GDPR update: One Stop Shop (Dutch)

Dentons
Contact

Dentons

AVGB-update: One Stop Shop

Inleiding

In deze eerste AVGB-update van 2018 staat het One Stop Shop-mechanisme centraal. Het One Stop Shop-mechanisme houdt in dat organisaties die grensoverschrijdende gegevensverwerkingen uitvoeren, in beginsel nog maar met één toezichthouder zaken hoeven te doen. Deze toezichthouder heet de ‘leidende toezichthouder’.

De Richtlijn 95/46/EG kent een dergelijk mechanisme niet, waardoor het in de praktijk voorkomt dat een organisatie met meerdere vestigingen in de Europese Unie (EU) te maken heeft met inconsistente besluitvorming van verschillende lokale toezichthouders. De One Stop Shop-regel moet hier verandering in brengen. Vanaf 25 mei 2018 kunnen bepaalde organisaties profiteren van het feit dat zij vanaf dat moment grotendeels nog maar met één toezichthouder te maken hebben. Dit leidt waarschijnlijk tot een meer uniforme toepassing van de AVGB en de daaraan gerelateerde besluitvorming van de toezichthouders.

Grensoverschrijdende verwerking

De One Stop Shop-regel geldt slechts in het geval van grensoverschrijdende gegevensverwerking. Dit is volgens de AVGB:

  1. een verwerking van persoonsgegevens in het kader van activiteiten van vestigingen in meer dan één lidstaat van een verantwoordelijke of een verwerker in de EU die in meer dan één lidstaat is gevestigd; of
  2. een verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verantwoordelijke of van een verwerker in de EU, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;

De AVGB geeft geen definitie van het begrip wezenlijke gevolgen. Enkel het feit dat een specifieke verwerking van persoonsgegevens een groot aantal personen in meerdere lidstaten betreft, betekent nog niet dat deze verwerking voor deze personen wezenlijke gevolgen heeft of waarschijnlijk zal hebben. Toezichthouders moeten rekening houden met de context van de verwerking, het type gegevens en het doel van de verwerking. De Artikel 29 Werkgroep (de WG29) heeft daarbij een aantal factoren geformuleerd dat toezichthouders mee zullen wegen bij de interpretatie van het begrip wezenlijke gevolgen. Volgens de WG29 is het relevant of de verwerking:

  • individuen al dan niet schade, verlies of moeilijkheden toebrengt of kan toebrengen;
  • al dan niet gevolgen heeft of kan hebben voor wat betreft het beperken van rechten of het ontzeggen van kansen;
  • al dan niet de gezondheid, het welzijn of de gemoedsrust van individuen beïnvloedt of kan beïnvloeden;
  • al dan niet de financiële of economische status of situatie van individuen beïnvloedt of kan beïnvloeden;
  • individuen al dan niet blootstelt aan discriminatie of oneerlijke behandeling;
  • al dan niet de analyse omvat van speciale categorieën van persoonsgegevens of andere gegevens die een inbreuk maken op de persoonlijke levenssfeer van een individu, met name waar het persoonsgegevens van kinderen betreft;
  • individuen al dan niet aanzet of kan aanzetten hun gedrag significant te veranderen;
  • al dan niet onwaarschijnlijke, onverwachte of ongewenste gevolgen heeft voor individuen;
  • al dan niet het individu in verlegenheid brengt of andere negatieve effecten teweegbrengt, met inbegrip van reputatieschade; of
  • al dan niet de verwerking van een grote hoeveelheid persoonsgegevens betreft.

Leidende toezichthoudende autoriteit

De ‘leidende autoriteit’ is de autoriteit die primair verantwoordelijk is voor het toezicht op een grensoverschrijdende gegevensverwerking, bijvoorbeeld in het geval dat een betrokkene een klacht indient over de verwerking van zijn of haar persoonsgegevens. De leidende autoriteit heeft de leiding over het onderzoek en kan daar andere ‘betrokken toezichthoudende autoriteiten’ bij betrekken.

Welke nationale autoriteit de leidende autoriteit is, is afhankelijk van de vraag waar de hoofdvestiging of enige vestiging van de verantwoordelijke respectievelijk verwerker zich in de EU bevindt. Indien er slechts één vestiging van een bepaalde organisatie in de EU bestaat, is het al dan niet aanwijzen van de leidende toezichthoudende autoriteit eenvoudig. Mogelijk ingewikkelder is het aanwijzen van een hoofdvestiging wanneer een organisatie meerdere vestigingen in de EU heeft. Wij bespreken enkele voorbeelden.

Hoofdvestiging in de EU

De locatie van de centrale administratie

De AVGB bepaalt dat de hoofdvestiging van de verantwoordelijke de plaats is waar zich zijn centrale administratie in de EU bevindt. De locatie van de centrale administratie is de locatie waar de beslissingen over de doeleinden van en de middelen voor de verwerking van persoonsgegevens worden genomen. Om te bepalen welke toezichthouder de leidende autoriteit is, is het voor organisaties met meerdere vestigingen in de EU het essentieel om te bepalen waar de beslissingen omtrent de doeleinden en middelen met betrekking tot de gegevensverwerking plaatsvinden.

