Deel dit artikel

Gezamenlijke verwerkingsverantwoordelijken: wat zegt de GDPR?

Op 25 mei 2018 treedt de GPDR in werking. De verantwoordelijkheid van een verwerkingsverantwoordelijke is duidelijk omschreven. Maar het gegeven van ‘gezamenlijke verwerkingsverantwoordelijken’ is een stuk complexer. Wij scheppen duidelijkheid.

De verwerkingsverantwoordelijke moet alle schade vergoeden die een natuurlijke persoon heeft geleden door de verwerking van diens gegevens op een manier die niet rechtmatig is. Het spreekt dan ook voor zich dat het aangewezen is om het risico op fouten te beperken door in overeenstemming met de GDPR te handelen.

De verantwoordelijkheid van een verwerkingsverantwoordelijke is duidelijk. Maar de situatie wordt moeilijker als er twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen. De bepalingen van de Verordening spreken in dergelijke gevallen van “gezamenlijke verwerkingsverantwoordelijken”.

Wat zijn ‘gezamenlijke verwerkingsverantwoordelijken’?

Wanneer is hier sprake van? Denk bijvoorbeeld aan:

  • een holdingstructuur;
  • een joint venture;
  • een structuur van (onder)aanneming;
  • werkgeversgroeperingen;
  • bedrijven op een gemeenschappelijk bedrijventerrein.

Dit zijn allemaal situaties waarin twee of meerdere verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking van persoonsgegevens bepalen. Concreet voorbeeld: op een bedrijventerrein zijn er bijvoorbeeld beveiligingscamera’s die gezamenlijk worden gebruikt.

Deze bedrijven zijn dan samen gezamenlijke verwerkingsverantwoordelijken.

Bevindt u bedrijf zich in zo’n situatie? Dan bent u verplicht om op een transparante en duidelijke wijze de respectievelijke verantwoordelijkheden voor de nakoming van GDPR-regels vast te leggen.

Wat betekent dat in de praktijk?

Meer specifiek zal u samen met de andere gezamenlijke verwerkingsverantwoordelijken moeten overeenkomen wie welke verantwoordelijkheden en verplichtingen op zich neemt. En dit met betrekking tot de uitoefening van de rechten van de natuurlijke personen waarvan beiden de gegevens verwerken. Met name het recht van informatie en toegang tot de persoonsgegevens moet gewaarborgd worden.

Hoewel beide verwerkingsverantwoordelijken dus onderling bepaalde afspraken kunnen maken, belet dit niet dat natuurlijke personen beide verantwoordelijken afzonderlijk kunnen aanspreken als de andere verantwoordelijke de gemaakte afspraken niet nakomt.

Conclusie?

Controleer of u zich in een situatie bevindt waarin u samen met andere bedrijven persoonsgegevens verwerkt. Als dat zo is: maak duidelijke afspraken: wie doet wat, waar en wanneer? Neem dit ook op in uw eigen register van verwerkingsactiviteiten.

Zit u nog met vragen? Als rechterhand willen wij u hier uiteraard graag in bijstaan.

Publicatiedatum: 18 december 2017