AVGB-update december 2018: EDPB-richtlijnen over de territoriale reikwijdte van de AVGB

Introductie

Op 16 november 2018 heeft de European Data Protection Board (de EDPB) haar conceptrichtlijnen over de territoriale reikwijdte van de AVGB gepubliceerd. Deze richtlijnen liggen nu voor ter publieke consultatie, wat betekent dat deze mogelijk nog worden aangepast. Voor een introductie over de territoriale reikwijdte van de AVGB verwijzen wij naar een van onze eerdere AVGB-updates. Deze update bouwt voort op deze eerdere update en vat samen op welke manier de conceptrichtlijnen van de EDPB de criteria die de territoriale reikwijdte van de AVGB bepalen nader uitleggen.

Daarnaast gaan wij in deze update in op de verplichting van niet-EU organisaties om een vertegenwoordiger in de EU aan te wijzen; de praktische problemen waar organisaties tegenaan lopen als gevolg van deze verplichting; en de risico's van het niet aanwijzen van een dergelijke vertegenwoordiger.

De territoriale reikwijdte van de AVGB

De territoriale reikwijdte van de AVGB wordt bepaald door artikel 3 AVGB. De territoriale toepassing van de AVGB wordt bepaald aan de hand van drie verschillende omstandigheden. Indien een van deze omstandigheden aan de orde is, is de AVGB territoriaal gezien van toepassing. Wij vatten de bevindingen van de EDPB met betrekking tot deze omstandigheden hieronder samen.

De AVGB is van toepassing op:

