Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

GDPR: Wanneer doe je aan cross-border dataverwerking?

Karen Gijsbrechts

 
Als je persoonsgegevens binnen de Europese Unie verwerkt, heb je bovendien kans dat je aan cross-border dataverwerking doet. We zetten op een rijtje wat dat net betekent.

 

De GDPR is een poging om de privacywetgeving in heel Europa gelijk te maken. De verwerking van Europese persoonsgegevens in elke lidstaat zal vanaf mei 2018 dezelfde regels moeten volgen, en daarmee wordt cross-border, of grensoverschrijdende, dataverwerking heel wat eenvoudiger, maar ook strikter gereguleerd.

Onder andere maakt de GDPR het makkelijker voor autoriteiten om samen te werken over de landsgrenzen heen. Als je bedrijf aan cross-border dataverwerking doet, moet je er dus ook rekening mee houden dat je in het oog worden gehouden door meerdere autoriteiten. Maar wanneer doe je nu net aan cross-border dataverwerking?

Tweemaal cross-border dataverwerking

Volgens de Article 29 Working Party (WP29), de Europese werkgroep die zich onder andere bezighoudt met het uitpluizen van de GDPR-wetgeving, zijn er een paar factoren die grensoverschrijdende dataverwerking definiëren. Zo komt cross-border verwerking doorgaans in twee vormen voor:

 

•  verwerking van persoonsgegevens door verschillende vestigingen van een bedrijf in verschillende lidstaten;

 

•  verwerking van persoonsgegevens dat gevolgen kan hebben voor gebruikers in meerdere lidstaten, ook al is het bedrijf slechts actief binnen één lidstaat.

 

Neem bijvoorbeeld een bedrijf met vestigingen in Frankrijk en België: als beide filialen data verwerken in het kader van hun activiteiten, dan doen ze aan cross-border dataverwerking. Hetzelfde geldt bijvoorbeeld voor een Nederlandse organisatie die data verwerkt binnen de landsgrenzen, als de verwerking een impact kan hebben op niet alleen Nederlandse, maar ook Belgische datasubjecten.

 

Wat die “impact” nu net is, moet geval per geval worden bekeken, zegt de WP29. In de Nederlandstalige wettekst staat dat de gebruikers ten minste kans moeten hebben op “wezenlijke gevolgen” bij de dataverwerking. Als de dataverwerking bijvoorbeeld mogelijke reputatieschade kan veroorzaken, de gezondheid kan beïnvloeden of leidt tot andere ongewilde gevolgen voor gebruikers in verschillende lidstaten, is er sprake van cross-border dataverwerking. ‘Mogelijk’ is hier daarnaast een sleutelwoord. Gebruikers moeten dus niet per se een effect ondervinden van de verwerking, maar de kans dat ze er wel door beïnvloed kunnen worden, moet reëel zijn.

Leidende en betrokken autoriteiten

Als een bedrijf louter binnen België opereert, en enkel Belgische persoonsgegevens verwerkt, kan die dus rekenen op het toezicht van de Belgische privacycommissie. In het geval van cross-border dataverwerking kunnen echter meerdere toezichthoudende autoriteiten worden ingeschakeld om de nieuwe privacywetgeving te handhaven en op te treden bij klachten. Welke autoriteiten dan verantwoordelijk zijn, is afhankelijk van de locatie van het hoofdkwartier van het bedrijf. Het hoofdkwartier wordt beschouwd als de plaats waar ook de centrale administratie wordt gehuisvest, of waar de beslissingen over de dataverwerking plaatsvinden.

 

In het geval van cross-border dataverwerking kunnen meerdere toezichthoudende autoriteiten worden ingeschakeld.

 

Zo kan het bijvoorbeeld dat een bank met een hoofdkwartier in Frankfurt, en een verzekeringsafdeling in Wenen, onder de autoriteit van zowel de Duitse als Oostenrijkse privacycommissies valt, omdat de beslissingen over de dataverwerking in beide vestigingen autonoom worden genomen. Bedrijven buiten de Europese Unie, zoals firma’s in de VS, die Europese persoonsgegevens verwerken, moeten zich overigens ook houden aan de GDPR en vallen onder het toezicht van de autoriteit in elke lidstaat waar ze actief zijn.

 

Ten slotte is er naast een ‘leidende’ autoriteit, soms ook een betrokken autoriteit. Die is in het leven geroepen om ervoor te zorgen dat de leidende autoriteit niet automatisch de bevoegdheid krijgt over een onderzoek indien datasubjecten in een andere lidstaat ernstig worden beïnvloed door de dataverwerking. De WP29 geeft het voorbeeld van een bedrijf in Parijs dat een exclusief product lanceert op de Portugese markt. Omdat de Portugese datasubjecten hier het meeste kans hebben op nadelige gevolgen, kunnen de Franse en Portugese autoriteiten beslissen dat de Portugese autoriteit optreedt in het geval van overtredingen.

In ‘t kort

Een bedrijf dat dus data verwerkt van datasubjecten in meerdere lidstaten, of gevestigd is in meerdere lidstaten, is bezig met cross-border dataverwerking. Afhankelijk van hun hoofdkantoor, of de plaats waar de beslissingen omtrent dataverwerking worden genomen, zullen ze bij die verwerking onder het toezicht van één of meerdere autoriteiten vallen.

 

Meer weten over de GDPR? Lees verder:

De GDPR-wetgeving uitgelegd in vijf vragen

GDPR: Wat is het recht op dataportabiliteit?

Zo weet je of je een data protection officer nodig hebt

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS