Guidance
NL

Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker

guidelines bepalen leidende toezichthouder

European Data Protection Board
View source
Nov 21, 2025 edpb-guidelines-bepalen-leidende-toezichthouder Source

Content

Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker

Versie 2.0

Vastgesteld op 28 maart 2023

Translations proofread by EDPB Members.

This language version has not yet been proofread.

Versiegeschiedenis

Versie 1.0 10 oktober 2022 Vaststelling vande richtsnoeren(geactualiseerde versievan de eerdere richtsnoeren WP244 rev.01 die door Werkgroep 29 zijn vastgesteld en op 25 mei 2018 door het EDPB zijn bekrachtigd) voor een gerichte openbare raadpleging
Versie 2.0 28 maart2023 Vaststelling van de richtsnoeren na openbare raadpleging

Inhoudsopgave

0 Voorwoord.....................................................................................................................4 Voorwoord.....................................................................................................................4 Voorwoord.....................................................................................................................4
1 Het bepalen van een leidende toezichthoudende autoriteit: de belangrijkste concepten...........5 Het bepalen van een leidende toezichthoudende autoriteit: de belangrijkste concepten...........5 Het bepalen van een leidende toezichthoudende autoriteit: de belangrijkste concepten...........5
1.1 'Grensoverschrijdende verwerking van persoonsgegevens' ...........................................5 1.1 'Grensoverschrijdende verwerking van persoonsgegevens' ...........................................5 1.1 'Grensoverschrijdende verwerking van persoonsgegevens' ...........................................5
1.1.1 'Wezenlijke gevolgen ondervinden' ....................................................................5 1.1.1 'Wezenlijke gevolgen ondervinden' ....................................................................5 1.1.1 'Wezenlijke gevolgen ondervinden' ....................................................................5 1.1.1 'Wezenlijke gevolgen ondervinden' ....................................................................5
1.2 1.2 Leidende toezichthoudende autoriteit.........................................................................6 Leidende toezichthoudende autoriteit.........................................................................6
1.3 1.3 Hoofdvestiging.........................................................................................................7 Hoofdvestiging.........................................................................................................7
2 Stappen voor het bepalen van de leidende toezichthoudende autoriteit.................................7 Stappen voor het bepalen van de leidende toezichthoudende autoriteit.................................7 Stappen voor het bepalen van de leidende toezichthoudende autoriteit.................................7
2.1 De 'hoofdvestiging' voor verwerkingsverantwoordelijken bepalen .................................7 De 'hoofdvestiging' voor verwerkingsverantwoordelijken bepalen .................................7 De 'hoofdvestiging' voor verwerkingsverantwoordelijken bepalen .................................7
2.1.1 Criteria voor het bepalen van de hoofdvestiging van een verwerkingsverantwoordelijke wanneerdat niet de locatie van de centrale administratie in de EER is 9 2.1.1 Criteria voor het bepalen van de hoofdvestiging van een verwerkingsverantwoordelijke wanneerdat niet de locatie van de centrale administratie in de EER is 9 2.1.1 Criteria voor het bepalen van de hoofdvestiging van een verwerkingsverantwoordelijke wanneerdat niet de locatie van de centrale administratie in de EER is 9 2.1.1 Criteria voor het bepalen van de hoofdvestiging van een verwerkingsverantwoordelijke wanneerdat niet de locatie van de centrale administratie in de EER is 9
2.1.2 Concerns..........................................................................................................9 2.1.3 Gezamenlijke verwerkingsverantwoordelijken.....................................................10 2.1.2 Concerns..........................................................................................................9 2.1.3 Gezamenlijke verwerkingsverantwoordelijken.....................................................10 2.1.2 Concerns..........................................................................................................9 2.1.3 Gezamenlijke verwerkingsverantwoordelijken.....................................................10 2.1.2 Concerns..........................................................................................................9 2.1.3 Gezamenlijke verwerkingsverantwoordelijken.....................................................10
2.2 Grensgevallen........................................................................................................11 2.2 Grensgevallen........................................................................................................11 2.2 Grensgevallen........................................................................................................11 2.2 Grensgevallen........................................................................................................11
2.3 Verwerker.............................................................................................................12 2.3 Verwerker.............................................................................................................12 2.3 Verwerker.............................................................................................................12 2.3 Verwerker.............................................................................................................12
3.1 De rol van de 'betrokken toezichthoudende autoriteit'...............................................12 3.1 De rol van de 'betrokken toezichthoudende autoriteit'...............................................12 3.1 De rol van de 'betrokken toezichthoudende autoriteit'...............................................12 3.1 De rol van de 'betrokken toezichthoudende autoriteit'...............................................12
3.2 Lokale verwerking ..................................................................................................13 3.2 Lokale verwerking ..................................................................................................13 3.2 Lokale verwerking ..................................................................................................13 3.2 Lokale verwerking ..................................................................................................13
3.3 Buiten de EER gevestigde bedrijven ..........................................................................13
van persoonsgegevens uit? ondersteuning bij het bepalen van de leidende toezichthoudende autoriteit.15
tot bepaling van de 'leidende toezichthoudende autoriteit'................................15
BIJLAGE -Vragenter Zijn
1 Voert de verwerkingsverantwoordelijke of de verwerker de grensoverschrijdende verwerking 1 Voert de verwerkingsverantwoordelijke of de verwerker de grensoverschrijdende verwerking 1 Voert de verwerkingsverantwoordelijke of de verwerker de grensoverschrijdende verwerking 1 Voert de verwerkingsverantwoordelijke of de verwerker de grensoverschrijdende verwerking
................................................................................................15 ................................................................................................15 ................................................................................................15 ................................................................................................15
2 Stappen 2 Stappen 2 Stappen 2 Stappen
er 'betrokken toezichthoudende autoriteiten'?.......................................................16 er 'betrokken toezichthoudende autoriteiten'?.......................................................16 er 'betrokken toezichthoudende autoriteiten'?.......................................................16
3

Het Europees Comité voor gegevensbescherming,

Gezien artikel 70, lid 1, punten e) en l), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gezien de EER-overeenkomst en met name bijlage XI en Protocol 37, zoals gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

Gezien de richtsnoeren van de Groep gegevensbescherming artikel 29 (hierna 'WP29' genoemd) voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker, WP244 rev.01,

Gezien Richtsnoeren 07/2020 van het EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

0 VOORWOORD

  1. Op 5 april 2017 heeft de WP29 haar richtsnoeren voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker (WP244 rev.01) 2 vastgesteld, die door het Europees Comité voor gegevensbescherming (hierna 'EDPB' genoemd) tijdens zijn eerste plenaire zitting zijn bekrachtigd 3 . Dit document betreft een bijgewerkte versie van die richtsnoeren. Alle verwijzingen naar de richtsnoeren van de WP29 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker, moeten vanaf nu worden gelezen als een verwijzing naar deze EDPB-richtsnoeren.
  2. Het EDPB heeft vastgesteld dat er behoefte was aan verdere verduidelijking, met name met betrekking tot het begrip 'hoofdvestiging' in het kader van de gezamenlijke verwerkingsverantwoordelijkheid, en rekening houdend met Richtsnoeren 07/2020 van het EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG 4 .
  3. Het punt dat betrekking heeft op deze kwestie is herzien en geactualiseerd, terwijl er in de rest van het document geen veranderingen zijn aangebracht, met uitzondering van redactionele wijzigingen.

De herziening heeft meer in het bijzonder betrekking op punt 2.1.3 over gezamenlijke verwerkingsverantwoordelijken.

1 HET BEPALEN VAN EEN LEIDENDE TOEZICHTHOUDENDE AUTORITEIT: DE BELANGRIJKSTE CONCEPTEN

1.1 'Grensoverschrijdende verwerking van persoonsgegevens'

  1. Het bepalen van een leidende toezichthoudende autoriteit is alleen relevant wanneer een verwerkingsverantwoordelijke of verwerker een grensoverschrijdende verwerking van persoonsgegevens uitvoert. In artikel 4, lid 23, AVG wordt 'grensoverschrijdende verwerking' gedefinieerd als:
  2. -verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of
  3. -verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden .
  4. Dit betekent dat, wanneer een organisatie vestigingen in bijvoorbeeld Frankrijk en Roemenië heeft en in het kader van hun activiteiten persoonsgegevens verwerkt, dit als grensoverschrijdende verwerking wordt gezien.
  5. Het kan ook zijn dat de organisatie de verwerkingsactiviteiten alleen in het kader van de activiteiten van haar vestiging in Frankrijk uitvoert. Als de activiteit wezenlijke gevolgen voor betrokkenen in Frankrijk en Roemenië heeft, of waarschijnlijk zal hebben, geldt dit ook als grensoverschrijdende verwerking.

1.1.1 'Wezenlijke gevolgen ondervinden'

  1. In de AVG wordt geen definitie gegeven van de termen 'wezenlijk' of 'gevolgen ondervinden'. Bij de woordkeuze was het de bedoeling te verzekeren dat niet alle verwerkingsactiviteiten, met eender welke impact en die binnen het kader van één enkele vestiging plaatsvinden, onder de definitie van 'grensoverschrijdende verwerking' vallen.
  2. De meest relevante gewone betekenissen van de term 'wezenlijk' zijn onder andere: 'voldoende of aanzienlijk in aantal of grootte; fors, vrij groot' of 'met aanzienlijke waarde, van aanzienlijk belang; solide; gewichtig, belangrijk' 5 .
  3. De meest relevante betekenis van het werkwoord 'beïnvloeden' is 'invloed hebben op' of 'een belangrijke indruk maken op'. Het daaraan gerelateerde zelfstandig naamwoord 'invloed' betekent onder andere 'een resultaat' of 'een gevolg' 6 . Dit veronderstelt dat gegevensverwerking iemand pas beïnvloedt als deze activiteit een zekere impact op hem of haar heeft. Een verwerking die geen wezenlijk gevolg heeft op individuen, valt niet onder het tweede deel van de definitie van 'grensoverschrijdende verwerking'. Ze valt echter wel onder het eerste deel van de definitie wanneer de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van vestigingen in

5 Oxford English Dictionary.

6 Oxford English Dictionary.

meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd.

