Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

European Data Protection Board

View source

Nov 21, 2025 edpb-guidelines-territoriaal-toepassingsgebied-avg Source

Content

Translations proofread by EDPB Members.

This language version has not yet been proofread.

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

Versie 2.0

12 november 2019

Versiegeschiedenis

Versie 2.0	12 november 2019	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	16 november 2018	Vaststelling van de richtsnoeren voor openbare raadpleging

Inhoudsopgave

Inleiding................................................................................................................................................... 4

1	Toepassing van het criterium van vestiging - artikel 3, lid 1 .......................................................... 5
2	Toepassing van het criterium van gerichtheid - artikel 3, lid 2 .................................................... 15
3	Verwerking op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht
van 4	toepassing is ................................................................................................................................... 25 Vertegenwoordiger van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers............................................................................................................................................. 26

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, onder e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD:

INLEIDING

Het territoriale toepassingsgebied van de algemene verordening gegevensbescherming 1 (hierna 'AVG' of 'de verordening' genoemd) wordt bepaald in artikel 3 van de verordening en vertegenwoordigt een sterke ontwikkeling van de EU-wetgeving op het gebied van gegevensbescherming ten opzichte van het kader uit Richtlijn 95/46/EG 2 . De AVG bevestigt gedeeltelijk de keuzen van de EU-wetgever en het Hof van Justitie van de Europese Unie (HvJ-EU) in het kader van Richtlijn 95/46/EG. Er zijn echter belangrijke nieuwe elementen ingevoerd. Het belangrijkste is dat het hoofddoel van artikel 4 van de Richtlijn was om te bepalen van welke lidstaat de nationale wetgeving van toepassing was, terwijl in artikel 3 van de AVG het territoriale toepassingsgebied van een rechtstreeks toepasselijke tekst wordt bepaald. Verder werd in artikel 4 van de richtlijn het gebruik van middelen op het grondgebied van de Unie genoemd als punt op basis waarvan een verwerkingsverantwoordelijke die 'niet gevestigd is op het grondgebied van de Gemeenschap', binnen het toepassingsgebied van de EU-wetgeving op het gebied van gegevensbescherming viel. Die verwijzing komt in artikel 3 van de AVG niet voor.

Artikel 3 van de AVG weerspiegelt de intentie van de wetgever om te zorgen voor volledige bescherming van de rechten van betrokkenen in de EU en om, wat eisen op het gebied van gegevensbescherming betreft, een gelijk speelveld te creëren voor op de EU-markten actieve bedrijven in een context van wereldwijde gegevensstromen.

In artikel 3 van de AVG wordt het territoriale toepassingsgebied van de verordening gedefinieerd op basis van twee hoofdcriteria: het criterium van vestiging (artikel 3, lid 1) en het criterium van gerichtheid (artikel 3, lid 2). Als aan een van deze twee criteria is voldaan, zijn de relevante bepalingen van de AVG van toepassing op de betreffende verwerking van persoonsgegevens door de betrokken verwerkingsverantwoordelijke of verwerker. Daarnaast wordt in artikel 3, lid 3, bevestigd dat de AVG van toepassing is op de verwerking waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.

In deze richtsnoeren wordt beoogd, middels een gemeenschappelijke interpretatie van autoriteiten voor gegevensbescherming in de EU, een consistente toepassing van de AVG te waarborgen wanneer wordt beoordeeld of een bepaalde verwerkingsactiviteit door een verwerkingsverantwoordelijke of

verwerker binnen het toepassingsgebied van het nieuwe EU-rechtskader valt. Het EDPB beschrijft en verduidelijkt in deze richtsnoeren de criteria aan de hand waarvan de toepasselijkheid van het territoriale toepassingsgebied van de AVG kan worden bepaald. Een dergelijke gemeenschappelijke interpretatie is ook essentieel voor verwerkingsverantwoordelijken en verwerkers, zowel binnen als buiten de EU, om te kunnen beoordelen of zij zich bij een bepaalde verwerkingsactiviteit aan de AVG moeten houden. Aangezien verwerkingsverantwoordelijken of verwerkers die niet in de EU zijn gevestigd maar wel verwerkingsactiviteiten uitoefenen die onder artikel 3, lid 2, vallen, een vertegenwoordiger in de Unie moeten aanwijzen, wordt in deze richtsnoeren ook het proces voor de aanwijzing van deze vertegenwoordiger op grond van artikel 27 verduidelijkt, evenals de verantwoordelijkheden en verplichtingen van de vertegenwoordiger. Als algemeen beginsel stelt het EDPB dat alle bepalingen van de verordening van toepassing zijn op de verwerking van persoonsgegevens wanneer deze verwerking binnen het territoriale toepassingsgebied van de AVG valt. In deze richtsnoeren worden de verschillende scenario's beschreven die zich voor kunnen doen naargelang het type verwerking, de entiteit die deze verwerking uitvoert of de locatie van deze entiteit, en wordt voor elke situatie aangegeven welke bepalingen van toepassing zijn. Daarom is het essentieel dat verwerkingsverantwoordelijken en verwerkers, met name wanneer zij goederen en diensten aanbieden op internationaal niveau, hun verwerking zorgvuldig en concreet beoordelen om te bepalen of de betreffende verwerking van persoonsgegevens binnen het toepassingsgebied van de AVG valt. Het EDPB benadrukt dat de toepassing van artikel 3 is bedoeld om te bepalen of een bepaalde verwerkingsactiviteit -niet een bepaalde (rechtsof natuurlijke) persoon -binnen het toepassingsgebied van de AVG valt. Het kan dus zo zijn dat de ene verwerking van persoonsgegevens door een verwerkingsverantwoordelijke of verwerker binnen het toepassingsgebied van de verordening valt, maar de andere niet, op basis van de specifieke verwerkingsactiviteit. Deze richtsnoeren, die oorspronkelijk op 16 november door het EDPB zijn vastgesteld, zijn ingediend voor een openbare raadpleging van 23 november 2018 tot en met 18 januari 2019 en zijn bijgewerkt aan de hand van de ontvangen bijdragen en feedback.

