Gedeelde verantwoordelijkheid van onderaannemers

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

In de tekst worden verwerkers naast verwerkingsverantwoordelijken genoemd. Volgens artikel 4-8 is een verwerker "een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt". Deze mag alleen handelen binnen het kader van een overeenkomst of andere rechtshandeling van de Europese Unie, waarin de verplichtingen inzake gegevensbescherming worden herhaald (artikel 28-3).

In september 2017 publiceerde de CNIL een handleiding voor onderaannemers, waarin de rol en aard van onderaannemers in de gegevensverwerkings- en gegevensbeschermingsketen worden verduidelijkt.

Ondanks de precieze definitie kan de term onderaannemer op veel structuren worden toegepast, waaronder:

“– IT-dienstverleners (hosting, onderhoud, enz.), software-integratoren, IT-beveiligingsbedrijven, digitale servicebedrijven of voorheen IT-service- en engineeringbedrijven (SSII) die toegang hebben tot de gegevens;

– marketing- of communicatiebureaus die ten behoeve van opdrachtgevers persoonsgegevens verwerken;

– meer in het algemeen elke organisatie die een dienst of voorziening aanbiedt waarbij persoonsgegevens worden verwerkt namens een andere organisatie;

– ook een overheidsorgaan of een vereniging kan een dergelijke kwalificatie verlangen”.

Houd er rekening mee dat bij de verwerking van gegevens in eigen naam (bijvoorbeeld personeelsbeheer) de onderaannemer de verwerkingsverantwoordelijke is. Dit geldt ook als hij zelf het doel en de middelen van de verwerking bepaalt.

Bij twijfel over de status – verwerkingsverantwoordelijke of verwerker – verwijst de CNIL naar het advies van de Europese toezichthoudende autoriteiten van 16 februari 2010, waarin een aantal aanwijzingen worden gegeven die kunnen worden gebruikt:

– de autonomie van de dienstverlener bij het uitvoeren van zijn dienst;

– monitoring van de dienstverlening;

– de toegevoegde waarde, dat wil zeggen de expertise, die de dienstverlener levert;

– de mate van transparantie met betrekking tot het gebruik van een dienstverlener (is de identiteit ervan bekend bij de betrokkenen die gebruikmaken van de diensten van de cliënt?).

Volgens de AVG is de verwerker medeverantwoordelijk. Hij "staat de verwerkingsverantwoordelijke bij bij het waarborgen van de naleving van de verplichtingen" (art. 28-3f). Hij houdt een "register bij van alle categorieën verwerkingsactiviteiten die namens de verwerkingsverantwoordelijke worden uitgevoerd" (art. 30-2). En meestal moet hij ook een functionaris voor gegevensbescherming aanstellen (art. 37), waar we later op terugkomen.

De CNIL specificeert in haar gids wat wordt bedoeld met de “voldoende garanties” die de onderaannemer moet bieden om zijn werk te kunnen uitvoeren:

– transparantie en traceerbaarheid (contract, instructies, register en alle informatie die nodig is om de naleving van de verplichtingen aan te tonen);

– gegevensbescherming door ontwerp en standaardinstellingen (minimale verwerking, gerelateerd aan het doel en uitsluitend dat doel, beperkte duur);

– beveiliging van de verwerkte gegevens (vertrouwelijkheid, melding bij een datalek, verwijdering of teruggave van gegevens bij beëindiging van de dienstverlening);

– bijstand, waarschuwing en advies.

Indien de onderaannemer ook onderaannemers inschakelt, moet hij vooraf schriftelijke toestemming verkrijgen van de verwerkingsverantwoordelijke (art. 28-2). Deze tweede onderaannemer is onderworpen aan dezelfde verplichtingen, zelfs indien hij buiten de Europese Unie is gevestigd. Indien hij deze niet nakomt, is de eerste onderaannemer aansprakelijk. Met andere woorden, in geval van een probleem kan men zich niet verontschuldigen door de locatie van een dienstverlener in Marokko of Singapore aan te voeren om verwerking te rechtvaardigen die niet in overeenstemming is met de AVG.

De CNIL adviseert om de huidige contracten via amendementen aan te passen, zodat daarin de verplichte clausules worden opgenomen die de Europese verordening voorschrijft.

Indien een onderaannemer in meerdere EU-landen actief is, is een one-stop-shop mogelijk. Artikel 56-1 bepaalt dat de "leidende autoriteit" die van de hoofdvestiging is. Indien een onderaannemer geen vestiging in de EU heeft, moet hij een vertegenwoordiger aanwijzen die als contactpersoon fungeert voor de betrokkenen en de toezichthoudende autoriteiten.

De sancties die aan een onderaannemer worden opgelegd als die zijn verplichtingen niet nakomt, kunnen even streng zijn als de sancties die aan een verwerkingsverantwoordelijke worden opgelegd.