  1. De verwerking kan onder het tweede deel van de definitie vallen als er naar alle waarschijnlijkheid, en niet alleen daadwerkelijk, een wezenlijk gevolg is. Er wordt op gewezen dat de term 'naar alle waarschijnlijkheid' niet betekent dat er een kleine kans op een wezenlijk gevolg is. Het wezenlijke gevolg moet zich eerder wel voordoen dan niet. Anderzijds betekent dit ook dat er niet daadwerkelijk gevolgen hoeven te zijn voor individuen: de waarschijnlijkheid van een wezenlijk gevolg volstaat om de verwerking onder de definitie van 'grensoverschrijdende verwerking' te laten vallen.
  2. Het feit dat bij een gegevensverwerking een aantal (zelfs een groot aantal) persoonsgegevens van individuen in een aantal lidstaten wordt verwerkt, betekent niet noodzakelijkerwijs dat de verwerking een wezenlijk gevolg heeft of waarschijnlijk zal hebben. Een verwerkingsactiviteit zonder wezenlijk gevolg is geen grensoverschrijdende verwerking zoals bedoeld in het tweede deel van de definitie, ongeacht hoeveel personen er een wezenlijk gevolg van ondervinden.
  3. Toezichthoudende autoriteiten interpreteren de term 'wezenlijke gevolgen ondervinden' per geval. Daarbij wordt rekening gehouden met de context van de verwerking, het type gegevens, het doel van de verwerking, alsook factoren zoals het feit of de verwerking:
  4. o individuen al dan niet schade, verlies of moeilijkheden toebrengt of kan toebrengen;
  5. o al dan niet een eigenlijk effect heeft of kan hebben wat betreft het beperken van rechten of het ontzeggen van een opportuniteit;
  6. o al dan niet de gezondheid, het welzijn of de gemoedsrust van individuen beïnvloedt of kan beïnvloeden;
  7. o al dan niet de financiële of economische status of situatie van individuen beïnvloedt of kan beïnvloeden;
  8. o individuen al dan niet blootstelt aan discriminatie of oneerlijke behandeling;
  9. o al dan niet de analyse omvat van speciale categorieën van persoons- of andere inbreukmakende gegevens, met name de persoonsgegevens van kinderen;
  10. o individuen al dan niet aanzet of kan aanzetten om hun gedrag significant te wijzigen;
  11. o al dan niet onwaarschijnlijke, onverwachte of ongewenste gevolgen heeft voor individuen;
  12. o al dan niet moeilijkheden of andere negatieve effecten teweegbrengt, met inbegrip van reputatieschade; of
  13. o al dan niet de verwerking van een grote hoeveelheid persoonsgegevens betreft.
  14. Uiteindelijk dient het testen van het 'wezenlijke gevolg' om erop toe te zien dat toezichthoudende autoriteiten alleen formeel via het coherentiemechanisme van de AVG moeten samenwerken ' wanneer een toezichthoudende autoriteit van plan is een maatregel goed te keuren met als doel juridische gevolgen te creëren voor verwerkingsactiviteiten waarvan een significant aantal betrokkenen in meerdere lidstaten wezenlijke gevolgen ondervinden ' 7 .

1.2 Leidende toezichthoudende autoriteit

  1. Eenvoudig gezegd, is een 'leidende toezichthoudende autoriteit' de autoriteit die de primaire verantwoordelijkheid draagt voor de regeling van een grensoverschrijdende gegevensverwerking,

7 Zie overweging 135 AVG.

bijvoorbeeld wanneer een betrokkene een klacht indient over de verwerking van zijn of haar persoonsgegevens.

  1. De leidende toezichthoudende autoriteit coördineert alle onderzoeken en betrekt daarbij ook andere 'betrokken' toezichthoudende autoriteiten.
  2. Het bepalen van de leidende toezichthoudende autoriteit is afhankelijk van de locatie van de 'hoofdvestiging' of 'enige vestiging' van de verwerkingsverantwoordelijke in de EU. In artikel 56 AVG staat het volgende:
  3. -De toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker is competent om op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de [samenwerkings] -procedure van artikel 60 .

1.3 Hoofdvestiging

  1. In artikel 4, punt 16, AVG is bepaald dat 'hoofdvestiging' het volgende betekent:
  2. -met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren , in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;
  3. -met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten .

2 STAPPEN VOOR HET BEPALEN VAN DE LEIDENDE TOEZICHTHOUDENDE AUTORITEIT

2.1 De 'hoofdvestiging' voor verwerkingsverantwoordelijken bepalen

  1. Om te kunnen bepalen waar zich de hoofdvestiging bevindt, moet eerst de eventuele centrale administratie van de verwerkingsverantwoordelijke in de EER worden geïdentificeerd. De in de AVG geïmpliceerde aanpak houdt in dat de centrale administratie in de EU de plaats is waar beslissingen worden genomen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens en deze plaats gemachtigd is om dergelijke beslissingen te laten uitvoeren.
  2. De essentie van het principe van de leidende toezichthoudende autoriteit in de AVG is dat het toezicht op grensoverschrijdende verwerking door slechts één toezichthoudende autoriteit in de EU moet worden uitgeoefend. In gevallen waarbij beslissingen over verschillende grensoverschrijdende verwerkingsactiviteiten binnen de centrale administratie in de EU worden genomen, zal er slechts één leidende toezichthoudende autoriteit zijn voor de verschillende verwerkingsactiviteiten die door de multinational worden uitgevoerd. Er kunnen echter ook gevallen zijn waarbij een andere vestiging dan de locatie van de centrale administratie autonoom beslissingen neemt over de doelstellingen van en

de middelen voor een specifieke verwerkingsactiviteit. Dit betekent dat er zich situaties kunnen voordoen waarbij meer dan één leidende toezichthoudende autoriteit kan worden geïdentificeerd, met name wanneer een multinational beslist om beslissingen over verschillende verwerkingsactiviteiten op meerdere locaties in verschillende landen te laten nemen.