1 TOEPASSING VAN HET CRITERIUM VAN VESTIGING - ARTIKEL 3, LID 1

Artikel 3, lid 1, van de AVG luidt: ' Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt. ' In artikel 3, lid 1, van de AVG wordt niet alleen verwezen naar een vestiging van een verwerkingsverantwoordelijke, maar ook naar een vestiging van een verwerker. Ook op de verwerking van persoonsgegevens door een verwerker kan dus de EU-wetgeving van toepassing zijn, vanwege het feit dat de verwerker een vestiging binnen de EU heeft. Op grond van artikel 3, lid 1, is de AVG van toepassing op de verwerking door een verwerkingsverantwoordelijke of verwerker in het kader van de activiteiten van een vestiging van die verwerkingsverantwoordelijke of verwerker in de Unie, ongeacht waar de verwerking daadwerkelijk plaatsvindt. Het EDPB beveelt daarom een drietrapsbenadering aan om te bepalen of de verwerking

van persoonsgegevens al dan niet binnen het toepassingsgebied van de AVG valt op grond van artikel 3, lid 1.

In de volgende gedeelten wordt de toepassing van het criterium van vestiging uitgelegd. Eerst wordt ingegaan op de definitie van een vestiging in de EU in de zin van de EU-wetgeving op het gebied van gegevensbescherming, vervolgens op wat er wordt bedoeld met 'verwerking in het kader van de activiteiten van een vestiging in de Unie', en tot slot wordt bevestigd dat de AVG van toepassing is ongeacht of de verwerking in het kader van de activiteiten van deze vestiging al dan niet in de Unie plaatsvindt.

a) 'Een vestiging in de Unie'

Alvorens in te gaan op wat er wordt bedoeld met 'een vestiging in de Unie', moet eerst worden vastgesteld wie de verwerkingsverantwoordelijke of verwerker is bij een bepaalde verwerkingsactiviteit. Volgens de definitie van artikel 4, lid 7, van de AVG is een verwerkingsverantwoordelijke 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt'. Een verwerker is, volgens artikel 4, lid 8, van de AVG, 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt'. Zoals vastgesteld in relevante jurisprudentie van het Hof van Justitie van de Europese Unie (HvJ-EU) en het voorgaande advies van de WP 29 3 is vaststellen of een entiteit een verwerkingsverantwoordelijke of verwerker is in de zin van de EU-wetgeving op het gebied van gegevensbescherming, een cruciaal element bij de beoordeling van de toepasselijkheid van de AVG op de betreffende verwerking van persoonsgegevens.

Hoewel het begrip 'hoofdvestiging' in artikel 4, lid 16, wordt gedefinieerd, wordt in de AVG geen definitie van 'vestiging' in de zin van artikel 3 gegeven 4 . In overweging 22 5 wordt echter verduidelijkt: ' Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen. De rechtsvorm van dergelijke verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend. '

Deze bewoording is gelijk aan die van overweging 19 van Richtlijn 95/46/EG, waarnaar is verwezen in verschillende uitspraken van het HvJ-EU waarin de interpretatie van de term 'vestiging' werd verbreed en elke formalistische zienswijze volgens welke een onderneming uitsluitend zou zijn gevestigd op de plaats waar zij is geregistreerd, werd verworpen 6 . Het HvJ-EU heeft gesteld dat het begrip 'vestiging'

5 Overweging 22 van de AVG: 'De verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, ongeacht of de eigenlijke verwerking in de Unie plaatsvindt. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen. De rechtsvorm van dergelijke verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.'

betrekking heeft op iedere vorm van, zelfs geringe, reële en daadwerkelijke activiteit die via een duurzame vestiging wordt uitgeoefend 7 . Om te bepalen of een buiten de Unie gevestigde entiteit een vestiging in een lidstaat heeft, moet zowel de mate van duurzaamheid van de vestiging als het daadwerkelijk uitoefenen van activiteiten in die lidstaat in overweging worden genomen, waarbij rekening wordt gehouden met de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening. Dit geldt heel in het bijzonder voor ondernemingen die hun diensten uitsluitend via internet aanbieden 8 . De drempel voor 'duurzame vestiging' 9 kan vrij laag zijn wanneer de activiteiten van een verwerkingsverantwoordelijke voornamelijk uit onlinedienstverlening bestaan. In sommige situaties kan de aanwezigheid van één enkele werknemer of vertegenwoordiger van een niet-EU-entiteit in de Unie dus al voldoende zijn voor een duurzame vestiging (en dus voor een 'vestiging' in de zin van artikel 3, lid 1, als die werknemer of vertegenwoordiger voldoende duurzaam optreedt). Wanneer een werknemer daarentegen in de EU is gevestigd, maar de verwerking niet plaatsvindt in het kader van de activiteiten van de in de EU gevestigde werknemer in de Unie (oftewel, als de verwerking verband houdt met activiteiten van de verwerkingsverantwoordelijke buiten de EU), zorgt enkel de aanwezigheid van een werknemer in de EU er niet voor dat de verwerking binnen het toepassingsgebied van de AVG valt. Met andere woorden, de aanwezigheid van een werknemer in de EU is op zichzelf niet voldoende om ervoor te zorgen dat de AVG van toepassing is, aangezien de betreffende verwerking, wil deze binnen het toepassingsgebied van de AVG vallen, ook in het kader van de activiteiten van de in de EU gevestigde werknemer moet worden uitgevoerd. Het feit dat de voor de gegevensverwerking verantwoordelijke niet-EU-entiteit geen bijkantoor of dochteronderneming in een lidstaat heeft, sluit niet uit dat deze daar een vestiging kan hebben in de zin van de EU-wetgeving op het gebied van gegevensbescherming. Hoewel het begrip 'vestiging' breed is, heeft het wel grenzen. Op basis van enkel het feit dat de website van de onderneming toegankelijk is in de Unie, kan niet worden geconcludeerd dat de niet-EU-entiteit een vestiging in de 10

Unie heeft.