  1. De verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verantwoordelijke of een verwerker in de EU (ongeacht of de verwerking plaatsvindt in de EU)
    • Een belangrijk punt in de EDPB-richtlijnen, is dat het bestaan van een relatie tussen de verantwoordelijke en de verwerker niet noodzakelijkerwijs toepasselijkheid van de AVGB voor beide betekent, indien één van de twee in de EU is gevestigd. De toepasselijkheid van de AVGB is afhankelijk van de locatie van de vestiging van verantwoordelijke of de verwerker zelf.
    • De EDPB overweegt dat wanneer een in de EU gevestigde verwerker persoonsgegevens verwerkt ten behoeve van een buiten de EU gevestigde verantwoordelijke, de verwerker niet kwalificeert als een vestiging van de niet-EU verantwoordelijke in de zin van artikel 3 lid 1 AVGB, uitsluitend vanwege zijn status als verwerker. De EDPB beschrijft dat het instrueren van een verwerker in de EU door een niet in de EU gevestigde verantwoordelijke niet kwalificeert als verwerken door die verantwoordelijke "in het kader van activiteiten van een vestiging van de verwerker in de EU". De verwerkingen worden uitgevoerd in het kader van de activiteiten van de verantwoordelijke zelf, de verwerker biedt enkel een verwerkingsdienst die niet onlosmakelijk is verbonden met de activiteiten van de verantwoordelijke. In een dergelijk geval zal de niet in de EU gevestigde verantwoordelijke daarom niet via artikel 3 lid 1 AVGB onder de AVGB vallen, alleen omdat hij een in de EU gevestigde verwerker gebruikt. De verwerker zal in een dergelijk geval wel onder de AVGB vallen via artikel 3 lid 1 AVGB, omdat de verwerker persoonsgegevens verwerkt in het kader van zijn eigen vestiging in de EU. Als gevolg daarvan zal de verwerker moeten voldoen aan de verplichtingen die voor een verwerker voortvloeien uit de AVGB. Hieronder vallen het aangaan van een verwerkingsovereenkomst (artikel 28 AVGB) en het bijhouden van een register van verwerkingsactiviteiten (artikel 30 lid 2 AVGB).
    • De EDPB overweegt verder dat een niet in de EU gevestigde verwerker die niet onder de AVGB valt, niet onder de reikwijdte van de AVGB komt te vallen alleen omdat hij persoonsgegevens verwerkt ten behoeve van een verantwoordelijke die wel in de EU is gevestigd. Voor de verantwoordelijke is het uiteraard wel een verplichting om ervoor te zorgen dat er een verwerkingsovereenkomst aan de verwerking ten grondslag ligt. In de praktijk wordt een verwerker daarmee via de verwerkingsovereenkomst indirect onderworpen aan een aantal verplichtingen uit de AVGB. Het niet voldoen aan deze verplichtingen door de verwerker zal kwalificeren als wanprestatie jegens de verantwoordelijke, maar niet als een directe overtreding van AVGB.
  2. Het verwerken van persoonsgegevens van betrokkenen die zich in de EU bevinden door een verantwoordelijke die niet in de EU is gevestigd, voor zover de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen.
    • Verwerkingsactiviteiten die gerelateerd zijn aan de verwerkingsactiviteiten in het kader van het aanbieden van goederen en diensten vallen ook binnen de territoriale reikwijdte van de AVGB. De EDPB overweegt in dit kader dat er een verband moet bestaan tussen de verwerkingsactiviteit en het aanbieden van de goederen of diensten, maar dat zowel directe als indirecte verbanden relevant zijn. De EDPB wijdt verder niet uit op dit punt en geeft geen voorbeelden van dergelijke 'gerelateerde' verwerkingsactiviteiten. Dit roept vragen op met betrekking tot de exacte reikwijdte van artikel 3 lid 2 sub a AVGB.
    • Om te beoordelen of een organisatie goederen en diensten aanbiedt die gericht zijn op betrokkenen in de EU, moeten alle relevante omstandigheden van het geval in ogenschouw worden genomen. In haar conceptrichtlijnen verschaft de EDPB een niet-limitatieve lijst van negen omstandigheden die bij deze beoordeling een rol kunnen spelen. Deze omstandigheden zijn:
      • De EU of ten minste één EU-lidstaat wordt bij naam genoemd met betrekking tot het aanbieden van de goederen of diensten.
      • De marketing- en advertentiecampagnes zijn gericht op EU-lidstaten; of de organisatie betaalt de exploitant van een zoekmachine voor een zoekmachineadvertentiedienst om toegang tot haar website in de EU te bevorderen.
      • De betreffende activiteit heeft een internationaal karakter (bijvoorbeeld toeristische activiteiten).
      • De vermelding van specifieke contactgegevens voor de bereikbaarheid vanuit een bepaalde EU-lidstaat.
      • Er wordt een EU top-level domeinnaam gebruikt (zoals ".nl" of ".eu").
      • De verstrekking van routeinformatie van één of meer EU-lidstaten naar de plaats waar de dienst wordt verleend.
      • Er wordt gesproken over een internationale klantenkring die bestaat uit klanten die in de EU zijn gevestigd.
      • Er wordt een taal of valuta van een of meer EU-lidstaten gebruikt.
      • Bezorging in een EU-lidstaat wordt aangeboden.
    • De EDPB geeft aan dat een aantal van de hierboven genoemde omstandigheden op zichzelf genomen mogelijk niet leidt tot een duidelijke indicatie van het aanbieden van goederen of diensten in de EU. Bovengenoemde omstandigheden moeten echter wel allemaal in ogenschouw worden genomen om te beoordelen of een combinatie van de factoren kwalificeert als het aanbieden van goederen en diensten aan betrokkenen in de EU.  
  3. Het verwerken van persoonsgegevens van betrokkenen die zich in de EU bevinden door een verantwoordelijke of een verwerker die niet in de EU is gevestigd, voor zover de verwerking verband houdt met het monitoren van hun gedrag.
  • Overweging 24 van de AVGB lijkt het monitoren van gedrag te beperken tot het volgen van personen over het internet, bijvoorbeeld door middel van bepaalde tracking cookies. Daarmee zouden andere wijzen van gedragsmonitoring, bijvoorbeeld via wearables of smart devices, buiten de territoriale reikwijdte van de AVGB vallen. Het was de vraag of de EDPB deze beperkte uitleg van artikel 3 lid 2 sub b AVGB zou onderschrijven. In de conceptrichtlijnen beschrijft de EDPB dat artikel 3 lid 2 sub b AVGB zich wat haar betreft mede uitstrekt tot het monitoren van gedrag van betrokkenen in de EU via andere netwerktypen of technologieën. De EDPB meent aldus dat overweging 24 de reikwijdte van artikel 3 lid 2 sub b AVGB niet beperkt. De EDPB noemt de volgende voorbeelden van het monitoren van gedrag die ook in beschouwing moeten worden genomen:
    • Gedragsgerichte reclame
    • Geo-localisering, in het bijzonder voor marketing doeleinden
    • Online tracken door middel van het gebruik van cookies of andere tracking technieken zoals fingerprinting
    • Online gepersonaliseerde dieet- en gezondheidsanalyse diensten
    • Cameratoezicht
    • Marktonderzoeken en andere gedragsstudies gebaseerd op individuele profielen
    • Het monitoren of structureel rapporteren over de gezondheid van een individu.
  • In tegenstelling tot artikel 3 lid 2 sub a AVGB, bepaalt noch artikel 3 lid 2 sub b, noch de bijbehorende overweging 24 AVGB, dat er sprake moet zijn van een bepaalde 'bedoeling' van een organisatie om zich te richten op betrokken in de EU, om vast te kunnen stellen of de betreffende monitoringsactiviteit de toepasselijkheid van de AVGB veroorzaakt. Desalniettemin meent de EDPB dat artikel 3 lid 2 sub b AVGB vereist dat de organisatie een specifiek doel voor ogen heeft (een 'bedoeling') voor het verzamelen en het verwerken van de persoonsgegevens over het gedrag van een betrokkene in de EU. De EDPB overweegt dat niet elke online verzameling of analyse van persoonsgegevens van personen in de EU derhalve vanzelfsprekend kwalificeert als 'monitoren'.