  1. Hierbij willen we ook nogmaals vermelden dat, wanneer een multinational alle beslissingen over de doelstellingen van en de middelen voor verwerkingsactiviteiten in een van zijn vestigingen in de EER centraliseert (en die vestiging gemachtigd is om dergelijke beslissingen uit te voeren), slechts één leidende toezichthoudende autoriteit voor de multinational zal worden bepaald.
  2. In deze situaties is het essentieel dat bedrijven precies bepalen waar de beslissingen over doelstellingen van en middelen voor verwerking worden genomen. Een correcte bepaling van de hoofdvestiging is in het belang van zowel de verwerkingsverantwoordelijken als de verwerkers, want hierdoor wordt duidelijk met welke toezichthoudende autoriteit ze te maken krijgen wat betreft hun respectieve verplichtingen inzake naleving krachtens de AVG. Deze omvatten, waar relevant, onder andere de aanstelling van een functionaris voor de gegevensbescherming of het inwinnen van advies over een risicovolle verwerkingsactiviteit die de verwerkingsverantwoordelijke niet met behulp van redelijke middelen kan inperken. De relevante bepalingen van de AVG zijn bedoeld om deze taken inzake naleving beheersbaar te maken.

22. De onderstaande voorbeelden illustreren dit:

Voorbeeld 1: Een detailhandelaar in voedingsmiddelen heeft zijn hoofdkantoor (m.a.w. de 'plaats van de centrale administratie') in Rotterdam, Nederland. Verder heeft hij vestigingen in diverse andere EER-landen, die contact hebben met personen daar. Alle vestigingen maken gebruik van dezelfde software voor de verwerking van de persoonsgegevens van consumenten met het oog op marketingdoeleinden. Alle beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens van consumenten voor marketingdoeleinden worden in het hoofdkantoor in Rotterdam genomen. Met andere woorden: de leidende toezichthoudende autoriteit van het bedrijf voor deze grensoverschrijdende verwerking is de Nederlandse toezichthoudende autoriteit.

Voorbeeld 2: Een bank heeft haar hoofdkantoor in Frankfurt, en alle 8 bankgerelateerde verwerkingsactiviteiten worden van daaruit georganiseerd, maar de verzekeringsafdeling is in Wenen gevestigd. Als de vestiging in Wenen gemachtigd is om over alle verzekeringsgerelateerde verwerkingsactiviteiten te beslissen en deze beslissingen voor de gehele EER te implementeren, dan is uit hoofde van artikel 4, punt 16, AVG de Oostenrijkse toezichthoudende autoriteit de leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking van persoonsgegevens voor verzekeringsgerelateerde doeleinden en houden de Duitse autoriteiten (de toezichthoudende autoriteit in Hessen) toezicht op de verwerking van persoonsgegevens voor bankgerelateerde doeleinden, ongeacht waar de klanten zich bevinden 9 .

8 In de context van de verwerking van persoonsgegevens voor bankgerelateerde doeleinden erkent het EDPB dat daar veel verschillende verwerkingsactiviteiten bij komen kijken, maar om het simpel te houden, worden ze hier als één geheel besproken. Datzelfde geldt voor de verwerking voor verzekeringsgerelateerde doeleinden.

2.1.1 Criteria voor het bepalen van de hoofdvestiging van een verwerkingsverantwoordelijke wanneer dat niet de locatie van de centrale administratie in de EER is

  1. Overweging 36 AVG kan helpen bij de verduidelijking van de belangrijkste factor die zal worden gebruikt bij het bepalen van de hoofdvestiging van een verwerkingsverantwoordelijke als het criterium van de centrale administratie niet geldt. Daarbij moet worden bekeken waar de effectieve en reële managementactiviteiten plaatsvinden die de belangrijkste beslissingen over de doelstellingen van en de middelen voor de verwerking via vaste regelingen bepalen. In overweging 36 AVG wordt ook verduidelijkt dat ' de aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten niet op zich bepalend zijn voor een hoofdvestiging en dan ook geen doorslaggevende criteria zijn om te bepalen of het om een hoofdvestiging gaat '.
  2. Het is de verwerkingsverantwoordelijke zelf die bepaalt waar zijn hoofdvestiging is en bijgevolg welke toezichthoudende autoriteit zijn leidende toezichthoudende autoriteit is. Dit kan achteraf echter door de respectieve betreffende toezichthoudende autoriteit in twijfel worden getrokken.
  3. De onderstaande factoren zijn nuttig om met inachtneming van de bepalingen van de AVG de locatie van de hoofdvestiging van een verwerkingsverantwoordelijke te bepalen in gevallen waar dat niet de plaats van zijn centrale administratie in de EER is.
  4. o Waar worden beslissingen over de doelstellingen van en de middelen voor de verwerking definitief goedgekeurd?
  5. o Waar worden beslissingen genomen over bedrijfsactiviteiten waarbij gegevens verwerkt worden?
  6. o Waar ligt de feitelijke bevoegdheid om beslissingen te implementeren?
  7. o Waar bevindt zich de leidinggevende (of bevinden zich de leidinggevenden) met algemene managementverantwoordelijkheid voor de grensoverschrijdende verwerkingsactiviteit?
  8. o Waar is de verwerkingsverantwoordelijke of de verwerker geregistreerd als onderneming, wanneer het gaat om één enkel grondgebied?
  9. Let wel, deze lijst is onvolledig. Andere factoren kunnen relevant zijn naargelang van de activiteit van de verwerkingsverantwoordelijke of de verwerker in kwestie. Als een toezichthoudende autoriteit redenen heeft om eraan te twijfelen dat de door de verwerkingsverantwoordelijke geïdentificeerde vestiging daadwerkelijk de hoofdvestiging is zoals in de AVG voorzien, kan deze autoriteit uiteraard eisen dat de verwerkingsverantwoordelijke de nodige bijkomende informatie verschaft waaruit blijkt waar zijn hoofdvestiging is gesitueerd.