Voorbeeld 1: Een autoproducent met hoofdkantoor in de VS heeft een bijkantoor in Brussel waarvan het de volledige eigenaar is, dat de leiding heeft over al zijn werkzaamheden in Europa, met inbegrip van marketing en reclame. Het Belgische bijkantoor kan worden beschouwd als duurzame vestiging die reële en daadwerkelijke activiteiten uitoefent in het licht van de aard van de bedrijfsuitoefening van de autoproducent. Het Belgische bijkantoor kan dus worden beschouwd als een vestiging in de Unie in de zin van de AVG.

Wanneer is vastgesteld dat een verwerkingsverantwoordelijke of verwerker in de EU is gevestigd, moet er een concrete analyse worden uitgevoerd om te bepalen of de betreffende verwerking plaatsvindt in het kader van de activiteiten van deze vestiging en of artikel 3, lid 1, dus van toepassing is. Als een buiten de Unie gevestigde verwerkingsverantwoordelijke of verwerker een, 'zelfs geringe, reële en daadwerkelijke activiteit' uitoefent via een 'duurzame vestiging', ongeacht de rechtsvorm daarvan (bv. dochteronderneming, bijkantoor, filiaal enz.), op het grondgebied van een lidstaat, kan worden

Weltimmo, punt 31.

Weltimmo, punt 29.

Weltimmo, punt 31.

(hierna 'Verein für Konsumenteninformation' genoemd).

HvJ-EU, Verein für Konsumenteninformation tegen Amazon EU Sarl, zaak C

191/15, 28 juli 2016, punt 76

gesteld dat deze verwerkingsverantwoordelijke of verwerker een vestiging in die lidstaat heeft 11 . Het is dan ook belangrijk om in overweging te nemen of de verwerking van persoonsgegevens plaatsvindt 'in het kader van de activiteiten van' een dergelijke vestiging, zoals benadrukt in overweging 22.

b) Verwerking van persoonsgegevens 'in het kader van de activiteiten van' een vestiging

In artikel 3, lid 1, wordt bevestigd dat de betreffende verwerking niet noodzakelijkerwijs door de betrokken EU-vestiging zelf hoeft te worden uitgevoerd. De verplichtingen op grond van de AVG zijn altijd op de verwerkingsverantwoordelijke of verwerker van toepassing als de verwerking plaatsvindt 'in het kader van de activiteiten' van de betrokken vestiging in de Unie. Het EDPB raadt aan om per geval en op basis van een concrete analyse te bepalen of de verwerking in het kader van een vestiging van de verwerkingsverantwoordelijke of verwerker in de Unie plaatsvindt in de zin van artikel 3, lid 1. Elk scenario moet afzonderlijk worden beoordeeld, en daarbij moet rekening worden gehouden met de specifieke feiten van de zaak.

Het EDPB is van mening dat ' verwerking in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker ' in de zin van artikel 3, lid 1, moet worden uitgelegd in het licht van de betreffende jurisprudentie. Aan de ene kant mag 'in het kader van de activiteiten van een vestiging', gelet op de doelstelling om een adequate en volledige bescherming te waarborgen, niet restrictief worden uitgelegd 12 . Aan de andere kant mag het bestaan van een vestiging in de zin van de AVG ook niet te breed worden uitgelegd door te concluderen dat iedere aanwezigheid in de EU met ook maar het vaagste verband met de gegevensverwerking door een niet-EU-entiteit voldoende is om ervoor te zorgen dat deze verwerking binnen het toepassingsgebied van de EU-wetgeving op het gebied van gegevensbescherming valt. Sommige handelsactiviteiten van een niet-EU-entiteit binnen een lidstaat kunnen zo ver afstaan van de verwerking van persoonsgegevens door deze entiteit dat het bestaan van de handelsactiviteit in de EU niet voldoende is om ervoor te zorgen dat de gegevensverwerking door de niet-EU-entiteit binnen het toepassingsgebied van de EU-wetgeving op het gebied van gegevensbescherming valt 13 .

Om te bepalen of de verwerking door een verwerkingsverantwoordelijke of verwerker wordt uitgevoerd in het kader van een vestiging in de Unie, kan het helpen om de volgende twee factoren in overweging te nemen:

i) De relatie tussen een verwerkingsverantwoordelijke of verwerker buiten de Unie en diens lokale vestiging in de Unie

De gegevensverwerking door een buiten de EU gevestigde verwerkingsverantwoordelijke of verwerker kan onlosmakelijk zijn verbonden met de activiteiten van een lokale vestiging in een lidstaat, waardoor de EU-wetgeving van toepassing zou zijn, ook als die lokale vestiging zelf geen rol speelt bij de gegevensverwerking 14 . Als uit een analyse van de feiten per geval blijkt dat de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke of

12 Weltimmo, punt 25, en Google Spain, punt 53.

verwerker buiten de EU onlosmakelijk is verbonden met de activiteiten van een EU-vestiging, is de EU-wetgeving van toepassing op die verwerking door de niet-EU-entiteit, ongeacht of de EU-vestiging een rol speelt bij de betreffende gegevensverwerking 15 .

ii) Het genereren van inkomsten in de Unie

Het genereren van inkomsten in de EU door een lokale vestiging kan, voor zover dergelijke activiteiten kunnen worden beschouwd als 'onlosmakelijk verbonden' met de verwerking van persoonsgegevens buiten de EU en met personen in de EU, duiden op verwerking door een verwerkingsverantwoordelijke of verwerker buiten de EU 'in het kader van de activiteiten van de EU-vestiging' en kan voldoende zijn om ervoor te zorgen dat de EU-wetgeving van toepassing is op die verwerking 16 .

