Onder de AVG valt handhaving onder de verantwoordelijkheid van de nationale gegevensbeschermingsautoriteiten (data protection authorities, oftewel DPA’s). Elk EER-land heeft zijn eigen onafhankelijke DPA, die toezicht houdt op de toepassing van de AVG, inclusief de behandeling van klachten. Voor gegevensverwerking die in meer dan één EER-land plaatsvindt, voorziet de AVG in een systeem van samenwerking tussen de bevoegde DPA’s, waarbinnen zij samenwerken om tot een consensus te komen. Zoek een overzicht van de DPA’s.
De AVG biedt bepaalde rechten aan personen, waaronder het recht om een klacht in te dienen bij de bevoegde autoriteit wanneer zij vrezen dat er sprake is van een inbreuk op hun rechten op gegevensbescherming.
Taken en bevoegdheden van de gegevensbeschermingsautoriteiten (DPA’s)
Taken van de DPA’s
Elke DPA van de EER heeft de verantwoordelijkheid om de toepassing van de AVG te monitoren en te handhaven en het publiek bewust te maken van en inzicht te krijgen in de risico’s, regels, waarborgen en rechten met betrekking tot de verwerking van persoonsgegevens. DPA’s hebben ook de taak om het nationale parlement, de regering en andere instellingen en organen te adviseren en om personen informatie te verstrekken over de uitoefening van hun rechten. DPA’s bevorderen ook het bewustzijn van verwerkingsverantwoordelijken en verwerkers van hun verplichtingen uit hoofde van de AVG. DPA’s behandelen klachten van individuen, voeren onderzoeken uit naar de juiste toepassing van de AVG en werken samen met andere DPA’s bij de toepassing van de AVG. De autoriteiten zijn ook verantwoordelijk voor:
- vaststelling en goedkeuring van modelcontractbepalingen;
- goedkeuring van bindende bedrijfsvoorschriften;
- het goedkeuren van gedragscodes;
- de invoering van certificeringsmechanismen voor gegevensbescherming aanmoedigen;
- bijdragen aan de activiteiten van de EDPB;
- het uitvoeren van andere taken in verband met de bescherming van persoonsgegevens.
Lees meer
Bevoegdheden van de DPA’s
Onder de AVG zagen de nationale DPA’s hun handhavingsbevoegdheden aanzienlijk toenemen. Artikel 58 AVG definieert de bevoegdheden van elk van deze nationale autoriteiten, door ze duidelijk te verdelen in drie hoofdgroepen:
- onderzoeksbevoegdheden;
- corrigerende bevoegdheden;
- adviserende bevoegdheden.
Onderzoeksbevoegdheden
De DPA’s oefenen hun onderzoeksbevoegdheden uit om te bepalen of er sprake is van een inbreuk op de AVG en de exacte reikwijdte en aard ervan. DPA’s kunnen onder meer:
- Organisaties gebieden alle informatie met betrekking tot het onderzoek te verstrekken;
- Onderzoeken uitvoeren in de vorm van gegevensbeschermingsaudits en de organisaties op de hoogte stellen van een vermeende inbreuk op de AVG.
- Toegang verkrijgen tot alle persoonsgegevens die in het bezit zijn van een organisatie en tot alle informatie die nodig is voor de uitvoering van haar taken, met inbegrip van toegang tot de gebouwen van de organisatie, met inbegrip van alle gegevensverwerkingsapparatuur en -middelen, in overeenstemming met het EU- en nationale procesrecht.
- Een beoordeling uitvoeren van certificeringen die zijn afgegeven op grond van artikel 42.7 van de AVG
Corrigerende bevoegdheden
Wanneer een inbreuk op de AVG-bepalingen wordt vastgesteld als gevolg van het onderzoek, of wanneer wordt aangenomen dat een verwerking risico met zich meebrengt of niet aan specifieke vereisten voldoet, hebben de DPA’s het recht om een of meer van hun corrigerende bevoegdheden uit te oefenen, bijvoorbeeld:
- Een waarschuwing of verbod op verwerking: in geval van bestaande risico’s kunnen DPA’s organisaties waarschuwen om te voorkomen dat hun verwerkingsactiviteiten inbreuk maken op de bepalingen van de AVG. DPA’s kunnen ook een tijdelijke of definitieve beperking eisen, met inbegrip van een verbod op verwerkingsactiviteiten van organisaties, en hen gebieden de datalekken die zich hebben voorgedaan aan de betrokken personen mee te delen.
