AVG: Bevoegde toezichthouders

De AVG bevat allerlei regels voor informatiebeveiliging en de bescherming van persoonsgegevens waar je als webshop aan moet voldoen (klik hier om meer te weten te komen over deze regels). Als je als webshop gegevens verwerkt in verschillende landen óf als je verwerkingen in meerdere landen impact hebben, is er volgens de AVG sprake van grensoverschrijdende gegevensverwerking. In dit artikel wordt besproken wat deze verwerkingen precies inhouden en welke toezichthouder wanneer bevoegd is om toezicht te houden op jouw webshop.

Grensoverschrijdende gegevensverwerkingen

In de AVG staat dat er sprake is van grensoverschrijdende gegevensverwerking als er persoonsgegevens door jouw webshop worden verwerkt en je ook een vestiging in het buitenland hebt waar je deze gegevens mee deelt. Als jij als webshop in het kader van je bedrijfsactiviteiten persoonsgegevens verwerkt terwijl je vestigingen in Nederland en bijvoorbeeld België hebt, dan wordt dit gezien als grensoverschrijdende verwerking.

Verwerk je als webshop persoonsgegevens in het kader van bedrijfsactiviteiten in een vestiging binnen de EU? Let er dan op dat wanneer de consument in meer dan één lidstaat (waarschijnlijk) ‘wezenlijke gevolgen’ ondervindt van deze verwerking, dit ook geldt als grensoverschrijdende gegevensverwerking. De AVG geeft geen definitie van ‘wezenlijke gevolgen’. De toezichthouders zullen dit per geval moeten gaan beoordelen. Hiervoor wordt door toezichthouders gekeken naar de context van de verwerking, het type persoonsgegevens (naam, adres of bijzondere persoonsgegevens zoals ras en/of godsdienst) en het doel van de gegevensverwerking. Ook worden verschillende factoren bekeken:

• brengt de verwerking consumenten (waarschijnlijk) schade, verlies of leed toe?
• Worden zijn rechten beperkt of kansen ontzegd?
• Tast de verwerking het welzijn of de gemoedsrust aan?
• Zijn er gevolgen voor de financiële status of omstandigheden?
• Zal de verwerking tot een gedragsverandering leiden?
• Bevat de verwerking een breed scala (verschillende soorten) aan persoonsgegevens?

‘Waarschijnlijk wezenlijke gevolgen’ doen zich voor wanneer het waarschijnlijker is dat de gevolgen zich wél zullen voordoen, dan dat deze zich niet zullen voordoen.

De leidende toezichthouder

In de AVG is vastgelegd dat wanneer je als webshop grensoverschrijdende gegevensverwerkingen uitvoert, je in principe nog maar met één privacytoezichthouder te maken zal hebben. Je valt dus onder bevoegdheid van één toezichthouder. Dit wordt het ‘one-stop shop’-principe genoemd. De bevoegde toezichthouder wordt de leidende of hoofdtoezichthouder genoemd (‘lead supervisory authority’). Deze toezichthouder is verantwoordelijk voor het toezicht op jouw grensoverschrijdende gegevensverwerkingen. Als een consument een klacht indient over de verwerking van zijn of haar persoonsgegevens is dit ook de toezichthouder die de leiding heeft over het lopende onderzoek.

Welke toezichthouder voor jou als webshop de leidende toezichthouder is? Dat is afhankelijk de locatie van jouw hoofdvestiging of enige vestiging. Als je als webshop maar één vestiging hebt, is het gemakkelijk te bepalen welke toezichthouder bevoegd is. In dit geval is het namelijk de toezichthouder van het land waar je bent gevestigd. Maar in andere gevallen kan het net iets ingewikkelder liggen.

Om dan te bepalen waar de hoofdvestiging van jouw webshop is, wordt gekeken naar waar de centrale administratie zit. Dit kan een hoofdvestiging zijn, maar volgens de AVG is dit is de locatie waar beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen. Bij elke afzonderlijke gegevensverwerking moet worden bepaald waar, dus in welke vestiging, de beslissingen worden genomen. Op deze manier wordt gekeken wie de leidende toezichthouder in het onderhevige geval is. Er kunnen dus meerdere leidende toezichthouders zijn, bij verschillende gegevensverwerkingen.

Het kan zijn dat er derde partijen zijn die voor jouw webshop gegevens verwerken. De verwerkingsverantwoordelijke is de webshophouder, de verwerker is bijvoorbeeld een hostingbedrijf of een PSP. Wanneer de verwerkingsverantwoordelijke en de verwerker betrokken zijn bij een zaak van een toezichthouder, dan is deze laatste een toezichthouder uit de lidstaat waar de verwerkingsverantwoordelijke de hoofdvestiging heeft. De toezichthouder van de verwerker neemt wel deel aan de samenwerking, maar geeft geen leiding aan het onderzoek.
Als je grensoverschrijdende verwerkingen uitvoert, is het verstandig om voor jouw webshop alvast na te gaan met welke toezichthouder je te maken kan krijgen onder de AVG. Zo kom je niet voor verassingen te staan.

Kort samengevat

Jij bent dus een verwerkingsverantwoordelijke als jij een derde partij gegevens voor je laat verwerken of wanneer je ze zelf verwerkt. De plaats van je centrale administratie in de EU bepaalt de bevoegdheid van de toezichthouder bij grensoverschrijdende gegevensverwerking. Tenzij de beslissingen over doelstellingen en middelen voor de gegevensverwerking in een ander land worden genomen. In dat geval is de toezichthouder van dát land bevoegd. Als er een verwerker betrokken is bij de klacht en/of het incident, is de toezichthouder van het land waar jouw hoofdvestiging (als verwerkingsverantwoordelijke) zit bevoegd en niet die uit het land van de verwerker.