Inleiding
In het complexe landschap van gegevensbescherming is het begrijpen van de rollen van gegevensverwerkers en gegevensverantwoordelijken cruciaal voor naleving van de Algemene Verordening Gegevensbescherming (GDPR). Hoewel de GDPR een duidelijk onderscheid maakt tussen deze rollen, zijn er situaties waarin gegevensverwerkers zichzelf als het ware in de rol van gegevensverantwoordelijken zien stappen.
In dit artikel verkennen we scenario’s die door de GDPR worden geschetst en die leiden tot deze transformatie, waarbij we licht werpen op de verantwoordelijkheden en implicaties voor betrokken organisaties.
Wanneer Gegevensverwerkers Gegevensverantwoordelijken Worden: Onthulde Scenario’s
Verwerking van Eigen Persoonlijke Gegevens
Stel je een scenario voor waarin Bedrijf X, een bank, Bedrijf Y, een Business Proces Outsourcing (BPO) bedrijf, inschakelt om namens hen de klantenservice te verzorgen. Terwijl Bedrijf Y klantgegevens verwerkt zoals voorgeschreven door Bedrijf X, kan het ook persoonlijke informatie over de werknemers van Bedrijf X verzamelen en beheren voor interne doeleinden. In dit geval wordt Bedrijf Y een gegevensverantwoordelijke voor de werknemersgegevens die het heeft verzameld, wat een veelvoorkomende situatie is voor veel gegevensverwerkers.
Professionele Diensten met Wettelijke Verplichtingen
Stel je een situatie voor waarin een bedrijf, X, een accountantskantoor, Y, inhuurt om hun accounts te beheren. Hoewel Y over het algemeen een gegevensverwerker is die de instructies van X volgt, als Y tijdens het proces onregelmatigheden ontdekt, kan het verplicht zijn deze te melden. Deze wettelijke verplichting transformeert Y tot een gegevensverantwoordelijke voor de relevante persoonlijke gegevens. Op vergelijkbare wijze kan een advocatenkantoor dat een cliënt vertegenwoordigt in een rechtszaak een gegevensverantwoordelijke worden als het bepaalde persoonlijke gegevens moet beheren.
Medische Praktijk
In de gezondheidszorg kan een ziekenhuis een patiënt naar een andere faciliteit (B) moeten overbrengen vanwege gespecialiseerde behandelingsvereisten. Hoewel B aanvankelijk de gegevens van de patiënt verwerkt op basis van de instructies van A, wordt B een gegevensverantwoordelijke door de overdracht te accepteren, verantwoordelijk voor het beheren en gebruiken van de patiëntgegevens voor zijn eigen behandeldoelen.
Implicaties en Naleving
De GDPR stelt duidelijke richtlijnen voor de rollen van gegevensverantwoordelijken en gegevensverwerkers. Organisaties moeten zich ervan bewust zijn dat het worden van een gegevensverantwoordelijke extra verantwoordelijkheden en verplichtingen met zich meebrengt. Het niet naleven van deze verplichtingen kan leiden tot boetes en strafmaatregelen.
Begrip van Gegevensverantwoordelijken en Gegevensverwerkers
Gegevensverantwoordelijken: Belangrijke Besluitvormers
- Bepalen het doel en de wijze van gegevensverwerking.
- Verantwoordelijk voor GDPR-naleving en principes van gegevensbescherming.
- Betalen gegevensbeschermingskosten en benoemen een functionaris voor gegevensbescherming indien van toepassing.
Gegevensverwerkers: Handelen namens Gegevensverantwoordelijken
- Verwerken gegevens volgens de instructies van de gegevensverantwoordelijke.
- Implementeren passende maatregelen om GDPR-naleving te waarborgen.
- Hebben niet hetzelfde niveau van GDPR- nalevingsverantwoordelijkheden als gegevensverantwoordelijken.
- Bepaling van Uw Rol: Verantwoordelijke of Verwerker?
Gegevensverantwoordelijken
- Beslissen over het verzamelen en verwerken van persoonlijke gegevens.
- Bepalen het doel en het type verzamelde gegevens.
- Hebben commercieel voordeel bij gegevensverwerking.
- Verantwoordelijk voor GDPR-naleving en principes van gegevensbescherming.
Gegevensverwerkers
- Verwerken gegevens namens iemand anders.
- Ontvangen gegevens en instructies van een derde partij.
- Implementeren beslissingen over gegevensverwerking als onderdeel van een contract.
- Niet geïnteresseerd in het algehele doel of resultaat van de verwerking.
Gezamenlijke Verantwoordelijken: Gedeelde Verantwoordelijkheden
- Gezamenlijke verantwoordelijken hebben gedeelde doelstellingen en zijn het eens over de doeleinden van gegevensverwerking.
- Gelijkelijk verantwoordelijk voor beveiligingsinbreuken, waarbij boetes dienovereenkomstig worden verdeeld.
Sub-Verwerkers: Uitbreiding van Verantwoordelijkheden
- Gegevensverwerkers moeten vooraf schriftelijke toestemming krijgen om gegevensverwerking uit te besteden aan een derde partij (sub-verwerker).
- De sub-verwerker blijft volledig aansprakelijk voor de prestaties jegens de gegevensverantwoordelijke.
Voorbeeldcases
Voorbeeld 1: Huisartsenpraktijk
De huisartsenpraktijk beheert het doel en de wijze van gegevensverwerking in een geautomatiseerd meldingssysteem.
Voorbeeld 2: Accountant voor een Bedrijf
Een accountant is een gegevensverantwoordelijke wanneer hij handelt volgens professionele verplichtingen, niet alleen op basis van cliëntinstructies.
Conclusie
Het navigeren door het GDPR-landschap vereist een grondig begrip van de rollen van gegevensverantwoordelijken en gegevensverwerkers. Zoals geïllustreerd door verschillende scenario’s zijn er situaties waarin gegevensverwerkers natuurlijk overgaan in gegevensverantwoordelijken, wat extra verantwoordelijkheden met zich meebrengt. Organisaties moeten waakzaam blijven, zorgen voor naleving van de GDPR-richtlijnen en indien nodig juridisch advies inwinnen om potentiële inbreuken en gevolgen te voorkomen.
