Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Contractuele aspecten GDPR

246 views

Published on

Contractuele aspecten GDPR: gezamenlijke verwerkingsverantwoordelijken, verwerkers

Published in: Law
  • Be the first to comment

Contractuele aspecten GDPR

  1. 1. (Gezamenlijke) verwerkingsverantwoordelijken, verwerker: hoe deze contractuele relaties organiseren en waarop letten? Comeos Brussel – 5 November 2018
  2. 2. VERWERKINGSVERANTWOORDELIJKE • Verwerkingsverantwoordelijke • Bepaling van doel en middelen van de verwerking • Soms bepaald door de wetgever • Kwalificatie is doorgaans niet (heel) moeilijk • Beslissingsbevoegdheid inzake verwerking • Andere criteria • Eigen wettelijke verplichtingen (b.v. klantidentificatie of medisch dossier) • Deontologische regels (b.v. dossierplicht) • Probleemgevallen • Verwerkingen georganiseerd binnen een ondernemingsgroep • Doorgeefluiken
  3. 3. DOORGIFTE TUSSEN VERWERKINGSVERANTWOORDELIJKEN • Doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke (A) aan een andere (B) • Twee verwerkingen met eigen kader • Verwerking 1 • A: verwerkingsverantwoordelijke • B: ontvanger (op te nemen in privacy disclaimer A conform artikel 13 AVG) • Verwerking 2 • A: bron (op te nemen in privacy disclaimer B conform artikel 14 AVG) • B: verwerkingsverantwoordelijke • In beginsel geen interferentie tussen verwerkingen • Doorgedreven controle van verwerkingen is niet aangewezen (aansprakelijkheid en risico op gezamenlijke verantwoordelijkheid) • Beperkte garanties en vrijwaring zijn in principe afdoende
  4. 4. GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN • Gezamenlijke verantwoordelijkheid • Gezamenlijke vaststelling van doel en middelen door meerdere verwerkingsverantwoordelijken • Transparante afspraken rond verantwoordelijkheid voor naleving AVG • Alle verplichtingen • Nadruk ligt op transparantie en uitoefening rechten betrokkene • Wezenlijke inhoud moet aan betrokkene beschikbaar worden gesteld • Betrokkene kan zich richten tot elke verwerkingsverantwoordelijke voor uitoefening rechten
  5. 5. GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN • HvJ EU Wirtschaftsakademie (Richtlijn 95/46/EG) • Ruime invulling begrip verantwoordelijke • Toegang tot persoonsgegevens niet vereist • Mate van verantwoordelijkheid verschilt van geval tot geval • HvJ Jehovah Witnesses (Richtlijn 95/46/EG) • Ruime invulling begrip verantwoordelijke • Toegang tot persoonsgegevens niet vereist • Mate van verantwoordelijkheid verschilt van geval tot geval • HvJ Fashion ID (Richtlijn 95/46/EG) • Hangende • Nuttig?
  6. 6. AANPAK GEZAMENLIJKE VERANTWOORDELIJKHEID • Overeenkomst • Duidelijke omschrijving van de gezamenlijke verwerking (desgevallend opgesplitst per subverwerking in het licht van de aansprakelijkheid) • Duidelijke aansprakelijkheidsverdeling • Onderling verdelingsmechanisme • Vrijwaring • Samenwerking • Afspraken rond rechten betrokkenen • Mandaat • Informatieplicht • Samenwerkingsplicht • Afspraken rond inbreuken met betrekking tot persoonsgegevens • Transparantie naar betrokkenen • Termsheet • Transparantie AVG • Instructies rond uitoefenen rechten (sturen van verzoeken in functie van afspraken)
  7. 7. VERWERKER • Verwerker • Verwerken van persoonsgegevens ten behoeve van een verwerkingsverantwoordelijke • Kwalificatie is doorgaans niet moeilijk • Geen eigen finaliteit • Andere criteria • Geen beslissingsbevoegdheid • Geen of weinig bewegingsvrijheid (enge instructies) • Twijfelgevallen ontstaan daar waar dienstverlening en verwerking niet gelijklopen • Arts, boekhouder, betalingsdienstverlener, advocaat, gerechtsdeurwaarder, incasso, … (in principe geen verwerker)