Het is noemenswaardig dat de EDPB uiteenzet dat voor de criteria (ii) en (iii) hierboven een zekere bedoeling vereist is van de organisatie die de verwerkingsactiviteiten uitvoert. De EDPB interpreteert deze bedoeling als het hebben van een bepaald doel voor het verzamelen en verder verwerken van de persoonsgegevens. Vanwege het feit dat het de verantwoordelijke is die het doel en de middelen van de verwerking bepaalt, zal de verantwoordelijke de partij zijn die deze bedoeling heeft. Een verwerker heeft normaal gesproken geen zelfstandige bedoeling om de persoonsgegevens te verwerken. De verwerker verwerkt de persoonsgegevens 'slechts' ten behoeve van de verantwoordelijke. Dit alles in ogenschouw nemende kan men zich afvragen of een niet in de EU gevestigde verwerker zelfstandig onder artikel 3 lid 2 AVGB kan vallen. De EDPB besteedt geen specifieke aandacht aan dit punt en de voorbeelden die zij in dit kader noemt, zijn allemaal verwerkingsactiviteiten uitgevoerd door verantwoordelijken.

Tussenconclusie

De EDPB benadrukt dat het uitgangspunt is, dat wanneer de verwerking van persoonsgegevens door een verantwoordelijke of een verwerker binnen de territoriale reikwijdte van de AVGB valt, alle bepalingen van de AVGB van toepassing zijn op die verwerking. Het niet voldoen aan de bepalingen van de AVGB stelt organisaties potentieel bloot aan serieuze boetes en aansprakelijkheid, en belangrijker nog, potentiële reputatieschade. Wij adviseren organisaties die op internationaal niveau goederen en diensten aanbieden daarom een analyse uit te voeren om te bepalen of de gerelateerde verwerking van persoonsgegevens onder de territoriale reikwijdte van de AVGB valt.

De vertegenwoordiger

Op grond van artikel 27 AVGB is een niet in de EU gevestigde verantwoordelijke of verwerker, die krachtens artikel 3(2) AVGB (zie punten (ii) en (iii) hierboven) onder de AVGB valt, verplicht om door middel van een schriftelijke machtiging een vertegenwoordiger in de EU aan te wijzen. De vertegenwoordiger kan een natuurlijke persoon of een rechtspersoon zijn en moet zijn gevestigd in een van de EU-lidstaten waar de betrokkenen van wie persoonsgegevens worden verwerkt zich bevinden.

