Wat u moet weten.

De handhaving van de Algemene Verordening Gegevensbescherming (‘AVG’) gebeurt door de nationale toezichthoudende autoriteiten. Hoewel het voorstel van een Europese toezichthoudende autoriteit wel voorlag, bereikten de lidstaten hierover geen politiek akkoord.

Voor ondernemingen die actief zijn in verschillende lidstaten van de Europese Economische Ruimte (‘EER’), stelt zich dan ook meteen de vraag welke nationale toezichthoudende autoriteit bevoegd is. Zij moeten dit (proactief) nagaan zodat zij hun Functionaris voor Gegevensbescherming (in het Engels een Data Protection Officer of ‘DPO’) bij de juiste autoriteit(en) aanmelden, datalekken correct kunnen melden en weten met welke autoriteit zij contact moeten opnemen in het kader van een voorafgaande consultatie voor risicovolle verwerkingsactiviteiten. Het bepalen van de bevoegde nationale toezichthoudende autoriteit(en) is dus geen kwestie van afwachten, maar vormt integraal onderdeel van een correcte naleving van de AVG.

Wanneer er sprake is van grensoverschrijdende verwerkingen, en er dus meerdere nationale toezichthoudende autoriteiten betrokken zijn (Artikel 4, lid 22 AVG), voorziet de AVG een “één-loketmechanisme”. Op basis van dit systeem moet één autoriteit aangeduid worden als de “leidende toezichthoudende autoriteit” die in principe als enige bevoegd is voor de betrokken verwerking(en). Het Europees Comité voor Gegevensbescherming (in het Engels European Data Protection Board of ‘EDPB’) heeft richtlijnen gepubliceerd om deze “leidende toezichthoudende autoriteit” te bepalen. Dit neemt niet weg dat deze leidende toezichthoudende autoriteit alsnog moet samenwerken met de verschillende andere betrokken toezichthoudende autoriteiten conform het samenwerkingsmechanisme voorzien in Artikel 60 AVG.

Het één-loketmechanisme speelt enkel wanneer de betrokken onderneming minstens één vestiging heeft binnen de EER. Wanneer een onderneming geen enkele vestiging heeft binnen de EER, maar alsnog onder het territoriaal toepassingsgebied van de AVG valt (bijv. omdat zij haar goederen en diensten aanbiedt aan personen binnen de EER), zijn alle toezichthoudende autoriteiten van alle lidstaten waar de onderneming actief is, bevoegd.

Wat u moet doen.

U zal eerst moeten bepalen of uw onderneming grensoverschrijdende verwerkingsactiviteiten heeft. Dat is sowieso het geval wanneer uw onderneming vestigingen heeft in meerdere EER lidstaten die persoonsgegevens verwerken. Er is ook sprake van grensoverschrijdende verwerkingsactiviteiten wanneer uw onderneming slechts in één EER lidstaat gevestigd is, maar haar verwerkingsactiviteiten een impact hebben op betrokkenen in meerdere EER lidstaten (bijv. omdat uw onderneming goederen of diensten aanbiedt in andere EER lidstaten dan diegene waar zij gevestigd is).

Wanneer uw onderneming dus slechts in één EER lidstaat gevestigd is én haar verwerkingsactiviteiten uitsluitend een impact hebben op betrokkenen in die lidstaat, is (in principe) enkel de nationale toezichthoudende autoriteit van die lidstaat bevoegd. Dat is de toezichthoudende autoriteit tot wie uw onderneming zich moet richten, bijvoorbeeld, voor het aanmelden van haar DPO.

Wanneer uw onderneming daarentegen grensoverschrijdende verwerkingsactiviteiten heeft, moet u de leidende toezichthoudende autoriteit bepalen conform het één-loketmechanisme. De toezichthoudende autoriteit van de EER lidstaat waar uw onderneming haar hoofdvestiging heeft, is de leidende toezichthoudende autoriteit.

Voor verwerkingsverantwoordelijken is dit de plaats waar de centrale administratie in de EER gelegen is, tenzij de beslissingen over het doel en de middelen van de verwerking(en) door een andere vestiging binnen de EER worden genomen en uitgevoerd. Concreet moet u dus nagaan waar de beslissingen genomen worden over de verschillende verwerkingsactiviteiten. Neem het voorbeeld van een ondernemingsgroep met een gecentraliseerde HR-administratie in de schoot van de hoofdvestiging in Brussel en vestigingen in Zweden en Spanje die lokaal verantwoordelijk zijn voor alle marketing. In dit voorbeeld zal de Belgische toezichthoudende autoriteit de leidende toezichthoudende autoriteit zijn voor de HR gerelateerde verwerkingen en de Zweedse en Spaanse toezichthoudende autoriteiten respectievelijk voor de marketingverwerkingen door de Zweedse en Spaanse vestigingen.

Het is mogelijk dat de hoofdvestiging van uw onderneming zich buiten de EER bevindt, maar dat zij wel enkele vestigingen heeft binnen de EER. In dit geval raadt de EDPB aan om de vestiging binnen de EER die bevoegd is om de beslissingen over de verwerkingsactiviteit te implementeren, de verantwoordelijkheid hiervoor neemt en die over voldoende middelen beschikt, aan te duiden als hoofdvestiging. Zo niet, kan er geen leidende toezichthoudende autoriteit aangeduid worden en kan het één-loketmechanisme niet spelen.

Voor verwerkers is de regeling ietwat anders. Voor verwerkingen die uw onderneming als verwerker uitvoert, is de hoofdvestiging de plaats waar uw centrale administratie in de EER gelegen is, of, wanneer u geen centrale administratie in de EER heeft, de vestiging in de EER waar uw voornaamste verwerkingsactiviteiten plaatsvinden.

Tot slot, is het in het kader van een gezamenlijke verwerkingsactiviteit belangrijk om overeen te komen welke vestiging kwalificeert als hoofdvestiging. Dit moet een vestiging zijn die de beslissing uitvoert ten aanzien van alle gezamenlijke verwerkingsverantwoordelijken.