Wie is de verwerkingsverantwoordelijke?

Onderhoud

Het runnen van een bedrijf gaat onvermijdelijk gepaard met het verzamelen van persoonlijke gegevens van klanten en aannemers. Om deze reden is de bescherming van persoonsgegevens voor iedere ondernemer belangrijk geworden. Het is niet alleen vereist door professionaliteit, maar ook door wettelijke bepalingen die de ondernemer de rol van beheerder van persoonsgegevens toekennen. Wie is de beheerder van de persoonsgegevens en wat zijn zijn taken? We leggen het hieronder uit.

Wie is de beheerder van persoonsgegevens?

De wettelijke definitie van het begrip beheerder persoonsgegevens is opgenomen in art.7 punt 4 van de wet van 29 augustus 1997 betreffende de bescherming van persoonsgegevens, volgens welke de beheerder van persoonsgegevens een lichaam, organisatie-eenheid, entiteit of persoon is die beslist over de doeleinden en middelen van de verwerking van persoonsgegevens.

De hoogste administratieve rechtbank heeft in zijn arrest van 31 januari 2012 (I OSK 1317/11) uitgelegd dat de beheerder van persoonsgegevens alleen de verwerkingsverantwoordelijke is die beslist over de doeleinden en middelen van hun verwerking. Art.7 punt 4 van de wet van 29 augustus 1997 betreffende de bescherming van persoonsgegevens gebruikt het concept van de verwerking van persoonsgegevens in zijn inhoud, en daarom is het ook noodzakelijk om te verwijzen naar de wettelijke definitie van dit concept, aangezien de doeleinden en middelen moeten altijd verband houden met de verwerking van persoonsgegevens. Op grond van art. 7 punt 2 van de wet, wordt onder de verwerking van persoonsgegevens verstaan ​​alle bewerkingen die worden uitgevoerd op persoonsgegevens, zoals het verzamelen, vastleggen, opslaan, ontwikkelen, wijzigen, delen en verwijderen, met name die welke worden uitgevoerd in IT-systemen. Benadrukt moet worden dat de wet het begrip verwerking van persoonsgegevens hanteert, en dus een term gebruikt die het (hier en nu) uitvoeren van activiteiten of bewerkingen op persoonsgegevens aanduidt.

Hetzelfde standpunt werd ingenomen door de hoogste administratieve rechtbank in het arrest van 18 augustus 2016 (I OSK 864/16), waarin wordt aangegeven dat de beheerder van de website geen recht heeft op de status van gegevensbeheerder met betrekking tot de persoonsgegevens van de persoon die zich op het portaal heeft geregistreerd, als het portaal hen rechtstreeks naar uw potentiële werkgever heeft gestuurd. Aangezien deze gegevens automatisch werden overgedragen, kan niet worden aangenomen dat het bedrijf dat het portaal beheert, de status van gegevensbeheerder in de zin van art. 7 punt 4 van de wet van 29 augustus 1997 betreffende de bescherming van persoonsgegevens (d.w.z. Journal of Laws of 2002, No. 101, item 926, zoals gewijzigd), d.w.z. de entiteit die beslist over de doeleinden en middelen voor de verwerking van persoonsgegevens. De status van de gegevensbeheerder vloeit niet voort uit het loutere feit dat hij over gegevens beschikt, maar uit het uitoefenen van daadwerkelijke controle over de verwerking ervan, met inbegrip van de twee bovengenoemde elementen - beslissen over de doeleinden en middelen van gegevensverwerking.

Op 25 mei 2018 is een nieuwe wet op de bescherming van persoonsgegevens in werking getreden, ter vervanging van de bestaande regelgeving, maar de genoemde bepaling bleef bij wijze van uitzondering van kracht, waardoor de wettelijke definitie van de beheerder van persoonsgegevens niet is gewijzigd.

Wat zijn de verplichtingen van de verwerkingsverantwoordelijke?

De bepaling van art. 36 van de wet van 29 augustus 1997 tot bescherming van persoonsgegevens, die de basistaken van de beheerder van persoonsgegevens specificeert.

Op grond van de aangehaalde bepaling omvatten de taken van de verantwoordelijke voor de verwerking van persoonsgegevens:

  • toepassing van technische en organisatorische maatregelen ter bescherming van de verwerkte persoonsgegevens die passen bij de bedreigingen en categorieën van beschermde gegevens, met name het beveiligen van gegevens tegen ongeoorloofde openbaarmaking, verwijdering door een onbevoegde, verwerking in strijd met de wet, evenals wijziging, verlies, beschadiging of vernietiging;

  • het bijhouden van documentatie waarin de wijze van gegevensverwerking wordt beschreven en maatregelen om de bescherming van persoonsgegevens te waarborgen.

Op basis van artikel. 36a van de bovengenoemde wet, omvatten de bevoegdheden van de gegevensbeheerder het aanstellen van de informatiebeveiligingsbeheerder. Bij het niet aanstellen van een beveiligingsbeheerder worden zijn taken uitgevoerd door de gegevensbeheerder. Deze taken omvatten het waarborgen van de naleving van de bepalingen inzake de bescherming van persoonsgegevens, met name door:

  • het controleren van de overeenstemming van de verwerking van persoonsgegevens met de bepalingen inzake de bescherming van persoonsgegevens en het opstellen van een rapport hierover voor de verwerkingsverantwoordelijke;

  • het toezicht houden op de ontwikkeling en actualisering van de documentatie bedoeld in art. 36 seconden. 2, en naleving van de daarin gestelde regels;

  • ervoor zorgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, bekend zijn met de bepalingen inzake de bescherming van persoonsgegevens;

evenals het bijhouden van een register van gegevenssets die door de gegevensbeheerder worden verwerkt.

Is de ondernemer een beheerder van de persoonsgegevens?

De ondernemer is de beheerder van de persoonsgegevens die in het kader van zijn bedrijf worden gebruikt. In het geval van natuurlijke personen ligt het probleem voor de hand. Aan de andere kant, in het geval van rechtspersonen en organisatie-eenheden zonder rechtspersoonlijkheid, rijzen er in de praktijk twijfels over de vraag of de verantwoordelijke voor de verwerking het bedrijf, zijn autoriteiten of personen is die erin zetelen.

De beheerder van persoonsgegevens is een ondernemer, dus een handelsonderneming, en niet haar orgaan, of een natuurlijk persoon die optreedt als lid van het orgaan of een daartoe aangewezen medewerker.

Voorbeeld 1.

De staroste is de beheerder van gegevens (persoonsgegevens over voertuigeigenaren) die worden verzameld in verband met de uitvoering van openbare taken, bestaande uit voertuigregistratie en het afgeven van documenten die het recht om voertuigen te besturen bevestigen.

Voorbeeld 2.

Beslissingen over het doel van en de middelen voor de verwerking van persoonsgegevens van passagiers die zijn verkregen tijdens een inspectie door een persoon die door de vervoerder is gemachtigd om tickets te inspecteren, blijven in elk geval uitsluitend bij de vervoerder. Als gevolg hiervan zal de vervoerder altijd de verwerkingsverantwoordelijke van passagiersgegevens zijn (besluit van GIODO van 13 februari 2004, GI-DEC-DS-34/04).

Welke verplichtingen legt de nieuwe wet op aan verwerkingsverantwoordelijken?

Op 25 mei 2018, Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking Richtlijn 95/46/EG (de zogenaamde AVG-verordening) en de nieuwe wet op de persoonsgegevens (de wet van 10 mei 2018 op de persoonsgegevens. Met de inwerkingtreding van deze regelgeving zullen de verwerkingsverantwoordelijken nieuwe verplichtingen gaan dragen .

  • het melden van een inbreuk op de bescherming van persoonsgegevens aan de toezichthouder en het informeren van betrokkenen;

  • het beoordelen van de effecten van geplande gegevensverwerkingen voordat ze worden verwerkt;

  • het bijhouden van een register van verwerkingsactiviteiten van persoonsgegevens;

  • dataminimalisatie en opslagbeperking;

  • het recht om gegevens met betrekking tot een bepaalde persoon te verwijderen te waarborgen.

Kan de verwerkingsverantwoordelijke contractueel worden vastgesteld?

Deze kwestie werd onderzocht door de inspecteur-generaal voor de bescherming van persoonsgegevens, erop wijzend dat het feit dat in de overeenkomst tussen de entiteiten een van de entiteiten wordt aangeduid als de verwerkingsverantwoordelijke en de andere als de entiteit waaraan, op grond van art. 31 van de wet van 29 augustus 1997 betreffende de bescherming van persoonsgegevens (d.w.z. Journal of Laws of 2014, item 1182, zoals gewijzigd), is de verwerking van gegevens toevertrouwd, het doet niet af aan wie de feitelijke beheerder van deze gegevens is. Volgens de definitie in art. 7 punt 4 van de wet, is de beheerder van persoonsgegevens degene die beslist over de doelen en middelen. Als dus uit zowel andere bepalingen van het contract als uit het gegevensverwerkingsproces zelf blijkt dat de entiteit die in het contract is aangegeven als degene die belast is met de gegevensverwerking, in feite beslist over de doeleinden en middelen, moet worden aangenomen dat de gegevensbeheerder is deze entiteit (besluit van GIODO van 15 juli 2015, DIS / DEC 594/15/62961).