Wanneer een bestuursorgaan bevoegdheden neerlegt bij een gemeenschappelijke regeling (GR), rijst de vraag of die GR vervolgens verwerkingsverantwoordelijke of verwerker is zoals bedoeld in de Europese Algemene verordening gegevensbescherming (AVG). Duidelijkheid over de rolverdeling is van belang omdat een verwerkingsverantwoordelijke belast is met de naleving van de hele AVG en daarop aangesproken kan worden. Daarnaast moet er een specifieke overeenkomst worden gesloten wanneer er een verwerker in het spel is. In deze publicatie proberen wij te ontrafelen wanneer een GR als verwerkingsverantwoordelijke en wanneer als verwerker moet worden aangemerkt. Eenvoudig is dat niet.
Terminologie verwerkingsverantwoordelijke/verwerker
De AVG vervangt met ingang van 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp). De AVG hanteert de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ in plaats van de begrippen ‘verantwoordelijke’ en ‘bewerker’ uit de Wbp. In de Nederlandse vertaling van de AVG zijn voor zover hier van belang, de volgende definities gegeven:
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Criteria verwerkingsverantwoordelijke
De Groep Gegevensbescherming artikel 29 heeft in haar Advies 1/2010 (00264/10/NL, WP 169) een advies uitgebracht over de begrippen. Of een GR verwerkingsverantwoordelijke is, kan worden vastgesteld aan de hand van het volgende:
- De GR is bij wet belast met de verantwoordelijkheid voor de verwerking van persoonsgegevens. Deze situatie doet zich volgens ons bij GR-en niet voor en laten we verder buiten beschouwing.
- De verantwoordelijkheid blijkt impliciet uit het feit dat bepaalde overheidstaken bij wet bij de GR zijn neergelegd of vloeit voert uit de functionele rol van de GR die een bepaalde verantwoordelijkheid inhoudt, zoals de werkgeversrol.
- De verantwoordelijkheid blijkt uit de feitelijke invloed die de GR heeft op de vaststelling van het doel en de middelen voor de verwerking van persoonsgegevens.
De gemeenschappelijke regeling als verwerkingsverantwoordelijke
Verantwoordelijkheid vloeit voort uit eigen taken en functionele rol
Over het algemeen voert een GR taken uit die bij wet aan de deelnemers zijn toegekend en vervolgens via delegatie of mandaat bij de GR worden neergelegd. In een enkel geval ligt dit anders en wordt een bevoegdheid bij wet rechtstreeks bij de GR neergelegd en is de GR verwerkingsverantwoordelijke. Een voorbeeld hiervan is de belasting van de Metropoolregio’s met het verlenen, wijzigen of intrekken van openbaar vervoersconcessies (artikel 20, derde lid, van de Wet personenvervoer 2000 in combinatie met artikel 36b van het Besluit personenvervoer 2000). De verantwoordelijkheid kan ook voortvloeien uit de functionele rol die een GR vervult. Daarvan zal met name sprake zijn wanneer de GR rechtspersoonlijkheid bezit. Dan vervult de GR vaak de rol van werkgever en is deze verantwoordelijk voor het verwerken van ‘eigen’ persoonsgegevens binnen de organisatie (personeelsgegevens, salarisadministratie eigen medewerkers). Ook wanneer zo’n GR overeenkomsten sluit en daarbij persoonsgegevens verwerkt, is de GR naar onze mening als rechtspersoon verwerkingsverantwoordelijke.
Situatie na delegatie, mandaat of machtiging van taken door deelnemers
De vraag of de GR verwerkingsverantwoordelijke is, is moeilijker te bepalen wanneer de taken en bevoegdheden via delegatie, mandaat of machtiging door de deelnemers bij de GR zijn neergelegd. Dan is van belang na te gaan welke invloed de GR feitelijk uitoefent op het doel en de middelen van verwerking. Het gaat dan om wezenlijke vragen als: wie stelt vast welke persoonsgegevens worden verwerkt en met welk doel, wie bepaalt welke derden toegang krijgen tot de persoonsgegevens en wanneer deze gegevens worden gewist?
In geval van mandaat of machtiging worden de bevoegdheden door de GR namens de deelnemers uitgeoefend. De deelnemers blijven naar onze mening altijd verwerkingsverantwoordelijke, maar er zou sprake kunnen zijn van een gezamenlijke verantwoordelijkheid wanneer de GR feitelijk invloed uitoefent en mede bepaalt welke persoonsgegevens worden verwerkt, met welk doel, welke derden toegang krijgen en wanneer de gegevens worden gewist. Oefent de GR geen feitelijke invloed uit, dan gaan wij ervan uit dat zij verwerker is.
Is sprake van delegatie van bevoegdheden, dan is de GR zelfstandig bevoegd gemaakt om de overgedragen bevoegdheden uit te oefenen en is de GR bestuurlijk verantwoordelijk. Het lijkt dan voor de hand te liggen om de GR als verwerkingsverantwoordelijke aan te merken, maar ook in dit geval moet naar ons idee goed naar de feitelijke situatie worden gekeken. Het kan immers zo zijn dat de deelnemers alleen de uitvoerende bevoegdheden bij de GR neerleggen en zelf in instructies, een verordening of beleidsregels het doel en de middelen van verwerking geheel of gedeeltelijk vaststellen. In dat geval blijven de deelnemers verwerkingsverantwoordelijke en is de GR alleen de verwerker of kan sprake zijn van een gezamenlijke verantwoordelijkheid.
Conclusie
De vraag of een GR verwerkingsverantwoordelijke of verwerker is, is niet eenduidig te beantwoorden en zal in veel gevallen aan de hand van de feitelijke situatie moeten worden vastgesteld.
Tips voor de praktijk
- Bepaal voorafgaand aan het sluiten van een GR of het geven van een nieuwe opdracht waarvan de verwerking van persoonsgegevens (impliciet of expliciet) onderdeel uitmaakt of de GR verwerkingsverantwoordelijke of verwerker is en eventueel of sprake is van een gezamenlijke verantwoordelijkheid. Bepaal dit zo nodig alsnog voor de bestaande GR-en.
- Tref de benodigde voorbereidingen zoals het opstellen van verwerkersovereenkomsten.
- Zorg ervoor dat het voor betrokkenen duidelijk is wie zij kunnen aanspreken en dus wie als verwerkingsverantwoordelijke(n) moet(en) worden beschouwd.