De Artikel 26-samenwerking

Capgemini

2020-12-02

In september 2020 publiceerde het Europees Comité voor Gegevensbescherming (EDPB)[1] de conceptversie van “Guideline 07/2020, on the concept of controller and processor in the GDPR”.[2] In dit richtsnoer wordt nadere uitleg gegeven over de concepten verwerkingsverantwoordelijke, verwerker, gezamenlijke verwerkingsverantwoordelijke, derde partij, en ontvanger. Daarnaast staat de EDPB stil bij de implicaties van het toewijzen van deze rollen aan betrokken entiteiten.

We zijn inmiddels meer bekend geraakt met de concepten van verwerker en verwerkingsverantwoordelijke. Deze verhouding lijkt dan ook steeds meer gestalte te krijgen in de praktijk. Desondanks stelde de Autoriteit Persoonsgegevens (AP) onlangs vast dat er verwerkersovereenkomsten worden afgesloten met logistieke diensten zoals postbezorgers, terwijl zij worden aangemerkt als zelfstandig verwerkingsverantwoordelijke.[3] Ruim twee jaar na de inwerkingtreding blijft ook deze relatie de gemoederen bezighouden. Het is dan ook niet verwonderlijk dat er inmiddels ruim 100 reacties van verschillende stakeholders uit verschillende landen (EU en niet-EU) zijn binnengekomen op deze conceptversie.[4] Logisch, wanneer je bedenkt dat deze concepten het fundament vormen voor het vaststellen van verantwoordelijkheden.

In tegenstelling tot de relatie verwerker-verwerkingsverantwoordelijke is het concept van gezamenlijke verwerkingsverantwoordelijkheid een relatief minder alledaags concept. De EDPB besteedt dan ook veel aandacht aan dit onderwerp, mede aan de hand van jurisprudentie.[5] Hoewel getracht wordt duidelijkheid te creëren rondom dit concept, heeft dat anderzijds geleid tot de nodige vragen en bedenkingen. Zo kwam Strategisch Leveranciers Management (SLM) Microsoft Rijk (ministerie Justitie & Veiligheid) met een aanbeveling over het concept gezamenlijke verwerkingsverantwoordelijke, ten aanzien van cloudopslagdiensten.[6]

Artikel 26 lid 1 AVG stelt dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zij gezamenlijk verwerkingsverantwoordelijke zijn. Het ‘bepalen’ wordt vanaf overweging 50 van de Guideline door de EDPB nader vormgegeven door gezamenlijke ‘participatie’, waarbij meerdere entiteiten een doorslaggevende invloed uitoefenen op de verwerking en hoe deze plaats vindt. Dit kan aangetoond worden door gezamenlijke besluitvorming, maar ook door convergerende besluitvorming. Van laatstgenoemde is sprake wanneer besluiten elkaar complementeren en nodig zijn om de verwerking van persoonsgegevens te laten plaatsvinden. De besluiten dienen een tastbare impact te hebben op de bepaling van de doeleinden en middelen van de verwerking. Een belangrijk criterium om convergerende beslissingen te identificeren is dus of de verwerking niet mogelijk zou zijn zonder de deelname van beide partijen, kortom of de verwerkingen onafscheidelijk, dan wel onlosmakelijk met elkaar verbonden zijn.[7]

Op basis van deze redenering constateert SLM Microsoft Rijk dat er een onlosmakelijke link bestaat tussen het besluit van een klant om gebruik te maken van een specifieke dienst van een cloudopslagprovider, en de daaropvolgende verwerking door laatstgenoemde als gevolg van het gebruik van die dienst. Deze constatering in combinatie met de toebedeling van rollen op basis van de feitelijke situatie leidt ertoe dat voor bepaalde verwerkingen deze leveranciers niet (meer) aangemerkt worden als verwerker, maar als gezamenlijk verwerkingsverantwoordelijke. Wanneer dergelijke providers als verwerker worden aangemerkt en er dus een verwerkersovereenkomst afgesloten is met de klant, behoudt laatsgenoemde meer controle over zijn data. Daarnaast loopt de betrokkene minder risico op onrechtmatige verwerkingen door deze providers. Zien we door deze uitleg van de EDPB een onwenselijke machtsverschuiving plaatsvinden richting de vaak grote(re) organisaties?

Om verdere verwarring te voorkomen wordt gepleit voor een indicatie waarin wordt opgehelderd voor welke data een cloudopslagleverancier een verwerker is, of (gezamenlijk) verwerkingsverantwoordelijke. [8]

Hoe zal de EDPB op deze bedenkingen reageren? We gaan het zien in de definitieve vaststelling van de guideline!

[1] Het Europees Comité voor gegevensbescherming (EDPB) is een onafhankelijk Europees orgaan dat erop toeziet dat de Algemene Verordening Gegevensbescherming (AVG) consequent wordt toegepast in de Europese Unie (EU).

[2] Guideline 07/2020 (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en).

[3] AP – Onderzoek Verwerkersovereenkomsten, H4, p. 8. (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/onderzoek_verwerkersovereenkomsten.pdf).

[4] Vgl. 33 inzendingen voor “Guidelines 08/2020 on the targeting of social media users “ (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-082020-targeting-social-media-users_en).

[5] Guideline 07/2020 – par. 53, 62, 63.

[6] Input SLM Microsoft Rijk (https://edpb.europa.eu/sites/edpb/files/webform/public_consultation_reply/input_slm_on_public_consultation_07-2020_edpb_-_controller_vs_processor.pdf).

[7] Guideline 07/2020, par. 50, 52.

[8] Input SLM Microsoft Rijk – p.3.