Direct naar de inhoud

Antwoord

De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke. Medewerkers die binnen uw onderneming/organisatie persoonsgegevens verwerken, doen dit om haar taken als verwerkingsverantwoordelijke uit te voeren.

Uw onderneming/organisatie is een gezamenlijke verwerkingsverantwoordelijke als zij samen met één of meer organisaties gezamenlijk bepaalt „waarom” en „hoe” persoonsgegevens moeten worden verwerkt. Gezamenlijke verwerkingsverantwoordelijken dienen een regeling te treffen waarin hun respectieve verantwoordelijkheden voor de naleving van de AVG-regels worden vastgelegd. De belangrijkste aspecten van de regeling moeten worden meegedeeld aan de personen wier gegevens worden verwerkt.

De gegevensverwerker verwerkt persoonsgegevens uitsluitend namens de verwerkingsverantwoordelijke. De gegevensverwerker is meestal een derde partij buiten de onderneming. In het geval van concerns kan één onderneming echter optreden als verwerker voor een andere onderneming.

De taken van de verwerker jegens de verwerkingsverantwoordelijke moeten in een overeenkomst of een andere rechtshandeling worden gespecificeerd. Zo moet in de overeenkomst bijvoorbeeld worden aangegeven wat er met de persoonsgegevens gebeurt na beëindiging van de overeenkomst. Een typische activiteit van verwerkers is het aanbieden van IT-oplossingen, waaronder cloudopslag. De gegevensverwerker mag een deel van zijn taak enkel uitbesteden aan een andere verwerker of een gezamenlijke verwerker aanwijzen wanneer hij of zij vooraf schriftelijke toestemming van de verwerkingsverantwoordelijke heeft gekregen.

Er zijn situaties waarin een eenheid een verwerkingsverantwoordelijke of een gegevensverwerker of beide kan zijn.

Voorbeelden

Verwerkingsverantwoordelijke en verwerker

Een brouwerij heeft veel medewerkers in dienst en tekent een overeenkomst met een payrollbedrijf om de lonen uit te betalen. De brouwerij vertelt aan het payrollbedrijf wanneer het loon moet worden uitbetaald, wanneer een werknemer vertrekt of een loonsverhoging krijgt en verstrekt allerlei andere details voor de loonstrook en de betaling. Het payrollbedrijf levert het IT-systeem en slaat de gegevens van de medewerkers op. De brouwerij is de verwerkingsverantwoordelijke van de gegevens en het payrollbedrijf is de gegevensverwerker.

Gezamenlijke verwerkingsverantwoordelijken

Uw onderneming/organisatie biedt babysitdiensten aan via een onlineplatform. Tegelijkertijd heeft uw onderneming/organisatie een overeenkomst met een andere onderneming waardoor u diensten met toegevoegde waarde kunt aanbieden. Die diensten bestaan onder meer uit de mogelijkheid voor ouders om niet alleen de babysitter te kiezen, maar ook om spelletjes en dvd's te huren die de babysitter mee kan nemen. Beide bedrijven zijn betrokken bij de technische installatie van de website. In dat geval hebben de twee bedrijven besloten het platform voor beide doeleinden te gebruiken (babysitdiensten en dvd-/gamesverhuur) en zullen ze de namen van klanten heel vaak delen. De twee ondernemingen zijn dus gezamenlijke verwerkingsverantwoordelijken, want ze besluiten niet alleen eventueel „gecombineerde diensten” aan te bieden, maar ook een gemeenschappelijk platform te ontwerpen en te gebruiken.

Referenties

Examples

Controller and processor

A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.

Joint controllers

Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.