De pluraliteit van verwerkingswerantwoordelijken onder GDPR: wie is verantwoordelijk voor wat? Ontdek de richtlijnen van de European Data Protection Board over de toepassing van het begrip van “gezamenlijke verantwoordelijken”.

De Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels) bepaalt de voorwaarden en vereisten waaronder ondernemingen persoonsgegevens mogen verwerken, hetzij als verwerkingsverantwoordelijke, hetzij als verwerker. 

Terwijl enkel de verwerkingsverantwoordelijke onderworpen was aan wettelijke verplichtingen – en dus aan sancties – krachtens de vroegere Privacywet van 8 december 1992 (ter uitvoering van Richtlijn 45/96/EG), legt de GDPR uitdrukkelijk verplichtingen op aan zowel de verwerkingsverantwoordelijke als de verwerker, waarbij elk van hen aansprakelijk is voor de naleving van zijn respectieve verplichtingen. Een goede beoordeling en bepaling van de rol van elke partij die betrokken is bij de verwerking van persoonsgegevens is daarom van primair belang om de verantwoordelijkheden naar behoren toe te wijzen.

In het licht van het groeiende aantal beslissingen van de geschillenkamer van de Belgische Gegevensbeschermingsautoriteit (GBA) en het daadwerkelijke risico op sancties, mag de aansprakelijkheid van ondernemingen voor privacypraktijken zeker niet naar de achtergrond worden gedrongen. Bijvoorbeeld, zo heeft de GBA, in mei 2020, een administratieve boete van 50.000,00 EUR opgelegd aan de exploitant – en dus de verwerkingsverantwoordelijke – van een sociale netwerk-website.  

In de huidige digitale economie, waar technologieën gelijk staan aan winst en waar (persoons)gegevensbeheer een cruciale troef is, verzamelen en verwerken ondernemingen informatie, maar bundelen ze ook hun krachten in dergelijke taken om kosten, winst, tijd, enz. te optimaliseren. Het staat vast dat het verwerken van persoonsgegevens om nog maar te zwijgen van het feit dat het meestal om de tussenkomst van meerdere actoren gaat. De relatie tussen de verwerkingsverantwoordelijke en de verwerker komt natuurlijk in beeld. De praktijk leert echter dat dit verre van de enige bestaande interactie is.

De verwerker verwerkt de persoonsgegevens ten behoeve en op basis van de instructies van de verwerkingsverantwoordelijke, om de door deze laatste gedefinieerde doeleinden te bereiken. Dit gezegd zijnde, werken bedrijven die betrokken zijn bij het verwerken van persoonsgegevens in veel gevallen samen om een gemeenschappelijk doel te bereiken of delen zij, terwijl zij hun eigen doel nastreven, de verwerkingsmiddelen en/of dezelfde dataset. In dergelijke gevallen kunnen de bedrijven optreden als gezamenlijke verwerkingsverantwoordelijken of onafhankelijke verwerkingsverantwoordelijken van dezelfde persoonsgegevens.

Rechtsleer en begeleiding hebben zich uitgebreid gericht op de relatie tussen de verwerkingsverantwoordelijke en de verwerker. Aan de andere kant is er veel minder geschreven over de interactie tussen verwerkingsverantwoordelijken.

Toch zitten de hedendaagse vormen van ondernemen vol met situaties waarin partijen die te maken hebben met persoonsgegevens in een horizontale relatie handelen. Neem bijvoorbeeld de online platforms die restaurants, koeriers en consumenten met elkaar verbinden, zoals Uber Eats, Deliveroo of Takeway. De exploitanten van deze platforms verwerken de persoonsgegevens van hun leden voor hun eigen doeleinden met hun eigen middelen. Zij handelen daarbij niet in opdracht van de restaurants. De restaurants, van hun kant, verwerken de gegevens die toegankelijk zijn op het platform om de bestellingen van de consumenten voor te bereiden en dus voor hun eigen doeleinden. Handelen zij in dat geval in opdracht van het platform? Zijn de exploitanten van de platforms en de restaurants gezamenlijke verwerkingsverantwoordelijken? Of kwalificeren zij als onafhankelijke verwerkingsverantwoordelijken die dezelfde dataset afzonderlijk verwerken?

De recente publicaties van de European Data Protection Board (EDPB) maken het mogelijk deze vragen te beantwoorden. Op 2 september 2020 heeft de EDPB de “Guidelines 07/2020 on the concepts of controller and processor in the GDPR” (“Richtlijnen 07/2020 betreffende de begrippen van verwerkingsverantwoordelijke en verwerker in de GDPR”) aangenomen. De EDPB-richtlijnen vervangen het vorige advies WP169 van Groep artikel 29 over hetzelfde onderwerp. Deze richtlijnen zijn bedoeld om verdere verduidelijkingen en meer ontwikkelde en specifieke richtsnoeren te verschaffen.