2.1.2 Concerns

  1. Wanneer de verwerking wordt uitgevoerd door een concern met hoofdkantoor in de EER, wordt ervan uitgegaan dat de vestiging binnen deze groep die voor het algemeen beheer instaat, ook de locatie is waar de beslissingen met betrekking tot de verwerking van persoonsgegevens worden genomen. Deze vestiging zal dan ook als de hoofdvestiging voor de groep worden beschouwd, behalve wanneer beslissingen over de doelstellingen van en de middelen voor de verwerking door een andere vestiging worden genomen. Het moederbedrijf of het operationele hoofdkantoor van het concern in de EER is

binnen een context van lokale werkgelegenheid onder de verantwoordelijkheid van verschillende toezichthoudende autoriteiten kan vallen.

  • doorgaans wel de hoofdvestiging, want dat zou de plaats moeten zijn waar de centrale administratie van het concern wordt gevoerd.
  1. De verwijzing in de definitie naar de plaats van de centrale administratie van een verwerkingsverantwoordelijke werkt goed voor organisaties met een centraal hoofdkantoor waar de beslissingen worden genomen en een structuur bestaande uit bijkantoren. In dergelijke gevallen is het duidelijk dat de beslissingsbevoegdheid met betrekking tot grensoverschrijdende gegevensverwerking alsook de bevoegdheid om deze beslissingen uit te voeren bij het hoofdkantoor van het bedrijf liggen. In dergelijke gevallen is het bepalen van de locatie van de hoofdvestiging, en bijgevolg ook het bepalen van de leidende toezichthoudende autoriteit, niet zo moeilijk. Maar een besluitvormingssysteem van een concern kan ook complexer zijn, waarbij verschillende vestigingen de bevoegdheid krijgen om onafhankelijk beslissingen te nemen met betrekking tot grensoverschrijdende verwerking. De bovenstaande criteria kunnen concerns helpen bij het bepalen van hun hoofdvestiging.

2.1.3 Gezamenlijke verwerkingsverantwoordelijken

  1. In de AVG wordt niet specifiek gesproken over de aanduiding van een leidende toezichthoudende autoriteit wanneer twee of meer in de EER gevestigde verwerkingsverantwoordelijken gezamenlijk de doelstellingen van en de middelen voor verwerking bepalen, m.a.w. gezamenlijke verwerkingsverantwoordelijken. In artikel 26, lid 1, en overweging 79 AVG wordt verduidelijkt dat in situaties met gezamenlijke verwerkingsverantwoordelijken zij hun respectieve verantwoordelijkheden voor de naleving van hun verplichtingen krachtens de AVG op een transparante manier moeten bepalen.
  2. Zoals door het EDPB uiteengezet in haar richtsnoeren over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' 10 , moeten gezamenlijke verwerkingsverantwoordelijken invulling geven aan de vraag 'wie doet wat' door onderling te beslissen wie welke taken zal moeten uitvoeren om ervoor te zorgen dat de verwerking voldoet aan de toepasselijke verplichtingen uit hoofde van de AVG met betrekking tot de betrokken gezamenlijke verwerking.
  3. De nalevingsmaatregelen en de daarmee samenhangende verplichtingen waarmee gezamenlijke verwerkingsverantwoordelijken rekening moeten houden bij het vaststellen van hun respectieve verantwoordelijkheden, met name die uit hoofde van artikel 26, lid 1, AVG, hebben onder meer betrekking op de organisatie van contacten met betrokkenen en de toezichthoudende autoriteiten.
  4. Er zij aan herinnerd dat de toezichthoudende autoriteiten niet gebonden zijn door de voorwaarden van een dergelijke regeling wat betreft de kwestie van de kwalificatie van de partijen als gezamenlijke verwerkingsverantwoordelijken of het aangewezen contactpunt 11 .
  5. Daarnaast omvat de beslissingsbevoegdheid van gezamenlijke verwerkingsverantwoordelijken niet de vaststelling van de op grond van de artikelen 55 of 56 AVG bevoegde toezichthoudende autoriteiten, noch het vermogen van deze bevoegde toezichthoudende autoriteiten tot het uitoefenen van hun taken en bevoegdheden overeenkomstig de artikelen 57 en 58 AVG.
  6. Het begrip 'hoofdvestiging' heeft uit hoofde van de AVG betrekking op één enkele verwerkingsverantwoordelijke en kan niet worden uitgebreid tot situaties met gezamenlijke

verwerkingsverantwoordelijken. Dit laat onverlet dat elke gezamenlijke verwerkingsverantwoordelijke zijn eigen hoofdvestiging kan hebben. Met andere woorden, de hoofdvestiging van een verwerkingsverantwoordelijke kan niet worden beschouwd als de hoofdvestiging van de gezamenlijke verwerkingsverantwoordelijken waar het de verwerking betreft die onder hun gezamenlijke verantwoordelijkheid wordt verricht. Gezamenlijke verwerkingsverantwoordelijken kunnen derhalve (van de vestigingen waar beslissingen over de doelstellingen van en de middelen voor de verwerking worden genomen) geen gemeenschappelijke hoofdvestiging aanduiden voor beide gezamenlijke verwerkingsverantwoordelijken.

