Geplaatst op 22 augustus 2017 12:21 door Tijs Weustenraad
Verwerkingen van persoonsgegevens binnen concerns
Opereert uw organisatie in concernverband? Worden er tussen de organisaties in het concern persoonsgegevens doorgegeven, uitgewisseld of geraadpleegd? Heeft het concern vestigingen in het buitenland, al dan niet buiten de EU of de EER, waarmee persoonsgegevens worden uitgewisseld? Vrijwel ieder concern verwerkt persoonsgegevens, bijvoorbeeld klant- of personeelsgegevens. Bij deze verwerkingen van persoonsgegevens binnen (internationale) concerns zijn er enkele privacyrechtelijke aandachtspunten.
Verplichtingen uit privacywet- en regelgeving
Zowel de Wet bescherming persoonsgegevens (hierna: ‘Wbp’) als de Europese privacyverordening – die per 25 mei 2018 de Wbp zal vervangen – bevatten diverse verplichtingen voor de zogenoemde ‘verantwoordelijke’. De verantwoordelijke is degene die bepaalt wat het doel van de persoonsgegevensverwerking is en welke middelen daarvoor worden ingezet. Enkele voorbeelden van verplichtingen uit de Wbp en de Europese privacyverordening zijn:
- het treffen van adequate beveiligingsmaatregelen;
- het voldoen aan wet- en regelgeving met betrekking tot datalekken;
- het voldoen aan wet- en regelgeving ter zake het verstrekken of doorgeven van persoonsgegevens aan derden;
- het waarborgen van de rechten van de betrokkenen wiens persoonsgegevens worden verwerkt.
Welke organisatie is verantwoordelijke?
Binnen concernverband rijst de vraag welke organisatie als verantwoordelijke dient te worden aangemerkt. Is een bepaalde organisatie – veelal de moedermaatschappij of holding – de verantwoordelijke voor alle verwerkingen van persoonsgegevens binnen het gehele concern? Of zijn alle organisaties – dus ook de werkmaatschappijen – zelfstandig aan te merken als verantwoordelijke? Deze vraag is van belang om helder te krijgen welke organisatie dient te voldoen aan de eerder genoemde verplichtingen uit hoofde van de privacywet en –regelgeving.
Uitgangspunt is dat iedere organisatie binnen het concern zelfstandig verantwoordelijke is voor haar eigen verwerkingen van persoonsgegevens. De organisatie waar operationeel gezien de persoonsgegevensverwerking plaatsvindt en die de bevoegdheid heeft om het doel en de middelen van de verwerking vast te stellen is de verantwoordelijke. De feitelijke macht of invloed van een andere organisatie – bijvoorbeeld de moedermaatschappij of holding – binnen het concern is daarbij niet van belang. Het maakt hierbij niet uit dat of de verwerking van persoonsgegevens (mede) ten dienste van het concern staat. Denk hierbij aan een aparte personeelsorganisatie van waaruit voor het gehele concern personeel ter beschikking wordt gesteld.
Kortom, in principe dient iedere organisatie binnen het concern die persoonsgegevens verwerkt zelfstandig te voldoen aan de verplichtingen uit hoofde van de Wbp en de Europese privacyverordening. Op dit uitgangspunt bestaan echter wel enkele uitzonderingen. Bijvoorbeeld de mogelijkheid voor organisaties binnen een concern om een andere organisatie – zoals de moedermaatschappij of holding – aan te wijzen als verantwoordelijke. Dit dient te worden geregeld in de statuten of een overeenkomst. Indien u gebruik wenst te maken van dergelijke uitzonderingen, dan is het raadzaam om – met het oog op onder andere de gevolgen voor de aansprakelijkheid – contact op te nemen met een specialist. De specialisten van KienhuisHoving zijn expert op het gebied van privacywetgeving en kunnen u adviseren over voornoemde uitzonderingen.
Internationale doorgiftes persoonsgegevens
Kan een organisatie binnen een concern zonder meer persoonsgegevens doorgeven aan een vestiging in het buitenland? Voor zover de andere organisatie van het concern is gevestigd binnen de EU of de EER gelden er geen bijzondere aandachtspunten. Doorgifte van persoonsgegevens aan die organisatie is toegestaan, zolang er uiteraard wordt voldaan aan de algemene vereisten van de Wbp en de Europese privacyverordening.
Is de andere organisatie van het concern daarentegen gevestigd in een land buiten de EU of de EER, dan is doorgifte van persoonsgegevens aan die organisatie niet zomaar toegestaan. Zowel de Wbp als de Europese privacyverordening stellen strengere aanvullende vereisten waaraan moet worden voldaan, voordat de persoonsgegevens aan de betreffende organisatie mogen worden doorgegeven. Doorgifte is dan onder andere toegestaan indien:
- de andere organisatie in een land is gevestigd die volgens de Europese Commissie een passend beschermingsniveau voor de bescherming van privacy garandeert;
- de betrokken persoon wiens persoonsgegevens worden doorgegeven daarvoor toestemming heeft gegeven;
- de doorgifte noodzakelijk is voor het uitvoeren van de overeenkomst met de betrokken persoon;
- het concern door de Autoriteit Persoonsgegevens goedgekeurde ‘Binding Corporate Rules’ hanteert (‘Binding Corporate Rules’ zijn interne gedragscodes voor het gegevensverkeer binnen het concern, waarin waarborgen worden vastgelegd voor de bescherming van persoonsgegevens);
- de Autoriteit Persoonsgegevens daarvoor een vergunning heeft verleend.
Conclusie
Het verwerken van persoonsgegevens binnen een concern brengt een aantal privacyrechtelijke aandachtspunten met zich mee. In principe is iedere organisatie binnen het concern zelfstandig verantwoordelijk voor het verwerken van persoonsgegevens. Iedere organisatie dient in dat kader dus zelfstandig te voldoen aan de privacywet- en regelgeving. Van deze hoofdregel kan eventueel worden afgeweken, bijvoorbeeld indien een bepaalde organisatie binnen het concern wordt aangewezen als verantwoordelijke.
Worden de persoonsgegevens binnen de EU of de EER van een organisatie naar een andere organisatie in concernverband doorgegeven, dan levert dat geen bijzondere aandachtspunten op. De algemene vereisten voor het verwerken van persoonsgegevens dienen uiteraard wel in acht genomen te worden. Worden de persoonsgegevens echter doorgegeven aan een organisatie gevestigd buiten de EU of de EER, dan gelden daarvoor aanvullende voorwaarden uit hoofde van de privacywet en -regelgeving.