Wij hebben meerdere bv’s in één concern. Moeten wij verwerkersovereenkomst afsluiten tussen de verschillende bv’s?

De gegevensverantwoordelijke (hoofdverwerker) is de bv (of andere rechtspersoon) die, alleen of samen met anderen, het doel van (en de middelen voor) de verwerking van persoonsgegevens vaststelt. De verwerker is degene die de persoonsgegevens verwerkt ten behoeve van die rechtspersoon (of bv). Als gegevens worden verzameld in het kader van de werkzaamheden van de ene bv, kunnen deze niet zomaar (zonder toestemming) worden gedeeld met (en verwerkt door) een andere bv, ongeacht of deze bijvoorbeeld hun jaarrekeningen consolideren (dus of deze een concernstructuur hebben).

Voor het delen van gegevens tussen bv’s (en andere derde bedrijven) is toestemming nodig van degene van wie er persoonsgegevens worden verwerkt. Tussen deze bv’s dient ook een verwerkersovereenkomst te worden gesloten. Daarnaast moet de toestemmingsvraag per gegevensverwerking worden beantwoord en elke keer worden aangegeven hoe de gegevensstromen tussen de verschillende bv’s lopen. Ook moet er per gegevensverwerking worden gekeken hoe hierbij aan de informatieplicht kan worden voldaan.

Bij meerdere bv’s in één concern is het nodig dat in de verwerkingsovereenkomsten het verwerken door derde (sub)verwerkers uitdrukkelijk wordt toegestaan. Dit moet omdat je aangeeft dat er onder één bv ook persoonsgegevens van andere bv’s worden gedeeld met hostingproviders en webontwikkelaars.

Het verwerkingsregister kun je wel gewoon samenvoegen. Let hierbij wel op dat je de gegevensstromen binnen de verschillende bv’s goed in kaart brengt en dat je per verzamelde categorie persoonsgegevens per bv een verwerking aanmaakt (ook al gaat dit over dezelfde persoonsgegevens. Hierdoor moeten er voor persoonsgegevens die voor één categorie zijn verzameld meerdere verwerkingen in het register worden opgenomen.