Verwerkingsverantwoordelijke

158. Een verwerkingsverantwoordelijke wordt in de GDPR omschreven als:

“(i) Een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander

orgaan die/dat, (ii) alleen of samen met anderen, (iii) het doel en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgelegd, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.”431

422 _{HvJ 6 november 2003, nr. C-101/01, ECLI:EU:C:2003:596, Bodil Lindqvist; HvJ (3}e _{k.) 1 oktober} 2015, nr. C-230/14, ECLI:EU:C:2015:639, Weltimmo.

423 _{HvJ 13 mei 2014, nr. C-131/12, ECLI:EU:C:2014:317, Google Spain SL.}

424 _{HvJ 29 juni 2010, nr. C-28/08 P, ECLI:EU:C:2010:378, Bavarian Lager.}

425 _{HvJ (4}e _{k.) 17 oktober 2013, nr. C-291/12, ECLI:EU:C:2013:670, Schwartz.} 426 _{HvJ (3}e _{k.) 1 oktober 2015, nr. C-201/14, ECLI:EU:C:2015:638, Bara.} 427 _Ibid.

428 _{HvJ (3}e _{k.) 8 juli 2008, nr. T-259/03, ECLI :EU :T :2007:254, Nikolau/Commissie.} 429 _Ibid.

430 _{Zie ook D. GOENS, Data protection bij financiële instellingen, Antwerpen, Intersentia, 2018, 127} e.v.; D. DE BOT, GDPR: hoe op een pragmatische wijze aan de nieuwe privacywetgeving voldoen? Leuven, Indicator, 2018, 8.

98

1.6.1 Een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan

159. In principe is er geen beperking voor welke type actor de rol als

verwerkingsverantwoordelijke kan krijgen. Het kan een organisatie zijn, maar ook een individu of een groep van individuen.432 _{Toch dient het begrip} verwerkingsverantwoordelijke op dergelijke wijze te worden geïnterpreteerd dat het een effectieve toepassing kan vinden. Daarom moet bij voorkeur de onderneming of instantie zelf als voor de verwerking verantwoordelijk worden beschouwd, en niet een specifieke persoon binnen deze onderneming of instantie.

Zelfs wanneer een specifieke natuurlijke persoon wordt aangesteld (DPO) die toeziet op de rechtsgeldigheid van de verwerking(en) van persoonsgegevens, zal deze namens de rechtspersoon handelen. In deze hoedanigheid blijft de rechtspersoon namens wie hij/zij handelt aanzien worden als de verwerkingsverantwoordelijke.433

Een uitzondering hierop betreft het geval wanneer een natuurlijke persoon die namens een rechtspersoon handelt gegevens zou gebruiken voor eigen doeleinden. Hiermee zou hij buiten het kader van de activiteiten van de rechtspersoon handelen en dus zelf als verwerkingsverantwoordelijke kunnen kwalificeren.434

432 _{B. VAN ALSENOY, Regulating data protection: the allocation of responsibility and risk among}

actors involved in personal data processing, onuitg. doctoraartsthesis Rechten KU Leuven, 2016,

beschikbaar op https://limo.libis.be/primo-explore/fulldisplay?docid=LIRIAS1711667&

context=L&vid=Lirias&search_scope=Lirias&tab=default_tab&lang=en_US&fromSitemap=1, 44.

433 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of}

“controller” and “processor”, 16 februari 2010, WP 169, 15 beschikbaar op

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/ wp169_en.pdf.

99

1.6.2 Alleen of samen met anderen

160. Meer dan één actor kan de mogelijkheid hebben controle uit te oefenen over de

verwerking.435 _{Wanneer minstens twee actoren de doelen en middelen van de} verwerking samen bepalen wordt dit aangeduid als een relatie van “gezamenlijke verwerkingsverantwoordelijken”.436 _{Bij de verwerking van persoonsgegevens zullen zij} beide mede verantwoordelijk worden geacht.437 _{Daarbij is het niet van belang dat} gezamenlijke verwerkingsverantwoordelijken over dezelfde toegang beschikken tot de persoonsgegevens,438 _{noch dat het moet gaan om een gelijkwaardige} verantwoordelijkheid439 _{of zij in hetzelfde stadium van het verwerkingsproces dienen} aanwezig te zijn.440

Dit blijkt ook uit het feit dat de betrokkene zijn rechten kan doen laten gelden jegens iedere verwerkingsverantwoordelijke die samen de doelen en middelen van de verwerking hebben bepaald.441 _{Er is sprake van een hoofdelijke aansprakelijkheid.}442 _Dit laat onverlet dat de partijen onderling hun aansprakelijkheden kunnen vastleggen, evenwel kan de betrokkene wel - aan de hand van hoofdelijke aansprakelijkheid – een vordering instellen tegen elk van de voor de verwerking verantwoordelijken.443

435 _{Zie ook E.F VAAL en V.I. LAAN, “Back to the basics: Verwerkingsverantwoordelijke of} verwerker onder de AVG?”, IR 2019, afl. 5, 155.