- Nalevingsvolgorde: om ervoor te zorgen dat de AVG wordt nageleefd of om gevallen te behandelen waarin niet aan bepaalde criteria of vereisten is voldaan, hebben DPA’s de bevoegdheid om organisaties te dwingen te voldoen aan verzoeken van personen om hun rechten uit hoofde van de AVG uit te oefenen. Waar nodig kunnen organisaties worden gedwongen om hun verwerkingsactiviteiten op een bepaalde manier en binnen een bepaalde termijn in overeenstemming te brengen met de bepalingen van de AVG.
- Opschorting van gegevensstromen of intrekking van certificering: daarnaast kunnen DPA’s ook hun bevoegdheden uitoefenen om gegevensstromen naar ontvangers in derde landen of naar internationale organisaties op te schorten. Bovendien kunnen zij de certificering intrekken of de certificeringsinstantie gelasten een afgegeven certificering in te trekken overeenkomstig de artikelen 42 en 43 van de AVG. In gevallen waarin niet of niet meer aan de certificeringseisen wordt voldaan, de certificeringsinstantie te dwingen geen certificering af te geven.
- Berispingen: in het geval van vastgestelde inbreuken kunnen DPA’s organisaties berispen.
- Administratieve boetes: DPA’s kunnen ook administratieve boetes opleggen die zijn gedefinieerd in overeenstemming met artikel 83 van de AVG, naast of in plaats van de andere hierboven genoemde maatregelen. De administratieve sanctieregeling vereist een beoordeling per geval van de omstandigheden van elke individuele inbreuk. Bij de beoordeling moet rekening worden gehouden met factoren zoals de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard, eventuele maatregelen tot beperking van de schade, de technische en organisatorische (d.w.z. veiligheid) maatregelen die zijn uitgevoerd, en de wijze waarop de DPA’s van de kwestie op de hoogte is gekomen.
Het maximumniveau van de mogelijke sanctie hangt af van het soort inbreuk:
- het kan oplopen tot maximaal 10 miljoen EUR of 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar (bijvoorbeeld bij een inbreuk op „privacy by design and by default”, niet-naleving van de verplichting om een gegevensverwerkingsovereenkomst te sluiten, of het niet uitvoeren van een gegevensbeschermingseffectbeoordeling of het niet aanstellen van een functionaris voor gegevensbescherming) op grond van artikel 83, lid 4, AVG; of
- het kan oplopen tot maximaal 20 miljoen of 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar (bijvoorbeeld bij schending van de basisbeginselen met betrekking tot verwerking, voor het onrechtmatig verwerken van persoonsgegevens zonder rechtsgrondslag, of voor inbreuken op de rechten van betrokkenen) op grond van artikel 83.5 AVG.
Meer informatie over de administratieve boetes in verband met inbreuken op verschillende AVG-artikelen vindt je in artikel 83 AVG en de EDPB-richtsnoeren voor de berekening van administratieve boetes in het kader van de AVG.
Adviesbevoegdheden
Elke DPA heeft een bepaalde autorisatie- en adviesfunctie in het kader van de AVG, waarmee zij organisaties kunnen ondersteunen en specifieke verwerkingsactiviteiten kunnen autoriseren. Enkele voorbeelden zijn:
- Voorafgaande raadpleging: de verwerkingsverantwoordelijken adviseren in overeenstemming met de procedure van voorafgaand overleg op grond van artikel 36 van de AVG.
- Adviezen over wetgevingsactiviteiten: op eigen initiatief of op verzoek advies uit te brengen aan hun nationale parlement, regering of, in overeenstemming met het nationale recht, aan andere instellingen en organen en aan het publiek over aangelegenheden in verband met de bescherming van persoonsgegevens.
- Gedragscodes en certificering: ontwerpgedragscodes goed te keuren, certificeringsinstanties te accrediteren of certificeringen af te geven en certificeringscriteria goed te keuren.
De uitoefening van bovengenoemde bevoegdheden van DPA’s is onderworpen aan passende waarborgen, waaronder een doeltreffende voorziening in rechte en een eerlijke rechtsgang, zoals vastgelegd in het EU-recht en het nationale recht overeenkomstig het Handvest van de grondrechten van de EU. Elke DPA heeft de bevoegdheid om inbreuken op de AVG onder de aandacht van de gerechtelijke autoriteiten te brengen en, in voorkomende gevallen, gerechtelijke procedures aan te spannen of anderszins aan te spannen om de bepalingen van de AVG te handhaven. Hun nationale wetgeving kan aanvullende bevoegdheden verlenen aan DPA’s.
Lees meer
Samenwerking en One-Stop-Shop
De AVG is van toepassing in de hele EER, waarbij gebruik wordt gemaakt van één reeks gegevensbeschermingsregels voor alle landen. Deze aanpak ondersteunt internationale bedrijven, maar ook het mkb in hun inspanningen om zich te ontwikkelen en te groeien door hun diensten in meer dan één EER-land aan te bieden.
Om de administratieve lasten van de verwerking van persoonsgegevens in twee of meer EER-landen te verminderen, voorziet de AVG in een systeem voor samenwerking tussen DPA’s — het zogenaamde „one-stop-shop”-mechanisme, om consensus te bereiken tussen de talrijke DPA’s.
Wanneer een organisatie gegevens verwerkt in twee of meer EER-landen, is de bevoegde autoriteit die een klacht of een inbreuk in verband met gegevens behandelt bijvoorbeeld dat van het land waar de verwerkingsverantwoordelijke zijn hoofdvestiging heeft. Dit maakt het voor de verwerkingsverantwoordelijken gemakkelijker omdat zij zich niet hoeven te houden aan de verschillende wetten in elk land waarin zij actief zijn. Bovendien hoeven ze maar met één DPA te communiceren. Afhankelijk van het soort bedrijf en de producten en diensten die je aanbiedt, kan grensoverschrijdende verwerking ook van toepassing zijn op jouw bedrijf. Veel kleinere bedrijven, zoals online winkels, e-commerce websites, en aanbieders van telefoon- en computerapplicaties bieden diensten aan in meerdere landen.
Als jouw bedrijf gegevens van personen in verschillende EER-landen verwerkt, ben je verplicht vast te stellen welke DPA de bevoegde autoriteit of de leidende autoriteit is. Dit is meestal de DPA in het EER-land waar het hoofdkantoor van jouw organisatie is gevestigd en waar beslissingen worden genomen over de doeleinden en middelen voor de verwerking van persoonsgegevens.
In de praktijk
- Online retailers, bijvoorbeeld die kleding verkopen via hun webshops aan klanten in verschillende EER-landen, verwerken vaak persoonsgegevens. In een dergelijk grensoverschrijdend geval moet de bevoegde autoriteit het land zijn van de hoofdvestiging van de online detailhandelaar.
Zodra je hebt vastgesteld welke DPA de leidende autoriteit is, hoef je alleen met hen te communiceren. De leidende DPA werkt samen en neemt deel aan besprekingen met andere betrokken DPA’s van de EER.
Wanneer een klacht met een grensoverschrijdend element moet worden behandeld in het kader van samenwerking met een andere DPA, worden de volgende samenwerkingsmaatregelen genomen:
- Indien een andere DPA de klacht heeft ontvangen, zijn zij verplicht de leidende DPA over de zaak te informeren;
- De betrokken DPA kan deelnemen aan het opstellen van een besluit over de klacht;
- Bij de voorbereiding van een besluit moet de leidende DPA rekening houden met het advies van de betreffende DPA.
Bepalen van de leidende DPA
Kernbegrippen
Grensoverschrijdende verwerking van persoonsgegevens
Volgens de AVG is het identificeren van een leidende DPA alleen relevant voor organisaties die grensoverschrijdende verwerking van persoonsgegevens uitvoeren.
De AVG definieert „grensoverschrijdende verwerking” als ofwel:
- verwerking van persoonsgegevens in meer dan één EER-land waar de verwerkingsverantwoordelijke of de verwerker in meer dan één EER-land is gevestigd; of
- verwerking van persoonsgegevens die plaatsvindt in één vestiging van een organisatie in de EER, maar die personen in meer dan één EER-land aanzienlijk treft of waarschijnlijk zal treffen.