Het EDPB raadt organisaties buiten de EU aan hun verwerkingsactiviteiten te beoordelen door eerst te bepalen of er persoonsgegevens worden verwerkt, en vervolgens de potentiële verbanden tussen de activiteit waarvoor de gegevens worden verwerkt, en de activiteiten van enige aanwezigheid van de organisatie in de Unie vast te stellen. Als er een dergelijk verband wordt vastgesteld, is de aard van dit verband essentieel voor de vraag of de AVG van toepassing is op de betreffende verwerking. Deze moet aan de hand van onder meer de twee bovenstaande elementen worden beoordeeld.

Voorbeeld 2: Een e-commercewebsite wordt geëxploiteerd door een bedrijf dat in China is gevestigd. De verwerking van persoonsgegevens door dit bedrijf vindt uitsluitend plaats in China. Het Chinese bedrijf heeft een Europees kantoor geopend in Berlijn, dat de leiding heeft over de uitvoering van de commerciële prospectie- en marketingcampagnes voor EU-markten.

In dit geval kan worden gesteld dat de activiteiten van het Europese kantoor in Berlijn onlosmakelijk zijn verbonden met de verwerking van persoonsgegevens door de Chinese e-commercewebsite, voor zover de commerciële prospectie- en marketingcampagnes voor EU-markten in het bijzonder dienen om de door de e-commercewebsite aangeboden dienst winstgevend te maken. De verwerking van persoonsgegevens door het Chinese bedrijf in verband met de verkoop in de EU is inderdaad onlosmakelijk verbonden met de activiteiten van het Europese kantoor in Berlijn dat zich bezighoudt met commerciële prospectie- en marketingcampagnes voor EU-markten. Daarom kan de verwerking van persoonsgegevens door het Chinese bedrijf in verband met de verkoop in de EU worden beschouwd als uitgevoerd in het kader van de activiteiten van het Europese kantoor, als vestiging in de Unie. Op deze verwerking door het Chinese bedrijf zijn dus de bepalingen van de AVG van toepassing, op grond van artikel 3, lid 1, daarvan.

Voorbeeld 3: Een hotelen resortketen in Zuid-Afrika biedt pakketten aan via haar website, die beschikbaar is in het Engels, Duits, Frans en Spaans. Het bedrijf heeft geen kantoor, vertegenwoordiging of duurzame vestiging in de EU.

16 Dit kan bijvoorbeeld het geval zijn voor een buitenlandse exploitant met een verkoopkantoor of een andere aanwezigheid in de EU, zelfs als dat kantoor geen rol speelt bij de daadwerkelijke gegevensverwerking, met name wanneer de verwerking plaatsvindt in het kader van de verkoopactiviteit in de EU en de activiteiten van de vestiging gericht zijn op de inwoners van de lidstaat waar de vestiging zich bevindt (Actualisering van WP 179).

In dit geval lijkt het erop dat er, bij gebrek aan een vertegenwoordiging of duurzame vestiging van de hotel- en resortketen op het grondgebied van de Unie, geen aan deze verwerkingsverantwoordelijke in Zuid-Afrika verbonden entiteit kan worden aangemerkt als vestiging in de EU in de zin van de AVG. Op de betreffende verwerking zijn de bepalingen van de AVG dus niet van toepassing op grond van artikel 3, lid 1.

Er moet echter concreet worden geanalyseerd of de AVG op grond van artikel 3, lid 2, van toepassing kan zijn op de verwerking door deze buiten de EU gevestigde verwerkingsverantwoordelijke.

c) Toepassing van de AVG op de vestiging van een verwerkingsverantwoordelijke of verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt

Op grond van artikel 3, lid 1, zorgt de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie ervoor dat de AVG en de bijbehorende verplichtingen gelden voor de betrokken verwerkingsverantwoordelijke of verwerker.

In de tekst van de AVG staat dat de verordening van toepassing is op verwerking in het kader van de activiteiten van een vestiging in de EU, ' ongeacht of de verwerking in de Unie al dan niet plaatsvindt '. De aanwezigheid van een verwerkingsverantwoordelijke of verwerker in de EU, in de vorm van een vestiging, en het feit dat de verwerking plaatsvindt in het kader van de activiteiten van deze vestiging, zorgen ervoor dat de AVG van toepassing is op de verwerking. De plaats waar de verwerking plaatsvindt, is dus niet relevant voor de vraag of de verwerking die wordt uitgevoerd in het kader van de activiteiten van een EU-vestiging, al dan niet binnen het toepassingsgebied van de AVG valt.

Voorbeeld 4: Een Frans bedrijf heeft een applicatie voor autodelen ontwikkeld die uitsluitend is gericht op klanten in Marokko, Algerije en Tunesië. De dienst is alleen in die drie landen beschikbaar, maar alle verwerking van persoonsgegevens door de verwerkingsverantwoordelijke vindt plaats in Frankrijk.

Hoewel de verzameling van persoonsgegevens plaatsvindt in landen buiten de EU, worden de persoonsgegevens in dit geval vervolgens verwerkt in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke in de Unie. Daarom zijn de bepalingen van de AVG op grond van artikel 3, lid 1, van toepassing op de verwerking door het Franse bedrijf, ondanks dat de verwerking betrekking heeft op persoonsgegevens van betrokkenen die zich buiten de Unie bevinden.

Voorbeeld 5: Een farmaceutisch bedrijf met hoofdkantoor in Stockholm laat alle verwerking van persoonsgegevens met betrekking tot zijn klinische proeven uitvoeren in zijn bijkantoor in Singapore.