2.2 Grensgevallen

  1. Er zullen grensgevallen en complexe situaties zijn waarin het moeilijk is de hoofdvestiging te bepalen of te bepalen waar de beslissingen over gegevensverwerking worden genomen. Dat kan het geval zijn wanneer er sprake is van een grensoverschrijdende verwerkingsactiviteit en de verwerkingsverantwoordelijke in verschillende lidstaten gevestigd is, maar er geen centrale administratie in de EER is en geen van de vestigingen in de EER beslissingen over de verwerking nemen (m.a.w. beslissingen worden uitsluitend buiten de EER genomen).
  2. In het bovenstaande geval wil het bedrijf dat de grensoverschrijdende verwerking uitvoert, misschien wel door een leidende toezichthoudende autoriteit worden gereguleerd om van het één-loketprincipe te kunnen profiteren. In de AVG wordt voor dergelijke situaties echter geen oplossing geboden. In deze omstandigheden moet het bedrijf de vestiging die bevoegd is om beslissingen over de verwerkingsactiviteit te implementeren en de verantwoordelijkheid te nemen voor de verwerking, en tegelijkertijd ook over voldoende middelen beschikt, als hoofdvestiging aanduiden. Als het bedrijf geen vestiging op die manier aanduidt, zal er geen leidende toezichthoudende autoriteit aangeduid kunnen worden. Waar nodig, kunnen toezichthoudende autoriteiten altijd verder onderzoek verrichten.
  3. 'Forumshoppen' is verboden in de AVG. Als een bedrijf beweert dat zijn hoofdvestiging zich in een bepaalde lidstaat bevindt, maar daar geen echte managementactiviteiten plaatsvinden of geen beslissingen over de verwerking van persoonsgegevens worden genomen, zullen de desbetreffende toezichthoudende autoriteiten (of uiteindelijk het EDPB 12 ) op basis van objectieve criteria en het bewijs beslissen welke toezichthoudende autoriteit de 'leidende' is. Het proces om de locatie van de hoofdvestiging te bepalen kan actief onderzoek en actieve medewerking van de toezichthoudende autoriteiten vereisen. Conclusies mogen niet alleen op uitspraken van de onderzochte organisatie worden gebaseerd. De bewijslast ligt uiteindelijk bij de verwerkingsverantwoordelijken en verwerkers, die aan de desbetreffende toezichthoudende autoriteiten moeten aantonen waar de relevante beslissingen over verwerking worden genomen en waar de bevoegdheid ligt om deze beslissingen te implementeren. Een goede administratie van de gegevensverwerkingsactiviteit kan zowel organisaties als toezichthoudende autoriteiten helpen om de leidende toezichthoudende autoriteit te bepalen. De leidende toezichthoudende autoriteit of de betrokken toezichthoudende autoriteiten kunnen de analyse van de verwerkingsverantwoordelijke op basis van een objectief onderzoek van de relevante feiten weerleggen en waar nodig bijkomende informatie eisen.
  4. In sommige gevallen zullen de desbetreffende toezichthoudende autoriteiten de verwerkingsverantwoordelijke vragen duidelijk bewijs te leveren dat aan de EDPB-richtsnoeren voldoet en waaruit blijkt waar de hoofdvestiging gelegen is of waar beslissingen over een bepaalde gegevensverwerking genomen worden. Dit bewijs zal zorgvuldig worden onderzocht en de betreffende toezichthoudende autoriteiten zullen samenwerken om te bepalen wie van hen bij onderzoeken de

12 Zie punt 38.

leiding zal nemen. Dergelijke zaken worden alleen naar het EDPB doorverwezen voor een beslissing uit hoofde van artikel 65, lid 1, punt b), AVG wanneer toezichthoudende autoriteiten geen eensgezindheid kunnen bereiken bij het bepalen van de leidende toezichthoudende autoriteit. Het EDPB verwacht echter dat de relevante toezichthoudende autoriteiten in de meeste gevallen eensgezindheid zullen kunnen bereiken over een voor alle partijen bevredigend beleid.

2.3 Verwerker

  1. In de AVG wordt het één-loketsysteem ook aangeboden voor verwerkers die aan de AVG onderworpen zijn en vestigingen hebben in meerdere lidstaten.
  2. In artikel 4, punt 16, b), AVG wordt bepaald dat de plaats van de centrale administratie van de verwerker in de EU als de hoofdvestiging van de verwerker wordt beschouwd of, als er geen centrale administratie in de EU is, de vestiging in de EU waar de voornaamste verwerkingsactiviteiten plaatsvinden als zodanig wordt aangeduid.
  3. Wanneer er echter zowel een verwerkingsverantwoordelijke als een verwerker is, wordt in overeenstemming met overweging 36 AVG de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke als bevoegde leidende toezichthoudende autoriteit beschouwd. In dat geval wordt de toezichthoudende autoriteit van de verwerker een 'betrokken toezichthoudende autoriteit' die aan de samenwerkingsprocedure moet deelnemen. Deze regel geldt alleen wanneer de verwerkingsverantwoordelijke in de EER is gevestigd. In gevallen waarin verwerkingsverantwoordelijken op basis van artikel 3, lid 2, aan de AVG onderworpen zijn, geldt het één-loketmechanisme niet. Een verwerker - bijvoorbeeld een grote aanbieder van clouddiensten kan diensten verlenen aan meerdere verwerkingsverantwoordelijken die in verschillende lidstaten gevestigd zijn. In dergelijke gevallen wordt de toezichthoudende autoriteit die bevoegd is om als leidende toezichthoudende autoriteit voor de verwerkingsverantwoordelijke te handelen, ook als leidende toezichthoudende autoriteit beschouwd. In de praktijk betekent dit dat een verwerker met meerdere toezichthoudende autoriteiten te maken kan krijgen.