In de praktijk
- Dit betekent dat wanneer een organisatie vestigingen heeft in bijvoorbeeld Duitsland en Kroatië, en de verwerking van persoonsgegevens plaatsvindt in het kader van hun activiteiten, dit een grensoverschrijdende verwerking is.
- Als alternatief kan de organisatie alleen een vestiging in Duitsland hebben. Als de verwerkingsactiviteit echter aanzienlijke gevolgen heeft — of waarschijnlijk aanzienlijke gevolgen zal hebben — voor personen in Duitsland en Kroatië, dan is dit ook grensoverschrijdende verwerking.
Begrip van „ wezenlijke gevolgen”
Het feit dat een organisatie in verschillende EER-landen persoonsgegevens verwerkt, betekent niet noodzakelijkerwijs dat de verwerking een wezenlijk gevolg heeft of waarschijnlijk zal hebben. Verwerking met weinig of geen gevolgen is geen grensoverschrijdende verwerking, ongeacht het aantal personen dat het beïnvloedt.
DPA’s zullen per geval „ wezenlijke gevolgen” interpreteren. Zij houden rekening met de context van de verwerking, het soort gegevens, het doel van de verwerking en factoren zoals de vraag of de verwerking:
- schade of verlies aan personen veroorzaakt of waarschijnlijk zal veroorzaken;
- een daadwerkelijk gevolg heeft of waarschijnlijk zal hebben, in termen van beperking van de rechten van personen of het ontzeggen van een kans om deze rechten te gebruiken;
- het welzijn of de gemoedsrust van personen beïnvloedt of waarschijnlijk zal beïnvloeden;
- de financiële of economische status of omstandigheden van personen beïnvloedt of waarschijnlijk zal beïnvloeden;
- personen blootstelt aan discriminatie of oneerlijke behandeling;
- een analyse van bijzondere categorieën persoonsgegevens of andere opdringerige gegevens omvat, met name de persoonsgegevens van kinderen;
- ertoe leidt of kan leiden dat personen hun gedrag op significante wijze veranderen;
- onwaarschijnlijke, onverwachte of ongewenste gevolgen heeft voor personen;
- zorgt voor verlegenheid of andere negatieve resultaten, waaronder reputatieschade; of omvat de verwerking van een breed scala aan persoonsgegevens.
Leidende autoriteit voor gegevensbescherming
Simpel gezegd, een „leidende gegevensbeschermingsautoriteit”, of leidende DPA, is de DPA die in de eerste plaats verantwoordelijk is voor de behandeling van een grensoverschrijdende gegevensverwerking, bijvoorbeeld wanneer een persoon een klacht indient over de verwerking van hun persoonsgegevens. De leidende DPA coördineert elk onderzoek en werkt samen met „betrokken” DPA’s. Het identificeren van de leidende DPA hangt af van de locatie van de „hoofdvestiging” of „enkele vestiging” van de verwerkingsverantwoordelijke in de EU.
Als een organisatie in slechts één EER-land is gevestigd, heeft zij een enkele vestiging in de EER en zal de DPA van dat land de leidende DPA zijn.
Als een organisatie in meer dan één EER-land is gevestigd, moet de hoofdvestiging ervan worden vastgesteld, zodat de leidende DPA kan worden geïdentificeerd.
Lees meer
Hoofdvestiging
Om vast te stellen waar de hoofdvestiging zich bevindt, moet eerst worden vastgesteld waar de centrale administratie van de organisatie zich in de EER bevindt („plaats van het centrale bestuur; het hoofdkantoor), indien van toepassing. Dit is de plaats waar beslissingen worden genomen over de doeleinden en middelen voor de verwerking van persoonsgegevens.
In gevallen waarin beslissingen met betrekking tot verschillende grensoverschrijdende verwerkingsactiviteiten binnen de centrale administratie worden genomen, zal er één leidende DPA in de EER zijn voor de verschillende gegevensverwerkingsactiviteiten die door de multinationale onderneming worden uitgevoerd. Er kunnen echter gevallen zijn waarin een andere vestiging dan de plaats van het hoofdbestuur autonome beslissingen neemt over het doel en de middelen van een bepaalde verwerkingsactiviteit. In deze situaties zal het voor bedrijven van essentieel belang zijn om precies te bepalen waar de beslissingen over het doel en de verwerkingsmiddelen worden genomen. Een correcte identificatie van de hoofdvestiging is in het belang van de verwerkingsverantwoordelijken en verwerkers, omdat het duidelijk maakt met welke DPA zij te maken hebben met betrekking tot hun verschillende nalevingsverplichtingen uit hoofde van de AVG.
