeschiedenis).

De richtsnoeren specificeren ook hoe met een verzoek om overdracht van data moet worden omgegaan. Een verwerkingsverantwoordelijke moet in beginsel binnen één maand (of drie maanden in geval van complexe zaken) aan het verzoek van een betrokkene voldoen, en mag hiervoor niets in rekening brengen.

De FAQ-sheet die de WP29 heeft opgemaakt, geeft een goed overzicht van de richtsnoeren dataportabiliteit.

Richtsnoeren functionaris gegevensbescherming

Onder de Privacyverordening worden verschillende typen organisaties verplicht om een functionaris voor de gegevensbescherming (FG) in te stellen. Dit geldt voor publieke instanties die persoonsgegevens verwerken, voor ondernemingen waarbij verwerking van bijzondere persoonsgegevens een kernactiviteit is, en ondernemingen die op grootschalige wijze aan monitoring van personen doen, zoals surveillance. Daarnaast mogen ondernemingen ook op vrijwillige basis een FG aanstellen. Hiervoor gelden dan wel dezelfde regels als voor verplichte functionarissen.

Hoewel de richtsnoeren enige aanknopingspunten tracht te geven voor het ideale profiel van een FG, blijft het bij algemeenheden: de functionaris moet logischerwijs goed bekend zijn met de Privacyverordening en kennis hebben van de organisatie waarin hij opereert.

De WP29 adviseert ook over de positie die de FG binnen de organisatie dient in te nemen. De rol van de FG vertoont daarin paralellen met een (lid van een) ondernemingsraad:

  • de FG moet betrokken worden bij alle databeschermingsgerelateerde punten, en tijdig de mogelijkheid krijgen om zich uit te laten over beslissingen die de bescherming van data raken;
  • de FG moet voldoende tijd, fondsen en – zo nodig – mankracht ter beschikking krijgen om zijn taken naar behoren uit te oefenen; en
  • de FG wordt beschermd tegen repercussies (zoals sancties of zelfs ontslag) wegens het uitoefenen van zijn taken; net zoals een OR-lid een bepaalde bescherming op dat gebied geniet.

De richtlijn somt tenslotte de belangrijkste taken van de FG op:

  • monitoren van naleving van de Privacyverordening;
  • assisteren bij het uitvoeren van privacy impact assessment;
  • risico-prioritering, waarbij de FG zich dient te richten op punten die een hoger risico met zich meebrengen; en
  • betrokkenheid bij de administratieplicht van organisaties.

De WP29 benadrukt dat de FG voor geen van deze taken de verantwoordelijkheid draagt: het is de taak van de verwerkingsverantwoordelijke en/of de verwerker (nu nog: bewerker) om aan de eisen van de Privacyverordening te voldoen. De FG heeft dus uitdrukkelijk een ondersteunende, faciliterende rol.

De FAQ-sheet die de WP29 heeft opgesteld, geeft een goed overzicht van de richtlijn functionaris gegevensbescherming.

Richtsnoeren leidende toezichthouder

Bij grensoverschrijdende dataverwerking kunnen er meerdere autoriteiten persoonsgegevens bevoegd zijn om de naleving van de relevante wetgeving te handhaven. De Privacyverordening identificeert daarom een ‘leidende toezichthouder’ (lead supervisory authority), de toezichthouder die de primaire verantwoordelijkheid draagt voor de betreffende gegevensverwerking. Deze toezichthouder komt als eerst in beeld bij onderzoek naar de gegevensverwerking of bij een klacht door een betrokkene.

Voor organisaties is het van belang om te weten onder wiens toezicht zij vallen. De leidende toezichthouder is namelijk de autoriteit waar een datalek moet worden gemeld, of waar een functionaris voor de gegevensbescherming moet worden geregistreerd.

Om te bepalen welke toezichthouder leidend is, wordt aangesloten bij het criterium ‘hoofdvestiging’. Daarbij moet een onderscheid gemaakt worden tussen drie situaties, die ieder op een andere manier worden beoordeeld:

  • De zaak betreft alleen een verwerkingsverantwoordelijke: de lidstaat waar de centrale administratie is gevestigd, is leidend; tenzij de relevante beslissingen voor de gegevensverwerking worden genomen door een vestiging in een andere lidstaat.
  • De zaak betreft een verwerkingsverantwoordelijke en een verwerker: controleer of de verwerkingsverantwoordelijke in de EU is gevestigd en onder het one stop shop system valt (het principe dat een onderneming zich primair bezighoudt met de toezichthouder van de lidstaat waar zijn hoofdvestiging is). De leidende toezichthouder van de verwerkingsverantwoordelijke is ook die van de verwerker; de toezichthouder die bevoegd is ten aanzien van de verwerker wordt als ‘betrokken’ (concerned) aangemerkt.
  • De zaak betreft alleen een verwerker: de lidstaat waar de centrale administratie is gevestigd is leidend. Als de centrale administratie buiten de EU is gevestigd, wordt aangesloten bij de locatie van de vestiging waar de gegevensverwerking plaatsvindt.

De FAQ-sheet die de WP29 heeft opgesteld, geeft een goed overzicht van de richtsnoeren leidende toezichthouder.

Verwachte richtsnoeren

De WP29 zal dit jaar ook nog richtsnoeren publiceren met betrekking tot de privacy impact assessments en certificering. Ovidius houdt u op de hoogte via de pagina Privacyrecht update.

 

Al ons legal nieuws >

Instagram

Volg ons team en het laatste nieuws

LinkedIn

Bekijk onze bedrijfspagina >

Twitter

Volg onze tweets >

Ovidius Law B.V. logo Advocatenkantoor law firm

Algemene voorwaarden
Privacybeleid
Disclaimer
Kantoorklachtenregeling

Arbeidsrecht
Contractenrecht
Ondernemingsrecht
Mediation

Sarphatistraat 370
1018 GW Amsterdam
hello@ovidius.law
+31 20 520 6931

© Ovidius Law B.V. 2024

Linkedin Envelope Instagram