De Algemene verordening gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. Door de verordening zal er een hoop veranderen op het gebied van privacy en gegevensbescherming. Om de veranderingen wat overzichtelijker te maken lichtten wij regelmatig een onderwerp uit dat met de komst van de AVG zal veranderen. Vandaag: het toepassingsgebied van de AVG.
Zowel bij de huidige wetgeving in de Wet bescherming persoonsgegevens (“Wbp”) als in de AVG is het toepassingsgebied opgesplitst in de het materieel toepassingsgebied en in het territoriaal toepassingsgebied. Het materieel toepassingsgebied van de Wbp is neergelegd in artikel 2 en bepaalt dat de Wbp van toepassing is op:
“de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”
Het territoriaal toepassingsgebied wordt bepaald door artikel 4 Wbp. Dit artikel bepaalt dat de Wbp van toepassing is indien:
a. de verwerking van persoonsgegevens plaatsvindt in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland; of
b. de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging in de Europese Unie (“EU”) heeft, maar waarbij gebruik wordt gemaakt van (al dan niet geautomatiseerde) middelen die zich in Nederland bevinden, tenzij die middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.
Op het moment van inwerkingtreding zal de AVG de Wbp vervangen. De AVG kent een ander (wijder) territoriaal toepassingsgebied.
Ten eerste zal de AVG niet alleen van toepassing zijn op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verantwoordelijke in de EU, maar ook van een bewerker (in de nieuwe terminologie in de AVG: de “verwerkingsverantwoordelijke” resp. de “verwerker”). Hierbij is het niet relevant of de verwerking zelf ook plaatsvindt in de EU.
Ten tweede zal de AVG van toepassing zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden, indien hun gegevens worden verwerkt door een verwerkingsverantwoordelijke of verwerker die niet in de EU is gevestigd, en de verwerking verband houdt met:
a. het aanbieden van goederen of diensten aan die betrokkenen in de EU, ongeacht of de betrokkene betaalt voor die goederen of diensten; of
b. het monitoren van hun gedrag, indien dat gedrag in de EU plaatsvindt.
Tenslotte zal de AVG van toepassing zijn indien op basis van internationaal publiekrecht het recht van een Lidstaat van toepassing is op een niet in de EU gevestigde verwerkingsverantwoordelijke.
Conclusie
Door het ruimere toepassingsgebied van de AVG kunnen bedrijven die nu niet onder het toepassingsbereik van de Wbp vallen, in 2018 wel onderworpen zijn aan de AVG. Met name het aansluiten bij de verwerking van persoonsgegevens van EU-burgers heeft potentieel verstrekkende gevolgen voor de omvang van het toepassingsbereik van de AVG. Denk bijvoorbeeld aan de non-EU webshops die zich (mede) richten op consumenten in de EU en daarmee dus mogelijk onder de werkingssfeer van de AVG vallen.
Het is daarom van belang om nu vast stil te staan bij de vraag of uw organisatie onder het toepassingsbereik van de AVG zal vallen. Op dit moment heeft u dan nog iets minder dan twee jaar hebben om uw bedrijfsvoering ‘AVG-proof’ te maken. Zoals u kunt lezen in deze blogreeks, kan daarvoor nog wat werk aan de winkel zijn.