In dit geval wordt de verwerking, hoewel deze plaatsvindt in Singapore, uitgevoerd in het kader van de activiteiten van het farmaceutische bedrijf in Stockholm, oftewel van een in de Unie gevestigde verwerkingsverantwoordelijke. De bepalingen van de AVG zijn dus van toepassing op deze verwerking, op grond van artikel 3, lid 1.

Bij het bepalen van het territoriale toepassingsgebied van de AVG is, op grond van artikel 3, lid 1, de geografische locatie belangrijk waar de volgende entiteiten zijn gevestigd:

-enige bedrijfsaanwezigheid van een verwerkingsverantwoordelijke of verwerker van buiten de EU (heeft deze een vestiging in de Unie?).
-de verwerkingsverantwoordelijke of verwerker zelf (is deze gevestigd binnen of buiten de Unie?);

De geografische locatie waar de verwerking plaatsvindt, of de locatie waar de betreffende betrokkenen zich bevinden, is in verband met artikel 3, lid 1, echter niet van belang.

In de tekst van artikel 3, lid 1, wordt de toepassing van de AVG op de verwerking van persoonsgegevens van personen die zich in de Unie bevinden, niet beperkt. Het EDPB is daarom van mening dat alle verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de Unie onder het toepassingsgebied van de AVG valt, ongeacht de locatie of de nationaliteit van de betrokkene van wie de persoonsgegevens worden verwerkt. Deze benadering wordt ondersteund door overweging 14 van de AVG, waarin staat: ' De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. '

d) Toepassing van het criterium van vestiging op de verwerkingsverantwoordelijke en verwerker

Voor zover het gaat om verwerking die binnen het toepassingsgebied van artikel 3, lid 1, valt, is het EDPB van mening dat die bepalingen van toepassing zijn op verwerkingsverantwoordelijken en verwerkers die hun verwerking uitvoeren in het kader van de activiteiten van hun respectieve vestiging in de EU. Hoewel het EDPB erkent dat de eisen voor het bepalen van de relatie tussen een verwerkingsverantwoordelijke en een verwerker 17 niet verschillen op basis van de geografische locatie van de vestiging van een verwerkingsverantwoordelijke of verwerker, is het van mening dat de verwerking door iedere entiteit apart moet worden overwogen als het gaat om de vaststelling van de verschillende verplichtingen die voortkomen uit de toepasselijkheid van de AVG op grond van artikel 3, lid 1.

De AVG bevat verschillende en gerichte bepalingen of verplichtingen die van toepassing zijn op verwerkingsverantwoordelijken of verwerkers, dus als een verwerkingsverantwoordelijke of verwerker op grond van artikel 3, lid 1, onder de AVG valt, gelden de bijbehorende verplichtingen respectievelijk en afzonderlijk voor diegene. In het kader daarvan is het EDPB in het bijzonder van mening dat een verwerker in de EU niet op basis van enkel zijn status als verwerker namens een verwerkingsverantwoordelijke moet worden beschouwd als een vestiging van een verwerkingsverantwoordelijke in de zin van artikel 3, lid 1.

Het bestaan van een relatie tussen een verwerkingsverantwoordelijke en een verwerker betekent niet per definitie dat de AVG op beide van toepassing is als een van deze twee entiteiten niet in de Unie is gevestigd.

Een organisatie die persoonsgegevens verwerkt namens en in opdracht van een andere organisatie (het klantbedrijf), treedt op als verwerker voor het klantbedrijf (de verwerkingsverantwoordelijke). Als een verwerker in de Unie is gevestigd, moet deze zich houden aan de verplichtingen voor verwerkers op grond van de AVG. Als de verwerkingsverantwoordelijke die de verwerking aan de verwerker uitbesteedt, ook in de Unie is gevestigd, moet deze verwerkingsverantwoordelijke zich houden aan de verplichtingen voor verwerkingsverantwoordelijken op grond van de AVG. Verwerking die, wanneer deze door een verwerkingsverantwoordelijke wordt uitgevoerd, binnen het toepassingsgebied van de AVG valt op grond van artikel 3, lid 1, valt niet opeens buiten het toepassingsgebied van de verordening

17 Overeenkomstig artikel 28 herinnert het EDPB eraan dat verwerking door een verwerker namens een verwerkingsverantwoordelijke wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en dat verwerkingsverantwoordelijken uitsluitend een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende maatregelen bieden, opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen is gewaarborgd.

als de verwerkingsverantwoordelijke deze uitbesteedt aan een verwerker die niet in de Unie is gevestigd.

i) Verwerking door een in de EU gevestigde verwerkingsverantwoordelijke die deze uitbesteedt aan een buiten de Unie gevestigde verwerker

Wanneer een verwerkingsverantwoordelijke die onder de AVG valt, besluit voor een bepaalde verwerkingsactiviteit gebruik te maken van een buiten de Unie gevestigde verwerker, moet de verwerkingsverantwoordelijke er nog steeds, door middel van een overeenkomst of andere rechtshandeling, voor zorgen dat de verwerker de gegevens conform de AVG verwerkt. Op grond van artikel 28, lid 3, moet de verwerking door een verwerker worden geregeld in een overeenkomst of andere rechtshandeling. De verwerkingsverantwoordelijke moet daarom zorg dragen voor een overeenkomst met de verwerker waarin alle eisen uit artikel 28, lid 3, zijn opgenomen. Daarnaast is de kans groot dat de verwerkingsverantwoordelijke, om aan zijn verplichtingen op grond van artikel 28, lid 1, te voldoen - uitsluitend een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van maatregelen bieden, opdat de verwerking aan de vereisten van de verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd - moet overwegen middels een overeenkomst de verplichtingen op te leggen die door de AVG worden opgelegd aan verwerkers die daaronder vallen. Dat wil zeggen dat de verwerkingsverantwoordelijke ervoor zou moeten zorgen dat een verwerker die niet onder de AVG valt, voldoet aan de verplichtingen, geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht, zoals genoemd in artikel 28, lid 3.