436 _{Art. 26, eerste lid GDPR.}

437 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of}

“controller” and “processor”, 16 februari 2010, WP 169, (18)-19 beschikbaar op

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/ wp169_en.pdf.

438 _{Zie overw. 38 in HvJ, 5 juni 2018, nr. C-210/16, ECLI:EU:C:2018:388, Fanpage.}

439 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of}

“controller” and “processor”, 16 februari 2010, WP 169, 18 beschikbaar op

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/ wp169_en.pdf.

440 _{Zie overw. 43 in HvJ, 5 juni 2018, nr. C-210/16, ECLI:EU:C:2018:388, Fanpage.}

441 _{Art. 26, derde lid GDPR.}

442 _{E.F VAAL en V.I. LAAN, “Back to the basics: Verwerkingsverantwoordelijke of verwerker onder}

de AVG?”, IR 2019, afl. 5, 155.

443 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of}

“controller” and “processor”, 16 februari 2010, WP 169, 22 beschikbaar op

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/ wp169_en.pdf.

100 In dergelijke relatie moeten de gezamenlijke verwerkingsverantwoordelijken op transparante wijze hun respectievelijke verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de GDPR vastleggen.444

1.6.3 Het doel en de middelen voor de verwerking vaststellen

161. Opdat een entiteit het doel en de middelen voor een verwerking zou kan vaststellen,

dient en zeker niveau van invloed kunnen worden toegeschreven aan deze entiteit.445 Deze invloed moet worden bekeken uit een analyse van de feiten en omstandigheden.446 Een contractuele aanstelling als verwerker en niet als verwerkingsverantwoordelijke is daarbij niet doorslaggevend voor het vaststellen van de daadwerkelijke hoedanigheid van een partij die uit de concrete omstandigheden moet blijken.447 _{Deze feitelijke invloed} is aanwezig vanaf het moment dat een natuurlijke persoon of een rechtspersoon deelneemt aan de vaststelling van het doel van en de middelen van de verwerking. Deze dient niet te worden vastgesteld bij wege van schriftelijke richtsnoeren of instructies.448 Volgens de GROUP 29 wordt diegene die het doel van de verwerking vaststelt in ieder geval als verwerkingsverantwoordelijke aangemerkt. Daarnaast wordt ook diegene vastgesteld als verwerkingsverantwoordelijke die de wezenlijke aspecten van de middelen vaststelt449 _{en niet louter de technische en organisatorische middelen.}450 _Deze laatste middelen kunnen namelijk gedelegeerd worden aan verwerkers.

444 _{Art. 26, eerste lid, tweede zin GDPR.}

445 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of}

“controller” and “processor”, 16 februari 2010, WP 169, https://ec.europa.eu/justice/article-

29/documentation/opinion-recommendation/files/2010/wp169_en.pdf 13. 446 _Ibid.

447 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 10/2006 on the processing of}

personal data by the Society for Worldwide Interbank Financial Telecommunications (SWIFT), 22

november 2006, WP128, https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2006/wp128_en.pdf, 11.

448 _{Overw. 67 en 68 HvJ, 10 juli 2018, nr. C-25/17, ECLI:EU:C:2018:551, Jehovan Todistajat; Zie}

ook N. MICHAIL, « Le domaine d’application du GDPR : de sa portée hors de l’Union à sa mise en œuvre dans l’Union » RDC 29, afl. 1, 59.

449 _{Hieronder te verstaan welke gegevens verwerkt dienen te worden, hoelang zij verwerkt} worden en voor wie zij toegankelijk zijn. Zie ook ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of “controller” and “processor”, 16 februari 2010, WP 169, https://ec.europa.eu/justice/article-29/documentation/opinion-

recommendation/files/2010/wp169_ en.pdf, 14.

450 _{Hieronder te verstaan welke hard- of software dient te worden gebruikt. Zie ook ARTICLE 29}

101