De locatie van de centrale administratie ligt niet in de EU

Op het moment dat de beslissingen over de doeleinden van en de middelen voor de verwerking niet binnen een vestiging in de EU worden genomen, moet worden bekeken waar de effectieve en reële managementactiviteiten plaatsvinden die de belangrijkste beslissingen over de doelstellingen van en de middelen voor de verwerking via vaste regelingen bepalen. De AVGB bepaalt expliciet dat de aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten niet bepalend zijn voor het belang van een vestiging. Dit zijn dan ook geen doorslaggevende criteria om te bepalen of het om de hoofdvestiging van een concern gaat. Onderstaande vragen, die zijn geformuleerd door de WG29, kunnen helpen bij het formuleren van een antwoord op de vraag waar deze effectieve en reële managementactiviteiten plaatsvinden:

  • Waar worden beslissingen over de doelstellingen van en de middelen voor de verwerking definitief goedgekeurd?
  • Waar worden beslissingen genomen over bedrijfsactiviteiten waarbij gegevens worden verwerkt?
  • Waar ligt de feitelijke bevoegdheid om beslissingen te implementeren?
  • Waar bevindt zich de leidinggevende (of bevinden zich de leidinggevenden) met algemene managementverantwoordelijkheid voor de grensoverschrijdende verwerkingsactiviteit?

Naast de situatie dat de centrale administratie zich niet in de EU bevindt, kunnen bovenstaande criteria ook helpen bij het bepalen van de hoofdvestiging wanneer alle vestigingen van een verantwoordelijke zich in de EU bevinden, maar er niet één vestiging is die kan worden aangeduid als de locatie waar de centrale administratie zich bevindt. Dit kan zich voordoen bij decentraal georganiseerde multinationals.

‘Forumshoppen’ is verboden. Op het moment dat een organisatie zich op het standpunt stelt dat haar hoofdvestiging zich in Nederland bevindt, maar daar vervolgens geen echte managementactiviteiten plaatsvinden of geen beslissingen over de verwerking van persoonsgegevens worden genomen, zullen de toezichthoudende autoriteiten op basis van objectieve criteria en het bewijs beslissen welke toezichthoudende autoriteit de leidende autoriteit is. Toezichthoudende autoriteiten hebben het recht om de keuze die een verantwoordelijke maakt voor zijn hoofdvestiging (en daarmee voor de leidende autoriteit) aan te vechten. Mede met het oog op het accountability-beginsel wordt organisaties derhalve aangeraden overwegingen omtrent bovenstaande schriftelijk vast te leggen.

Verwerkers

Ook verwerkers kunnen profiteren van de One Stop Shop-regel. Ook bij verwerkers wordt de locatie van de centrale administratie als de hoofdvestiging beschouwd. Indien er geen centrale administratie in de EU is, dan is de hoofdvestiging van de verwerker de vestiging waar de belangrijkste verwerkingsactiviteiten plaatsvinden.

Echter, in zaken waarin zowel een verantwoordelijke als een verwerker zijn betrokken, wordt de leidende toezichthoudende autoriteit van de verantwoordelijke als bevoegde leidende toezichthoudende autoriteit beschouwd. In dat geval is de toezichthoudende autoriteit van de verwerker een ‘betrokken toezichthoudende autoriteit’ die aan de zogenaamde samenwerkingsprocedure moet deelnemen. In de praktijk zal dit betekenen dat een verwerker die diensten verleent aan meerdere verantwoordelijken die in verschillende lidstaten gevestigd zijn (bijvoorbeeld aanbieders van clouddiensten), alsnog met meerdere toezichthouders te maken krijgen.
 

Buiten de EU gevestigde organisaties

Het One Stop Shop-mechanisme geldt alleen voor organisaties met één of meer vestigingen in de EU. Indien de betreffende organisatie geen vestiging in de EU heeft, is bijvoorbeeld de enkele aanwezigheid van een vertegenwoordiger in een bepaalde lidstaat niet voldoende om te kunnen profiteren van het One Stop Shop-mechanisme. Organisaties die geen vestiging in de EU hebben, krijgen via hun vertegenwoordiger te maken met lokale toezichthoudende autoriteiten in iedere lidstaat waarin zij op het gebied van gegevensverwerking actief zijn.

Tot slot

Voor organisaties die grensoverschrijdend persoonsgegevens verwerken en wensen te profiteren van het One Stop Shop-mechanisme, is een correcte bepaling van de hoofdvestiging van de betreffende organisatie van groot belang. Wij raden organisaties daarom aan in kaart te brengen in welke vestiging (of vestigingen) de beslissingen over de doeleinden van en de middelen voor de verwerking worden genomen en of deze vestiging zich binnen de EU bevindt. Aan de hand daarvan, en met behulp van de in deze nieuwbrief vermelde criteria van de WG29, kan een organisatie vervolgens bepalen welke vestiging zijn hoofdvestiging is. Door de overwegingen hierbij schriftelijk vast te leggen, kan een organisatie deze keuze achteraf beter verdedigen tegenover een toezichthouder die de bepaling van de leidende autoriteit betwist.

Klik hier om u aan te melden voor deze nieuwsbrief

Overzicht van te behandelen onderwerpen

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017 'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage,rectificatie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (wissing, beperking, bezwaar en geautomatiseerde besluitvorming)
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overzicht

 

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.