De buiten de Unie gevestigde verwerker valt op die manier indirect onder bepaalde verplichtingen die worden opgelegd door verwerkingsverantwoordelijken die onder de AVG vallen, op basis van contractuele regelingen op grond van artikel 28. Ook kunnen de bepalingen uit hoofdstuk V van de AVG van toepassing zijn.

Voorbeeld 6: Een Finse onderzoeksinstelling doet onderzoek naar de Sami. De instelling zet een project op dat uitsluitend betrekking heeft op de Sami in Rusland en maakt voor dit project gebruik van een in Canada gevestigde verwerker.

De Finse verwerkingsverantwoordelijke heeft de plicht uitsluitend een beroep te doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende maatregelen bieden, opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen is gewaarborgd. De Finse verwerkingsverantwoordelijke moet een overeenkomst voor gegevensverwerking aangaan met de Canadese verwerker, waarin de taken van de verwerker uiteen worden gezet.

ii) Verwerking in het kader van de activiteiten van een vestiging van een verwerker in de Unie

Hoewel de jurisprudentie een duidelijk inzicht biedt in het effect van verwerking in het kader van de activiteiten van een EU-vestiging van de verwerkingsverantwoordelijke, is het effect van verwerking in het kader van de activiteiten van een EU-vestiging van een verwerker minder duidelijk.

Het EDPB benadrukt dat het belangrijk is om de vestiging van de verwerkingsverantwoordelijke en de verwerker apart te beschouwen bij het bepalen of de partijen in de Unie zijn gevestigd.

De eerste vraag is of de verwerkingsverantwoordelijke zelf een vestiging in de Unie heeft en of de verwerking plaatsvindt in het kader van de activiteiten van die vestiging. Als de verwerkingsverantwoordelijke geen verwerking uitvoert in het kader van zijn eigen vestiging in de Unie, gelden de verplichtingen voor verwerkingsverantwoordelijken uit de AVG niet voor hem op

grond van artikel 3, lid 1 (al kan dit alsnog het geval zijn op grond van artikel 3, lid 2). Tenzij er andere factoren een rol spelen, wordt de EU-vestiging van de verwerker niet beschouwd als een vestiging ten aanzien van de verwerkingsverantwoordelijke.

Vervolgens rijst de vraag of de verwerker gegevens verwerkt in het kader van zijn vestiging in de Unie. Als dit het geval is, valt de verwerker onder de verplichtingen uit de AVG voor verwerkers op grond van artikel 3, lid 1. Is dit echter niet het geval, dan zorgt het er niet voor dat de verwerker van buiten de EU onder de verplichtingen uit de AVG voor verwerkers valt. Met andere woorden, een verwerkingsverantwoordelijke van buiten de EU (zoals hierboven beschreven) valt niet automatisch onder de AVG als deze besluit gebruik te maken van een verwerker in de Unie.

Door verwerking uit te besteden aan een verwerker in de Unie voert de verwerkingsverantwoordelijke die niet onder de AVG valt, geen verwerking uit 'in het kader van de activiteiten van de verwerker in de Unie'. De verwerking wordt uitgevoerd in het kader van de eigen activiteiten van de verwerkingsverantwoordelijke; de verwerker verricht slechts een verwerkingsdienst 18 , die niet onlosmakelijk is verbonden met de activiteiten van de verwerkingsverantwoordelijke. Zoals hierboven genoemd, is het EDPB van mening dat de verwerking door de verwerkingsverantwoordelijke, als een in de Unie gevestigde verwerker gegevens verwerkt namens de buiten de Unie gevestigde en op grond van artikel 3, lid 2, niet onder de AVG vallende verwerkingsverantwoordelijke, niet binnen het territoriale toepassingsgebied van de AVG valt enkel omdat de verwerking namens hem wordt uitgevoerd door een in de Unie gevestigde verwerker. Hoewel de verwerkingsverantwoordelijke niet in de Unie is gevestigd en niet onder de bepalingen van de AVG valt op grond van artikel 3, lid 2, valt de verwerker, omdat deze in de Unie is gevestigd, echter wel onder de relevante bepalingen van de AVG op grond van artikel 3, lid 1.

Voorbeeld 7: Een Mexicaans detailhandelsbedrijf sluit een overeenkomst met een in Spanje gevestigde verwerker voor de verwerking van persoonsgegevens van de klanten van het Mexicaanse bedrijf. Het Mexicaanse bedrijf biedt zijn diensten uitsluitend op de Mexicaanse markt aan, en zijn verwerking heeft uitsluitend betrekking op betrokkenen die zich buiten de Unie bevinden.

In dit geval biedt het Mexicaanse detailhandelsbedrijf geen goederen of diensten aan personen op het grondgebied van de Unie aan en monitort het niet het gedrag van personen op het grondgebied van de Unie. De verwerking door de buiten de Unie gevestigde verwerkingsverantwoordelijke valt daarom niet onder de AVG op grond van artikel 3, lid 2.

De bepalingen van de AVG gelden niet voor de verwerkingsverantwoordelijke op grond van artikel 3, lid 1, omdat het niet gaat om verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging in de Unie. De verwerker is gevestigd in Spanje, dus zijn verwerking valt binnen het toepassingsgebied van de AVG op grond van artikel 3, lid 1. De verwerker moet voor alle verwerking in het kader van zijn activiteiten voldoen aan de verplichtingen voor verwerkers die door de verordening worden opgelegd.

