Antwoord

De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke. Medewerkers die binnen uw onderneming/organisatie persoonsgegevens verwerken, doen dit om haar taken als verwerkingsverantwoordelijke uit te voeren.

Uw onderneming/organisatie is een gezamenlijke verwerkingsverantwoordelijke als zij samen met één of meer organisaties gezamenlijk bepaalt „waarom” en „hoe” persoonsgegevens moeten worden verwerkt. Gezamenlijke verwerkingsverantwoordelijken dienen een regeling te treffen waarin hun respectieve verantwoordelijkheden voor de naleving van de AVG-regels worden vastgelegd. De belangrijkste aspecten van de regeling moeten worden meegedeeld aan de personen wier gegevens worden verwerkt.

De gegevensverwerker verwerkt persoonsgegevens uitsluitend namens de verwerkingsverantwoordelijke. De gegevensverwerker is meestal een derde partij buiten de onderneming. In het geval van concerns kan één onderneming echter optreden als verwerker voor een andere onderneming.

De taken van de verwerker jegens de verwerkingsverantwoordelijke moeten in een overeenkomst of een andere rechtshandeling worden gespecificeerd. Zo moet in de overeenkomst bijvoorbeeld worden aangegeven wat er met de persoonsgegevens gebeurt na beëindiging van de overeenkomst. Een typische activiteit van verwerkers is het aanbieden van IT-oplossingen, waaronder cloudopslag. De gegevensverwerker mag een deel van zijn taak enkel uitbesteden aan een andere verwerker of een gezamenlijke verwerker aanwijzen wanneer hij of zij vooraf schriftelijke toestemming van de verwerkingsverantwoordelijke heeft gekregen.

Er zijn situaties waarin een eenheid een verwerkingsverantwoordelijke of een gegevensverwerker of beide kan zijn.

Voorbeelden

Verwerkingsverantwoordelijke en verwerker

Een brouwerij heeft veel medewerkers in dienst en tekent een overeenkomst met een payrollbedrijf om de lonen uit te betalen. De brouwerij vertelt aan het payrollbedrijf wanneer het loon moet worden uitbetaald, wanneer een werknemer vertrekt of een loonsverhoging krijgt en verstrekt allerlei andere details voor de loonstrook en de betaling. Het payrollbedrijf levert het IT-systeem en slaat de gegevens van de medewerkers op. De brouwerij is de verwerkingsverantwoordelijke van de gegevens en het payrollbedrijf is de gegevensverwerker.

Gezamenlijke verwerkingsverantwoordelijken

Uw onderneming/organisatie biedt babysitdiensten aan via een onlineplatform. Tegelijkertijd heeft uw onderneming/organisatie een overeenkomst met een andere onderneming waardoor u diensten met toegevoegde waarde kunt aanbieden. Die diensten bestaan onder meer uit de mogelijkheid voor ouders om niet alleen de babysitter te kiezen, maar ook om spelletjes en dvd's te huren die de babysitter mee kan nemen. Beide bedrijven zijn betrokken bij de technische installatie van de website. In dat geval hebben de twee bedrijven besloten het platform voor beide doeleinden te gebruiken (babysitdiensten en dvd-/gamesverhuur) en zullen ze de namen van klanten heel vaak delen. De twee ondernemingen zijn dus gezamenlijke verwerkingsverantwoordelijken, want ze besluiten niet alleen eventueel „gecombineerde diensten” aan te bieden, maar ook een gemeenschappelijk platform te ontwerpen en te gebruiken.

Referenties

  • Artikel 4, leden 7 en 8, artikelen 24, 26, 28, 29 en overwegingen 74, 79, 81 van de AVG
  • Advies 01/2010 van de Groep gegevensbescherming artikel 29 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker” (WP 169)