De EDPB heeft verschillende pagina’s gewijd aan de relaties tussen verwerkingsverantwoordelijken, waarbij onder meer het concept van de gezamenlijke verwerkingsverantwoordelijkheid en de juridische gevolgen daarvan zijn gedefinieerd en geïllustreerd.   

We vatten hieronder de EDPB-richtlijnen over de relaties tussen verwerkingsverantwoordelijken samen:

Definitie van gezamenlijke verwerkingsverantwoordelijkheid. Overeenkomstig artikel 26 van GDPR: “[w]anneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken”.Aangezien de verwerkingsverantwoordelijke de rechtspersoon is die het doel en de middelen van de verwerking bepaalt, verwijst de gezamenlijke verwerkingsverantwoordelijkheid logischerwijs naar de situatie waarin deze vaststelling door twee of meer rechtspersonen gezamenlijk wordt gedaan.

Volgens de EDPB moet de beoordeling van de gezamenlijke verwerkingsverantwoordelijkheid worden uitgevoerd op basis van feiten en niet worden onderworpen aan een formele analyse. Met andere woorden, er moet rekening worden gehouden met de feitelijke rol die elke partij speelt bij het bepalen van de verwerkingsdoeleinden (“waarom” de verwerking plaatsvindt) en de middelen (“hoe” de verwerking plaatsvindt), in tegenstelling tot de formele benoeming of aanwijzing als gezamenlijk verwerkingsverantwoordelijke. De gezamenlijke deelname aan het genoemd bepalen is het algemeen criterium. Het maakt het mogelijk om onderscheid te maken tussen

• tussen de gezamenlijke verwerkingsverantwoordelijke en de verwerker. De verwerker verwerkt immers uitsluitend persoonsgegevens namens en in opdracht van de verwerkingsverantwoordelijke. In tegenstelling tot de verwerkingsverantwoordelijke heeft de verwerker geen zeggenschap over het bepalen van het doel en de middelen van de verwerking;

• tussen gezamenlijke verwerkingsverantwoordelijken en verschillende onafhankelijke verwerkingsverantwoordelijken die dezelfde dataset of dezelfde persoonsgegevens verwerken, terwijl ze gewoon de verwerkingsinfrastructuur delen.

Beoordeling van de gezamenlijke deelname. De gezamenlijke deelname betekent dat alle betrokken entiteiten een beslissende invloed hebben op het vaststellen van het doel en de middelen van de verwerking. Dit kan gebeuren

• door middel van een gezamenlijke beslissing. Bijvoorbeeld, zo besluiten twee onderzoeksinstituten om samen een gezamenlijk onderzoeksproject uit te voeren. Samen beslissen ze om een online enquête te lanceren en de vragen te definiëren die aan de potentiële deelnemers moeten worden gesteld; of

• door middel van convergerende beslissingen. De besluiten van de entiteiten convergeren wanneer “zij elkaar aanvullen en noodzakelijk zijn om de verwerking op zodanige wijze te laten plaatsvinden dat zij een tastbare invloed hebben op het bepalen van het doel en de middelen van de verwerking”. De verwerking kan niet plaatsvinden zonder de deelname van elke entiteit. Ze zijn onafscheidelijk en onlosmakelijk met elkaar verbonden. Bijvoorbeeld, zo doet bedrijf A een beroep op de diensten van bedrijf B, dat als headhuntersbureau een eigen platform en CV-databank bezit en beheert. Om bedrijf A te helpen bij het vinden van geschikte profielen voor openstaande functies, verwerkt bedrijf B de gegevens uit zijn database en de CV’s die direct door bedrijf A worden ontvangen. De beslissing van bedrijf B om zijn database te beheren en de beslissing van bedrijf A om deze database te verrijken met de CV’s die het direct ontvangt, zijn convergerende beslissingen. Ze zijn inderdaad allebei nodig om de geschikte profielen te vinden voor bedrijf A. Met betrekking tot die specifieke verwerking zijn bedrijf A en bedrijf B gezamenlijke verwerkingsverantwoordelijken.  

De gezamenlijke vaststelling (en dus deelname) moet ook per specifieke verwerkingsactiviteit worden beoordeeld en niet als een globaal mechanisme dat alle verwerkingsactiviteiten van een rechtspersoon omvat. Met andere woorden, een onderneming kan optreden als gezamenlijke verwerkingsverantwoordelijke in verband met verwerkingshandeling 1, en optreden als onafhankelijke verwerkingsverantwoordelijke in verband met verwerkingshandeling 2. In dat opzicht kiest de EDPB voor een pragmatische aanpak door een groot aantal voorbeelden en een stroomschema voor de toepassing van de begrippen van verwerkingsverantwoordelijke, verwerker en gezamenlijke verwerkingsverantwoordelijke aan te reiken.