Wanneer het gaat om een in de Unie gevestigde verwerker die, voor verwerkingsdoeleinden, gegevens verwerkt namens een verwerkingsverantwoordelijke zonder vestiging in de Unie die niet binnen het territoriale toepassingsgebied van de AVG valt op grond van artikel 3, lid 2, valt de verwerker onder de volgende relevante bepalingen van de AVG die rechtstreeks van toepassing zijn op verwerkers:

18 Het aanbieden van een verwerkingsdienst moet in deze context niet worden beschouwd als het aanbieden van een dienst aan betrokkenen in de Unie.

-De verplichtingen voor verwerkers op grond van artikel 28, leden 2 tot en met 6, inzake de plicht om een verwerkingsovereenkomst te sluiten, met uitzondering van de verplichtingen in verband met de bijstand aan de verwerkingsverantwoordelijke bij het naleven van diens eigen verplichtingen op grond van de AVG.
-Op grond van artikel 30, lid 2, houdt de verwerker, in voorkomend geval, een register van alle categorieën van verwerkingsactiviteiten die deze ten behoeve van een verwerkingsverantwoordelijke heeft verricht.
-De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is, op grond van artikel 29 en artikel 32, lid 4.
-Op grond van artikel 31 werkt de verwerker, in voorkomend geval, desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
-Op grond van artikel 33 informeert de verwerker de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
-Op grond van artikel 32 treft de verwerker technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
-Op grond van de artikelen 37 en 38 wijst de verwerker, in voorkomend geval, een functionaris voor gegevensbescherming aan.
-De bepalingen inzake doorgiften van persoonsgegevens aan derde landen of internationale organisaties, op grond van hoofdstuk V.

Verder herinnert het EDPB eraan dat de verwerker er, omdat deze verwerking plaatsvindt in het kader van de activiteiten van een vestiging van een verwerker in de Unie, voor moet zorgen dat de verwerking rechtmatig blijft in verband met andere verplichtingen op grond van EU- of nationale wetgeving. In artikel 28, lid 3, is ook bepaald dat ' de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis [stelt] indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming. '

Overeenkomstig de eerdere standpunten van de Groep artikel 29 is het EDPB van mening dat het grondgebied van de Unie niet als 'gegevensparadijs' mag worden gebruikt, bijvoorbeeld wanneer een verwerkingsactiviteit onaanvaardbare ethische problemen oplevert 19 , en dat bepaalde wettelijke verplichtingen naast de toepassing van de EU-wetgeving op het gebied van gegevensbescherming, met name Europese en nationale regels met betrekking tot de openbare orde, in ieder geval door alle in de Unie gevestigde verwerkers moeten worden nageleefd, ongeacht de locatie van de verwerkingsverantwoordelijke. Bij deze overweging wordt ook rekening gehouden met het feit dat bepalingen die voortkomen uit de AVG en bijbehorende nationale wetgeving, door de uitvoering van EU-wetgeving onderworpen zijn aan het Handvest van de grondrechten van de Europese Unie 20 . Dit levert echter geen aanvullende verplichtingen op voor verwerkingsverantwoordelijken buiten de Unie met betrekking tot verwerking die buiten het territoriale toepassingsgebied van de AVG valt.

20 Handvest van de grondrechten van de Europese Unie, 2012/C 326/02.

2 TOEPASSING VAN HET CRITERIUM VAN GERICHTHEID - ARTIKEL 3, LID 2

Als er geen vestiging in de Unie is, betekent dit niet automatisch dat de verwerking door een in een derde land gevestigde verwerkingsverantwoordelijke of verwerker buiten het toepassingsgebied van de AVG valt, want in artikel 3, lid 2, wordt beschreven in welke omstandigheden de AVG van toepassing is op een verwerkingsverantwoordelijke of verwerker die niet in de Unie is gevestigd, op basis van hun verwerkingsactiviteiten.

In het kader daarvan bevestigt het EDPB dat een verwerkingsverantwoordelijke of verwerker bij gebrek aan een vestiging in de Unie geen gebruik kan maken van het in artikel 56 van de AVG beschreven éénloketmechanisme. Het samenwerkingsen coherentiemechanisme van de AVG geldt alleen voor verwerkingsverantwoordelijken en verwerkers met een of meer vestigingen in de Europese Unie 21 .

Hoewel deze richtsnoeren zijn bedoeld om het territoriale toepassingsgebied van de AVG te verduidelijken, wil het EDPB ook benadrukken dat verwerkingsverantwoordelijken en verwerkers eveneens rekening moeten houden met andere toepasselijke teksten, zoals sectorale wetgeving van de EU of de lidstaten, en nationale wetten. Op grond van verschillende bepalingen van de AVG mogen de lidstaten op bepaalde gebieden of in verband met specifieke verwerkingssituaties aanvullende voorwaarden stellen en een specifiek gegevensbeschermingskader vaststellen op nationaal niveau. Verwerkingsverantwoordelijken en verwerkers moeten er dus voor zorgen dat zij zich bewust zijn van deze aanvullende voorwaarden en kaders, die per lidstaat kunnen verschillen, en zich eraan houden. Die variaties in de geldende bepalingen op het gebied van gegevensbescherming in elke lidstaat zijn in het bijzonder van belang als het gaat om de bepalingen van artikel 8 (waarin staat dat de leeftijd waarop kinderen geldige toestemming kunnen geven met betrekking tot de verwerking van hun gegevens door diensten van de informatiemaatschappij, tussen de 13 en 16 jaar mag liggen), artikel 9 (met betrekking tot de verwerking van bijzondere categorieën gegevens), artikel 23 (beperkingen) of hoofdstuk IX (vrijheid van meningsuiting en van informatie; recht van toegang van het publiek tot officiële documenten; nationaal identificatienummer; arbeidsverhouding; verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden; geheimhouding; kerken en religieuze verenigingen) van de AVG.