  8. 8. AANPAK NAAR VERWERKERS TOE • Beperking van de contractuele vrijheid • Keuze contractpartner • Verwerker die afdoende garanties biedt m.o.o. naleving AVG en de bescherming van de rechten van de betrokkene • Certificatie en gedragscode zijn dienstig indien overeenkomstig AVG • Inhoud van de overeenkomst • Wettelijke verplichte vermeldingen in overeenkomst op grond van artikel 28.3 AVG • Inhoud artikel 28.3 AVG zelf: geen wettelijke verplichtingen van de verwerker (tenzij samenvallend met andere bepalingen) • Formele verplichtingen • Overeenkomst of bindende rechtshandeling • Schriftelijk of elektronisch • Algemene voorwaarden zijn dus nog steeds mogelijk
  9. 9. INHOUD VERWERKERSOVEREENKOMST • Omschrijving verwerking • Onderwerp • Duur van de verwerking • De aard en het doel van de verwerking • Doel nooit laten bepalen door verwerker: art. 28.10 AVG (!) • Het soort persoonsgegevens • Categorieën van betrokkenen • Houvast • Aanbeveling 6/2017 (soort persoonsgegevens)
  10. 10. INHOUD VERWERKERSOVEREENKOMST • Gedocumenteerde instructies • Vertaalfout in de Nederlandse versie (schriftelijke instructies) • Uitzondering bij wettelijke verplichtingen • Melden indien een instructie strijdig is met AVG en wetgeving bescherming persoonsgegevens (dus beperkt) • Vertrouwelijkheid in hoofde van personeel • Contractuele afspraak tussen partijen is niet afdoende • Implementatie veiligheidsmaatregelen • Oplijsten in bijlage is niet langer wettelijke verplicht • Opnemen bepalingen inzake aanstellen van subverwerkers
  11. 11. INHOUD VERWERKERSOVEREENKOMST • Bijstand aan de verwerkingsverantwoordelijke bij opvolging uitoefening rechten van de betrokkenen • Aard van de verwerking heeft impact • Mandaat verlenen? • Bijstand in verband met de verplichtingen van de verwerkingsverantwoordelijke ingevolgde art. 32-36 AVG • Opgelet: een eigen verplichting opleggen aan de verwerker is niet hetzelfde als bijstand verlenen bij verplichtingen van de verwerkingsverantwoordelijke • Terugbezorgen en/of vernietigen van persoonsgegevens bij einde dienst • Einde verwerking vs. einde overeenkomst • Keuze van verwerkingsverantwoordelijke • Uitzondering: wettelijke verplichting
  12. 12. INHOUD VERWERKERSOVEREENKOMST • Medewerkingsplicht bij controle • Alle informatie verstrekken die nodig is om naleving van artikel 28 te verifiëren (dus beperkter dan AVG) • Meewerken aan audits uitgevoerd door verwerkingsverantwoordelijke of auditor aangesteld door hem • Anders gezegd: de keuze van de auditor kan niet uitsluitend door verwerker bepaald worden • Medewerkingsplicht bij audits GBA hoeft niet vermeld te worden
  13. 13. DE KLASSIEKE DISCUSSIE: WIE GAAT DAT BETALEN? • Klassiek thema in onderhandelingen: wie betaalt de bijstand van de verwerker? • AVG bevat geen uitdrukkelijke bepaling die vergoeding uitsluit (minimuminhoud artikel 28.3 AVG) • Bijstandsplicht is geen wettelijke verplichting • De wettelijke verplichting is het opnemen van inhoud in de overeenkomst, niet de uitvoering van de overeenkomst (behoudens voor bepaalde samenvallende elementen, b.v. artikel 32 AVG) • Besluit: commerciële discussie • Tip: uitdrukkelijke clausules over betalend / gratis karakter van de bijstand vallen op • Geen clausule = gratis bijstand
  14. 14. PRAKTISCH • Reeds bestaande bepalingen inzake verwerking in overeenkomst • Amendement • Addendum • Aparte verwerkersovereenkomst • Geen bepalingen of geen overeenkomst • Amendement / Addendum • Aparte verwerkersovereenkomst • Opgelet voor afzonderlijke verwerkersovereenkomsten • Aansprakelijkheidsregeling hoofdovereenkomst is niet automatisch van toepassing op afzonderlijke verwerkersovereenkomst (geen clausule = onbeperkte aansprakelijkheid) • Verwijzing naar hoofdovereenkomst is delicaat: één globale beperking of een afzonderlijke, identieke toepassing (1 + 1 = 2)
  15. 15. BIJNA ALTIJD DUIDELIJK … BIJKOMENDE DUIDING VAN DE TOEZICHTHOUDERS IS DUS NOG STEEDS NUTTIG Johan Vandendriessche Advocaat | Erkelens Law Professor ICT en privacyrecht | UGent | HoWest Gastdocent Information Security Law | Solvay Brussels School johan.vandendriessche@erkelenslaw.com +32 486 366 234 www.erkelenslaw.com

×