Antwoord
Iemand anders (een natuurlijk of rechtspersoon of een andere instantie) mag persoonsgegevens voor u verwerken op voorwaarde dat er een overeenkomst of andere rechtshandeling is. Het is belangrijk dat de verwerker die u aanwijst voldoende garanties biedt om passende technische en organisatorische maatregelen te treffen die ervoor zorgen dat de verwerking voldoet aan de normen van de Algemene Verordening Gegevensbescherming (AVG) en om de bescherming van de rechten van de betrokkenen te waarborgen.
De aangewezen verwerker mag daarna geen andere verwerker aanstellen zonder uw voorafgaande, specifieke of algemene, schriftelijke toestemming. De overeenkomst of rechtshandeling tussen uw onderneming/organisatie en de verwerker moet de volgende element bevatten:
- de verwerking mag alleen plaatsvinden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke;
- de verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
- de verwerker moet een minimumveiligheidsniveau bieden dat door de verwerkingsverantwoordelijke is vastgesteld;
- de verwerker moet helpen om naleving van de AVG te garanderen.
Voorbeelden
Een bouwbedrijf gebruikt een onderaannemer voor bepaalde bouwwerkzaamheden en verstrekt hem de contactgegevens van de klanten waar de bouwwerkzaamheden moeten worden uitgevoerd. De onderaannemer gebruikt de gegevens daarna om de klanten reclamemateriaal te sturen. De onderaannemer is in dit geval niet louter een „verwerker” in het kader van de AVG, aangezien de onderaannemer de persoonsgegevens niet alleen namens het bouwbedrijf verwerkt, maar ze ook verder verwerkt voor eigen doeleinden. De onderaannemer treedt dus op als „verwerkingsverantwoordelijke”.
U bent een detailhandelsbedrijf dat besluit een back-upversie van uw klantendatabase op te slaan op een cloudserver. Hiervoor sluit u een overeenkomst met een cloudaanbieder die bekendstaat om zijn gegevensbeschermingsnormen en die ook over een gecertificeerd versleutelingssysteem voor gegevens beschikt. De cloudaanbieder is uw verwerker, omdat hij de persoonsgegevens van uw klanten op zijn servers opslaat en die gegevens namens u verwerkt.
Referenties
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.