020 530 0160

De leidende toezichthouder onder de Algemene verordening gegevensbescherming

Gepubliceerd op 9 augustus 2017 categorieën ,

Organisaties met vestigingen in meerdere lidstaten krijgen met de komst van de Algemene verordening gegevensbescherming (“AVG”) in principe nog maar met één privacytoezichthouder te maken, te weten de leidende toezichthouder. De AVG gaat namelijk uit van de zogenaamde onestopshop-regel bij organisaties die gegevens grensoverschrijdend verwerken.  Ook voor verwerkers is het uitgangspunt de onestopshop-regel: de leidende toezichthouder is de enige privacytoezichthouder in de EU waarmee de verwerker te maken krijgt.

Grensoverschrijdend
Er is sprake van grensoverschrijdende gegevensverwerkingen als een organisatie gegevens verwerkt in verschillende landen of als de verwerkingen van die organisatie impact hebben in meerdere lidstaten. Dit is bijvoorbeeld het geval als een organisatie een vestiging heeft in een andere lidstaat naast Nederland en beide vestigingen persoonsgegevens verwerken. Ook als een organisatie persoonsgegevens verwerkt in één lidstaat, kan er sprake zijn van een grensoverschrijdende gegevensverwerking. Dit is het geval wanneer de betrokkenen in meer dan één lidstaat wezenlijke gevolgen van de gegevensverweking zullen ondervinden (of dat dit waarschijnlijk is). Bijvoorbeeld als een organisatie in Nederland is gevestigd, maar ook gegevens verwerkt van mensen uit andere lidstaten.

Leidende toezichthouder
De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen. De hoofdregel onder de AVG is dat de toezichthouder van de lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. Indien er sprake is van meerdere vestigingen in de EU, dan wordt de plaats van de centrale administratie van de organisatie als hoofdvestiging gezien. In de praktijk kan dat samenvallen met de vestiging die de organisatie zelf aanwijst als hoofdkantoor. Indien de beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging worden genomen, dan kwalificeert die andere vestiging als de hoofdvestiging op grond van de AVG.

Het kan ook zijn dat er meerdere leidende toezichthouders zijn. Dit is bijvoorbeeld het geval wanneer een organisatie verschillende grensoverschrijdende gegevensverwerkingen uitvoert en de beslissingen daarover in verschillende vestigingen worden genomen. Om voordeel te hebben van de onestopshop-regel, waarbij organisaties maar met één leidende toezichthouder te maken hebben, kan de besluitvorming dan gecentreerd worden op één locatie.

De leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in andere lidstaten waar de gegevensverwerking impact heeft. Zo coördineert de leidende toezichthouder de activiteiten, betrekt andere toezichthouders en legt daar conceptbeslissingen aan voor.

Guidelines leidende toezichthouder
Het verband van Europese privacytoezichthouders, de artikel 29-Werkgroep, heeft richtlijnen opgesteld voor het bepalen van de leidende toezichthouder en over toepassing van de onestopshop-regel. Lees de richtlijnen hier.

Bron: autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Nina Lodder

publicaties

Gerelateerde artikelen