3 OVERIGE RELEVANTE ONDERWERPEN

3.1 De rol van de 'betrokken toezichthoudende autoriteit'

  1. In artikel 4, punt 22, AVG is de volgende definitie vastgesteld:

'betrokken toezichthoudende autoriteit': een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat: a) de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd; b) de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of c) bij die toezichthoudende autoriteit een klacht is ingediend.

  1. Het concept van een betrokken toezichthoudende autoriteit is bedoeld om te verzekeren dat het 'leidende toezichthoudende autoriteit'-model niet voorkomt dat andere toezichthoudende autoriteiten inspraak hebben in hoe met een bepaalde zaak wordt omgegaan wanneer bijvoorbeeld personen die buiten het rechtsgebied van de leidende toezichthoudende autoriteit vallen, wezenlijke gevolgen ondervinden van een gegevensverwerkingsactiviteit. In het kader van het bovenstaande punt a) gelden dezelfde overwegingen als voor de bepaling van een leidende toezichthoudende autoriteit. Er zij op gewezen dat in punt b) de betrokkene louter in de lidstaat in kwestie moet verblijven, hij of zij hoeft niet meteen een burger van die lidstaat te zijn. In punt c) zal in feite nogal
  • makkelijk te bepalen zijn of een specifieke toezichthoudende autoriteit al dan niet een klacht heeft ontvangen.
  1. In artikel 56, leden 2 en 5, AVG wordt bepaald dat een betrokken toezichthoudende autoriteit een rol kan spelen in de behandeling van een zaak zonder dat ze de leidende toezichthoudende autoriteit moet zijn. Wanneer een leidende toezichthoudende autoriteit beslist een bepaalde zaak niet te behandelen, moet de betrokken toezichthoudende autoriteit die de leidende toezichthoudende autoriteit hierover informeerde, de zaak behandelen. Dit stemt overeen met de procedures in artikel 61 (wederzijdse bijstand) en artikel 62 (gezamenlijke activiteiten van toezichthoudende autoriteiten) AVG. Een dergelijke situatie kan zich voordoen wanneer een marketingbedrijf met hoofdvestiging in Parijs een product lanceert dat alleen gevolgen heeft voor betrokkenen die in Portugal verblijven. In dat geval kunnen de Franse en Portugese toezichthoudende autoriteiten overeenkomen dat het gepast is dat de Portugese toezichthoudende autoriteit de leiding neemt bij de behandeling van de zaak. Toezichthoudende autoriteiten kunnen eisen dat verwerkingsverantwoordelijken de nodige informatie verschaffen ter verduidelijking van hun bedrijfsafspraken. Aangezien de verwerkingsactiviteit een zuiver lokale impact heeft, namelijk op personen in Portugal, kunnen de Franse en Portugese toezichthoudende autoriteiten naar eigen oordeel beslissen welke toezichthoudende autoriteit de zaak behandelt (in overeenstemming met overweging 127 AVG).
  2. In de AVG wordt opgelegd dat de leidende en betrokken toezichthoudende autoriteiten met inachtneming van elkaars standpunten moeten samenwerken om te verzekeren dat een zaak naar tevredenheid van elke autoriteit onderzocht en opgelost wordt, en waarbij ook voor de betrokkenen daadwerkelijk een oplossing is geboden. Toezichthoudende autoriteiten moeten er steeds naar streven om een wederzijds aanvaardbare handelwijze te volgen. Het formele coherentiemechanisme mag alleen ingeroepen worden wanneer via samenwerking geen wederzijds aanvaardbaar resultaat wordt bereikt.
  3. De wederzijdse goedkeuring van beslissingen kan voor belangrijke conclusies worden toegepast, maar ook voor de handelwijze waartoe wordt beslist, met inbegrip van de uitvoering ervan (bv. volledig onderzoek of beperkt onderzoek). Dit kan ook worden toegepast wanneer wordt beslist om een zaak niet op grond van de AVG te behandelen, bijvoorbeeld omdat er een officieel beleid van prioriteitsstelling is of omdat er andere betrokken toezichthoudende autoriteiten zijn, zoals eerder beschreven.
  4. Het streven naar consensus en welwillendheid tussen toezichthoudende autoriteiten is van essentieel belang voor het succes van de samenwerkings- en coherentieprocedures van de AVG.

3.2 Lokale verwerking

  1. Een lokale gegevensverwerkingsactiviteit valt niet binnen de bepalingen inzake samenwerking en coherentie van de AVG. Toezichthoudende autoriteiten dienen elkaars bevoegdheid te respecteren om lokale activiteiten van gegevensverwerking op lokale basis te behandelen. Ook verwerkingen door overheidsdiensten zullen altijd op 'lokale' basis worden behandeld.