Lees meer
In de praktijk
- Een kledingwinkel heeft zijn hoofdkantoor (d.w.z. de „plaats van de centrale administratie”) in Sofia, Bulgarije. Het heeft vestigingen in verschillende andere EER-landen, die in contact staan met personen daar. Alle vestigingen maken gebruik van dezelfde software om persoonsgegevens van klanten te verwerken voor marketingdoeleinden. Alle beslissingen over de doeleinden en middelen voor de verwerking van persoonsgegevens van klanten voor marketingdoeleinden worden genomen binnen het hoofdkantoor van Sofia. Dit betekent dat de leidende DPA van het bedrijf voor deze grensoverschrijdende verwerking de Bulgaarse DPA is.
Niet in de EER gevestigde organisaties
Als jouw organisatie niet in de EER is gevestigd, maar onderworpen is aan de AVG omdat deze binnen het territoriale toepassingsgebied van de AVG valt, moet die mogelijk een vertegenwoordiger in een van de EER-landen aanwijzen.
Als een organisatie echter geen vestiging in de EER heeft, leidt de loutere aanwezigheid van een vertegenwoordiger in een van de EER-landen niet tot het „one-stop-shop”-systeem. Dit betekent dat organisaties zonder vestiging in de EER moeten omgaan met lokale DPA’s in elk EER-land waarin ze actief zijn, via hun lokale vertegenwoordiger.
Lees meer
Rol van de European Data Protection Board
De EDPB is een onafhankelijk Europees orgaan met rechtspersoonlijkheid dat bijdraagt tot de consistente toepassing van de gegevensbeschermingsregels in de hele EER en de samenwerking tussen de DPA’s van de EER bevordert. De EDPB bestaat uit de hoofden van de DPA’s en de European Data Protection Supervisor (EDPS), of hun vertegenwoordigers.
In de EDPB werken de DPA’s samen om:
- algemene richtsnoeren (met inbegrip van richtsnoeren, adviezen, aanbevelingen en best practices) te verstrekken over de wetgeving inzake gegevensbescherming, met name de AVG;
- de Europese Commissie te adviseren over alle kwesties in verband met de bescherming van persoonsgegevens en nieuwe voorgestelde wetgeving in de EU;
- besluiten te nemen en adviezen te geven ten behoeve van coherentie in grensoverschrijdende gegevensbeschermingszaken.
In plaats van specifieke individuele verzoeken te beantwoorden, geeft de EDPB algemene richtsnoeren.
De EDPB heeft verschillende richtsnoeren aangenomen die rechtstreeks relevant zijn voor ondernemingen, waaronder het mkb. Deze richtsnoeren verduidelijken verschillende begrippen van de AVG, zoals de basisbeginselen van de verwerking, gegevensbescherming door ontwerp en als standaard, internationale gegevensoverdrachten en rechten van betrokkenen. Een overzicht van deze documenten vindt je hier.
Coherentiemechanisme
Het coherentiemechanisme kan rechtstreekse gevolgen hebben voor het mkb. In eerste instantie kan het coherentiemechanisme worden geactiveerd wanneer de leidende DPA en de betrokken DPA’s geen consensus kunnen bereiken over een specifieke grensoverschrijdende zaak. In dergelijke gevallen zal de zaak worden verwezen naar de EDPB, die een bindend besluit zal nemen om het geschil te beslechten.
Daarnaast brengt de EDPB coherentieadviezen uit over een aantal ontwerpbesluiten van de DPA’s van de EER, die grensoverschrijdende effecten hebben (bv. over een nieuwe reeks standaardcontracten of gedragscodes).
De EDPB kan ook coherentieadviezen uitbrengen over elke kwestie van algemene toepassing van de AVG, of over kwesties met een effect in meer dan één EER-land. Dit werk heeft tot doel ervoor te zorgen dat de AVG coherent wordt begrepen en toegepast in verschillende EER-landen.