Om de privacy(rechten) van degene wiens persoonsgegevens worden verwerkt, te beschermen, legt de privacywetgeving (o.a. de AVG) verplichtingen op aan degenen die bij deze verwerking(en) betrokken zijn. Daarbij worden drie rollen onderscheiden: 1.) de verwerkingsverantwoordelijke, 2.) de gezamenlijk verwerkingsverantwoordelijke en 3.) de verwerker.
Waarom is het belangrijk te weten of een partij verwerkingsverantwoordelijke, gezamenlijk verwerkingsverantwoordelijke of verwerker is? Omdat dit bepaalt welke verplichtingen op de betreffende partij rusten. Het maakt een groot verschil of een partij verwerkingsverantwoordelijke, gezamenlijk verwerkingsverantwoordelijke of verwerker is.
Hierna wordt besproken wat het verschil is tussen de verschillende rollen.
1. De verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is degene die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Het doel is datgene waarvoor de verwerking plaatsvindt. De middelen zijn datgene wat wordt gebruikt om dat doel te bereiken.
Voorbeeld:
De Bloemetjes B.V. wil een feestje organiseren. Daarvoor wil zij door haar gekozen personen uitnodigen. De uitnodigingen worden per e mail verstuurd naar persoonlijke e-mailadressen.
De verwerking is het per e-mail versturen van de uitnodigingen. In dit voorbeeld zijn de persoonlijke e-mailadressen persoonsgegevens. Het doel van de verwerking is het uitnodigen van de uitgekozen personen. Het middel is e-mail. Zowel het doel als het middel is door De Bloemetjes B.V. vastgesteld. De Bloemetjes B.V. is daarom voor deze verwerking de verwerkingsverantwoordelijke.
Wie kunnen verwerkingsverantwoordelijke zijn? Dit kan een natuurlijke persoon, een rechtspersoon (bijvoorbeeld een bv), een overheidsinstantie, een dienst of een ander orgaan zijn.
Is in het recht van de Europese Unie of een lidstaat bepaald wat de doelstellingen en de middelen van een verwerking zijn? Dan kan daarin worden bepaald wie de verwerkingsverantwoordelijke is. Ook is het mogelijk dat daarin is vastgelegd hoe moet worden bepaald wie deze rol heeft.
2. De gezamenlijk verantwoordelijke
Soms bepalen twee of meer verwerkingsverantwoordelijken samen de doeleinden en de middelen van de verwerking. Dan zijn zij ‘gezamenlijk verwerkingsverantwoordelijken’.
Voorbeeld:
De Bloemetjes B.V. wil samen met De Boompjes B.V. een feestje organiseren. Daarvoor willen zij door hen samen gekozen personen uitnodigen. Zij kiezen er samen voor de uitnodigingen per e mail te versturen naar persoonlijke e-mailadressen. Dit doen zij vervolgens ook samen.
Ook hier is de verwerking het per e-mail versturen van de uitnodigingen. Verder zijn de persoonlijke e-mailadressen weer persoonsgegevens. Het doel van de verwerking is het uitnodigen van de uitgekozen personen. Het middel is e-mail. Zowel het doel als het middel is door De Bloemetjes B.V. en De Boompjes B.V. vastgesteld. De Bloemetjes B.V. en De Boompjes B.V. zijn daarom voor deze verwerking de gezamenlijk verwerkingsverantwoordelijken.
3. De verwerker
De verwerker verwerkt persoonsgegevens voor de verwerkingsverantwoordelijke (of de gezamenlijk verwerkingsverantwoordelijken). Het is een uitvoerende rol.
Voorbeeld:
De Bloemetjes B.V. en De Boompjes B.V. hebben het druk. Daarom besteden ze e-mailen van de uitnodigingen uit aan een derde, De Handjes B.V. Zij leveren ook de e-mailadressen aan.
Wat niet verandert, is het volgende. De verwerking is het per e-mail versturen van de uitnodigingen. De persoonlijke e-mailadressen zijn persoonsgegevens. Het doel van de verwerking is het uitnodigen van de uitgekozen personen. Het middel is e-mail. Zowel het doel als het middel is door De Bloemetjes B.V. en De Boompjes B.V. vastgesteld. De Bloemetjes B.V. en De Boompjes B.V. blijven daarom voor deze verwerking de gezamenlijk verwerkingsverantwoordelijken.
De rol van De Handjes B.V. is hier beperkt tot het namens De Bloemetjes B.V. en De Boompjes B.V. versturen van de e-mails. Zij bepaalt dus niet wat het doel is en welke middelen worden ingezet. Daarom is De Handjes B.V. verwerker.
Wie kunnen verwerker zijn? Natuurlijke personen, rechtspersonen, overheidsinstanties, diensten of andere organen.
Waarom is het belangrijk te weten wie (gezamenlijk) verwerkingsverantwoordelijke of verwerker is?
Hiervoor is al aangegeven dat het belangrijk is te weten of een partij verwerkingsverantwoordelijke, gezamenlijk verwerkingsverantwoordelijke of verwerker is om te bepalen aan welke verplichtingen van de AVG-of andere privacywetgeving deze moet voldoen.
Privacy wordt heel belangrijk gevonden. Op het niet naleven van privacyverplichtingen staan daarom veelal sancties. Een voorbeeld daarvan is een boete. Deze kan hoog oplopen. Verder riskeert een partij die niet aan diens verplichtingen voldoet claims van gedupeerden. Daarom is ook dit een reden om aan deze verplichtingen te voldoen.
Vragen over de rollen van (gezamenlijk) verwerkingsverantwoordelijke en verwerker?
Heeft u vragen over het bepalen of een partij verwerkingsverantwoordelijke, gezamenlijk verwerkingsverantwoordelijke en/of verwerker is? Of welke verplichtingen dit met zich meebrengt? Wij helpen u graag. Dat geldt ook indien u wil weten wat u (verder) moet doen om aan de eisen van de privacywet- en -regelgeving te voldoen. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.