Een van de meest relevante voorbeelden van de EDPB is de relatie tussen het reisbureau, de luchtvaartmaatschappij en het hotel met het oog op het boeken van reispakketten:

• Scenario 1: de luchtvaartmaatschappij en het hotel bevestigen aan het reisbureau de beschikbaarheid van de stoelen en de hotelkamers. Het reisbureau geeft de reisdocumenten en vouchers af aan zijn klanten. Elke actor verwerkt echter de persoonsgegevens van de klanten voor zijn eigen activiteiten (dus voor zijn eigen doeleinden) en met zijn eigen middelen. Ze treden in die specifieke situatie op als onafhankelijke verwerkingsverantwoordelijken en niet als gezamenlijke verwerkingsverantwoordelijken.

• Scenario 2: het reisbureau, de luchtvaartmaatschappij en het hotel besluiten gezamenlijk een web-platform te lanceren met als gemeenschappelijk doel het aanbieden en boeken van reispakketten. De drie actoren hebben een beslissende invloed op het doel (d.w.z. het uitvoeren van gezamenlijke marketingacties) en de middelen (d.w.z. via het web-platform) van de verwerking. Ze zijn, voor die specifieke verwerking, gezamenlijke verwerkingsverantwoordelijken. Ze blijven echter elke afzonderlijke voor de verwerking verwerkingsverantwoordelijke voor hun respectieve andere verwerkingsactiviteiten buiten het web-platform.  

Naar analogie kan worden geconcludeerd dat (i) de exploitanten van het platform om restaurants, koeriers en consumenten met elkaar te verbinden enerzijds en (ii) de restaurants die een dergelijk platform gebruiken om maaltijden aan consumenten te leveren anderzijds, met betrekking tot een dergelijke specifieke situatie als onafhankelijke verwerkingsverantwoordelijken optreden. Geen van beide partijen neemt immers deel aan het vaststellen van het doel en de middelen van de respectieve verwerkingsactiviteiten van elke partij. Het loutere feit dat de restaurants de verwerkingsinfrastructuur (dus de middelen) van de platformexploitant gebruiken, doet niets af aan die kwalificatie. Bovendien is het doorgiften van consumentengegevens van de platformexploitant naar de restaurants een doorgiften tussen verwerkingsverantwoordelijken en niet van een verwerkingsverantwoordelijke naar een verwerker. Geen van beide partijen handelt in een dergelijke specifieke situatie namens en in opdracht van de andere partij.

Gevolgen van de gezamenlijke verwerkingsverantwoordelijkheid. In principe moeten de gezamenlijke verwerkingsverantwoordelijken hun respectieve verantwoordelijkheden met betrekking tot de naleving van de GDPR-verplichtingen (bijvoorbeeld met betrekking tot de uitoefening van de rechten van de betrokkenen en het verstrekken van verplichte informatie) op transparante wijze vaststellen en overeenkomen.

Het verdelen van verantwoordelijkheden is niet beperkt tot de gezamenlijke verwerkingsverantwoordelijkheid. Alle andere verplichtingen die aan verwerkingsverantwoordelijken worden opgelegd, moeten worden gedekt. Dienovereenkomstig moet elke gezamenlijk verwerkingsverantwoordelijke ervoor zorgen dat het zich daaraan houdt.

In tegenstelling tot de bepalingen betreffende de (contractuele) relatie tussen de verwerkingsverantwoordelijke en de verwerker bepaalt de GDPR niet de rechtsvorm van de regeling tussen de gezamenlijke verwerkingsverantwoordelijken. De EDPB beveelt aan dat de genoemde regeling “wordt getroffen in de vorm van een bindend document zoals een contract of een ander juridisch bindend besluit op grond van het EU-recht of het recht van een lidstaat waaraan de voor de verwerkingsverantwoordelijken zijn onderworpen”.

In de regeling moet naar behoren rekening worden gehouden met de respectieve rollen en relaties van de gezamenlijke verwerkingsverantwoordelijken ten opzichte van de betrokkenen. Dat betekent dat de wezenlijke inhoud van de regeling beschikbaar moet zijn voor de betrokkenen. Deze zijn bovendien gerechtigd hun rechten ten aanzien van en tegen elk van de gezamenlijk verwerkingsverantwoordelijken uit te oefenen, ongeacht de regeling die tussen hen is getroffen.

Ten slotte is de GBA, evenals elke bevoegde toezichthoudende autoriteit, niet gebonden aan de kwalificatie van gezamenlijk verwerkingsverantwoordelijke, de voorwaarden van de regeling inzake de gezamenlijke verwerkingsverantwoordelijkheid of het aangewezen contactpunt.

De beoordeling van de rol van de bij de verwerkingsactiviteiten betrokken partijen is een van de fundamentele stappen in de uitvoering van conforme beleid en praktijken op het gebied van de bescherming van de persoonlijke levenssfeer. De gevolgen inzake aansprakelijkheid en sancties zijn verre van verwaarloosbaar. Wij staan uiteraard tot uw beschikking om elke vraag te beantwoorden en u bij te staan bij die bijzonder technische oefening.