3.3 Buiten de EER gevestigde bedrijven

  1. De samenwerkingsen coherentiemechanismen van de AVG gelden alleen voor verwerkingsverantwoordelijken met een of meer vestigingen in de EER. Als het bedrijf geen vestiging in de EER heeft, volstaat louter de aanwezigheid van een vertegenwoordiger in een lidstaat niet om van het één-loketsysteem te kunnen profiteren. Met andere woorden:

verwerkingsverantwoordelijken zonder vestiging in de EER krijgen via hun respectieve lokale vertegenwoordiger te maken met lokale toezichthoudende autoriteiten in iedere lidstaat waarin ze actief zijn.

Namens het Europees Comité voor gegevensbescherming De voorzitter

(Andrea Jelinek)

BIJLAGE - VRAGEN TER ONDERSTEUNING BIJ HET BEPALEN VAN DE LEIDENDE TOEZICHTHOUDENDE AUTORITEIT

  • 1 Voert de verwerkingsverantwoordelijke of de verwerker de grensoverschrijdende verwerking van persoonsgegevens uit?
  • a. Ja, als:
  • de verwerkingsverantwoordelijke of verwerker in meer dan een lidstaat gevestigd is en
  • de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van vestigingen in meer dan een lidstaat.
  •  Ga in dat geval naar punt 2 hieronder.
  • b. Ja, als:
  • de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van één enkele vestiging in de EER van een verwerkingsverantwoordelijke of verwerker, maar:
  • personen in meer dan een lidstaat hiervan wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.
  •  In dit geval is de leidende autoriteit de toezichthoudende autoriteit voor die ene vestiging in één enkele lidstaat van de verwerkingsverantwoordelijke of verwerker. Logisch gezien is dat dan de hoofdvestiging van de verwerkingsverantwoordelijke of de verwerker, aangezien het zijn enige vestiging is.

2 Stappen tot bepaling van de 'leidende toezichthoudende autoriteit'

  • a. Wanneer het alleen om een verwerkingsverantwoordelijke gaat:
  • i. Bepaal de locatie van de centrale administratie in de EER van de verwerkingsverantwoordelijke.
  • ii. De toezichthoudende autoriteit in het land waar zich de plaats van de centrale administratie bevindt, is de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke.

Maar:

  • iii. Als beslissingen over de doelstellingen van en de middelen voor de verwerking in een andere vestiging in de EER worden genomen en die vestiging bevoegd is om die beslissingen te implementeren, is de toezichthoudende autoriteit in het land waar deze vestiging zich bevindt de leidende toezichthoudende autoriteit.
  • b. Wanneer het om een verwerkingsverantwoordelijke en een verwerker gaat:
  • i. Controleer of de verwerkingsverantwoordelijke in de EER is gevestigd en van het éénloketsysteem gebruik kan maken. Als dat zo is:
  • ii. Bepaal de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke. Deze autoriteit zal ook de leidende toezichthoudende autoriteit voor de verwerker zijn.
  • iii. De (niet leidende) toezichthoudende autoriteit die voor de verwerker bevoegd is, wordt een 'betrokken toezichthoudende autoriteit' (zie punt 3 hieronder).

c. Wanneer het alleen om een verwerker gaat:

  • i. Bepaal de plaats van de centrale administratie in de EER van de verwerker.
  • ii. Als de verwerker geen centrale administratie in de EER heeft, bepaal de vestiging in de EER waar de belangrijkste verwerkingsactiviteiten van de verwerker plaatsvinden.

d. Wanneer het om gezamenlijke verwerkingsverantwoordelijken gaat:

  • i. Controleer of de gezamenlijke verwerkingsverantwoordelijken in de EER zijn gevestigd.
  • ii. Bepaal de plaats van de centrale administratie in de EER voor iedere respectieve gezamenlijke verwerkingsverantwoordelijke (indien van toepassing).
  • iii. De toezichthoudende autoriteit in het land waar zich de plaats van de centrale administratie bevindt, is de leidende toezichthoudende autoriteit van de respectieve gezamenlijke verwerkingsverantwoordelijke.

3 Zijn er 'betrokken toezichthoudende autoriteiten'?

Een autoriteit is een 'betrokken toezichthoudende autoriteit':

  • wanneer de verwerkingsverantwoordelijke of de verwerker een vestiging heeft op het grondgebied van die autoriteit, of
  • wanneer betrokkenen op het grondgebied van die autoriteit wezenlijke gevolgen ondervinden of kunnen ondervinden van de verwerking, of
  • wanneer een bepaalde autoriteit een klacht heeft ontvangen.

Footnotes

  1. Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER'.

  2. Beschikbaar op http://ec.europa.eu/newsroom/article29/item-detail.cfm?item i d=611235 (in het Engels).

  3. Zie https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb nl

  4. Zie Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, versie 2.0, vastgesteld op 7 juli 2021 (punten 161, 162 en 166), beschikbaar op https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controllerand-processor-gdpr nl

  5. We moeten hier ook opmerken dat de AVG in specifieke gevallen de mogelijkheid van lokaal toezicht biedt. Zie overweging 127: ' Elke toezichthoudende autoriteit die niet optreedt als de leidende toezichthoudende autoriteit, dient bevoegd te zijn lokale gevallen te behandelen waarbij de verwerkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, maar waarbij het onderwerp van de specifieke verwerking alleen een in een enkele lidstaat verrichte verwerking betreft en daarbij alleen personen uit die ene lidstaat zijn betrokken , bijvoorbeeld wanneer het de verwerking van persoonsgegevens van werknemers in de specifieke arbeidsmarktcontext van een lidstaat betreft. ' Dit principe impliceert dus dat het toezicht op HR-gegevens

  6. Zie Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, punten 161, 162 en 166.

  7. Zie Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, punt 191.