De verplichting om een vertegenwoordiger aan te wijzen geldt niet voor "incidentele verwerkingen, die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens of strafrechtelijke persoonsgegevens betreft" en "waarbij de kans gering is dat zij een risico inhouden voor de rechten en vrijheden van natuurlijke personen". Het is duidelijk dat dit uitzonderingsgevallen betreft. Dit betekent dat in de praktijk, in de meeste gevallen, de niet in de EU gevestigde organisaties die onder de AVGB vallen, verplicht zullen zijn om een vertegenwoordiger aan te wijzen.

Overheidsinstanties zijn vrijgesteld van de verplichting om een vertegenwoordiger aan te wijzen.

De EDPB acht de rol van vertegenwoordiger niet verenigbaar met de rol van FG. De AVGB vereist dat de FG geen instructies ontvangt met betrekking tot het uitoefenen van zijn of haar taken. De EDPB meent dat dit onafhankelijkheidsvereiste niet verenigbaar is met de rol van vertegenwoordiger in de EU, omdat de vertegenwoordiger handelt op basis van een machtiging van de verantwoordelijke of verwerker.

De vertegenwoordiger is verantwoordelijk voor het faciliteren van de communicatie tussen de betrokkenen en de vertegenwoordigde organisatie, zodat de betrokkenen hun rechten effectief kunnen uitoefenen. Verder is de vertegenwoordiger het eerste contactpunt voor de Europese toezichthouders. Efficiënte communicatie met de betrokkenen en de toezichthouders vereist dat de vertegenwoordiger (waar nodig met behulp van een team) in staat is om te communiceren in de talen van de betrokken partijen.

Naast voormelde taken moet de vertegenwoordiger het register van verwerkingsactiviteiten bijhouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van de verantwoordelijke of de verwerker vallen. De EDPB meent dat het bijhouden van dit register een gezamenlijke verplichting is: de vertegenwoordigde organisatie moet de vertegenwoordiger voorzien van accurate, volledige en up-to-date informatie zodat het register kan worden bijgehouden en door de vertegenwoordiger op verzoek ter beschikking kan worden gesteld.

Onze ervaring is dat organisaties op dit moment moeite hebben met het vinden van partijen die bereid zijn om op te treden als hun vertegenwoordiger. Een van de redenen hiervoor zou kunnen zijn dat toezichthouders op dezelfde manier hun handhavingsbevoegdheden kunnen uitoefenen tegen de vertegenwoordigers als tegen de verwerkers of de verantwoordelijken. De EDPB benadrukt dat dit mede de mogelijkheid omvat om vertegenwoordigers administratieve boetes en sancties op te leggen, en om hen aansprakelijk te houden.

Voor zover wij weten is er op dit moment slechts een beperkt aantal dienstverleners dat aanbiedt om op te treden als externe vertegenwoordiger, en als gevolg van de handhavingsbevoegdheden die tegen hen kunnen worden geïnitieerd, zijn de kosten voor dergelijke diensten over het algemeen niet gering.

Praktisch advies van de EDPB voor organisaties die moeite hebben met het aanwijzen van vertegenwoordigers zou nuttig zijn geweest. In plaats daarvan benadrukt de EDPB in haar conceptrichtlijnen dat het niet aanwijzen van een vertegenwoordiger een inbreuk op de AVGB oplevert, hetgeen kan leiden tot hoge boetes en aansprakelijkheid. In de praktijk valt het echter nog te bezien of handhavingsacties tegen organisaties zonder fysieke aanwezigheid in de EU succesvol zullen zijn.

Klik hier om u aan te melden voor deze nieuwsbrief.

Overzicht behandelde onderwerpen

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017 'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage, correctie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (wissing, beperking, bezwaar en geautomatiseerde besluitvorming)
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overview
Oktober 2018 Overzicht van ontwikkelingen sinds 25 mei 2018
November 2018 Gegevensbeschermingseffectbeoordelingen (DPIA's)
December 2018 EDPB-richtlijnen over de territoriale reikwijdte van de AVGB 

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.