Artikel 3, lid 2, van de AVG luidt: ' Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.'

Toepassing van het criterium van gerichtheid op betrokkenen die zich in de Unie bevinden, krachtens artikel 3, lid 2, kan voortkomen uit verwerking door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker die betrekking heeft op twee verschillende soorten activiteiten, mits deze verwerking betrekking heeft op betrokkenen die zich in de Unie bevinden. Naast het feit dat het criterium van gerichtheid uitsluitend van toepassing is op verwerking door een verwerkingsverantwoordelijke of verwerker die niet in de Unie is gevestigd, is het voornamelijk gericht op waarmee 'de verwerking verband houdt'. Dat moet per geval worden bepaald.

Het EDPB benadrukt dat het mogelijk is dat sommige verwerkingsactiviteiten van een verwerkingsverantwoordelijke of verwerker onder de AVG vallen, maar andere niet. Het doorslaggevende element voor de territoriale toepassing van de AVG op grond van artikel 3, lid 2, is de overweging van de betreffende verwerkingsactiviteiten.

Bij het beoordelen van de voorwaarden voor de toepassing van het criterium van gerichtheid raadt het EDPB daarom een tweetrapsbenadering aan, zodat eerst wordt bepaald of de verwerking verband houdt met persoonsgegevens van betrokkenen die zich in de Unie bevinden, en vervolgens of de verwerking verband houdt met het aanbieden van goederen of diensten of met de monitoring van het gedrag van betrokkenen in de Unie.

a) Betrokkenen in de Unie

In artikel 3, lid 2, wordt gesproken over ' persoonsgegevens van betrokkenen die zich in de Unie bevinden '. De toepassing van het criterium van gerichtheid wordt daarom niet beperkt door de nationaliteit, verblijfplaats of andere juridische status van de betrokkene van wie de persoonsgegevens worden verwerkt. Deze interpretatie wordt bevestigd door overweging 14, waarin staat: ' De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. '

Deze bepaling van de AVG weerspiegelt de primaire wetgeving van de EU, waarin ook een breed toepassingsgebied voor de bescherming van persoonsgegevens is vastgesteld, dat niet beperkt blijft tot EU-burgers. Zo is het recht op bescherming van persoonsgegevens op grond van artikel 8 van het Handvest van de grondrechten niet beperkt, maar voor 'eenieder' 22 .

Hoewel de locatie van de betrokkene op het grondgebied van de Unie een doorslaggevende factor is voor de toepassing van het criterium van gerichtheid op grond van artikel 3, lid 2, is het EDPB van mening dat de nationaliteit of juridische status van een betrokkene die zich in de Unie bevindt, het territoriale toepassingsgebied van de verordening niet mag beperken.

De eis dat de betrokkene zich in de Unie bevindt, moet worden beoordeeld op het moment dat de betreffende activiteit plaatsvindt, d.w.z. op het moment dat de goederen of diensten worden aangeboden of dat het gedrag wordt gemonitord, ongeacht hoe lang het aanbod of de monitoring duurt.

Het EDPB is echter van mening dat de bepaling, als het gaat om verwerking in verband met het aanbieden van diensten, is gericht op activiteiten die bewust - niet onbedoeld of incidenteel - zijn gericht op personen in de EU. Als de verwerking dus verband houdt met een dienst die uitsluitend wordt aangeboden aan personen buiten de EU, maar die niet wordt stopgezet wanneer deze personen de EU binnenkomen, valt de bijbehorende verwerking niet onder de AVG. In dit geval gaat het bij de verwerking namelijk niet om bewuste gerichtheid op personen in de EU, maar op gerichtheid op personen buiten de EU die doorgaat ongeacht of die personen buiten de EU blijven of de Unie bezoeken.

Voorbeeld 8: Een Australisch bedrijf biedt een dienst voor mobiele nieuws- en videocontent aan op basis van de voorkeuren en interesses van gebruikers. Gebruikers kunnen dagelijks of wekelijks

22 Artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie: 'Eenieder heeft recht op bescherming van zijn persoonsgegevens.'

updates ontvangen. De dienst wordt uitsluitend aangeboden aan gebruikers die zich in Australië bevinden. Bij het aanmelden moeten zij een Australisch telefoonnummer invullen.

Een Australische abonnee van de dienst gaat op vakantie naar Duitsland en blijft daar de dienst gebruiken.

Hoewel de Australische abonnee de dienst gebruikt terwijl hij zich in de EU bevindt, is de dienst niet gericht op personen in de Unie, maar uitsluitend op personen in Australië, dus de verwerking van persoonsgegevens door het Australische bedrijf valt niet binnen het toepassingsgebied van de AVG.

Voorbeeld 9: Een in de VS gevestigde start-up zonder bedrijfsaanwezigheid of vestiging in de EU biedt een applicatie met stadsplattegronden voor toeristen aan. De applicatie verwerkt persoonsgegevens met betrekking tot de locatie van de gebruikers (de betrokkenen) zodra zij de applicatie beginnen te gebruiken in de stad die zij bezoeken, om zo gerichte advertenties te kunnen tonen voor restaurants, bars, hotels en andere plaatsen die zij kunnen bezoeken. De applicatie is beschikbaar voor toeristen die New York, San Francisco, Toronto, Parijs of Rome bezoeken.

De Amerikaanse start-up richt zich, via zijn applicatie voor stadsplattegronden, specifiek op personen in de Unie (namelijk in Parijs en Rome) door diensten aan hen aan te bieden wanneer zij zich in de Unie bevinden. De verwerking van de persoonsgegevens van betrokkenen die zich in de Unie bevinden in verband met het aanbieden van de dienst valt binnen het toepassingsgebied van de AVG op grond van artikel 3, lid 2, onder a). Bovendien houdt de verwerking van de locatiegegevens van betrokkenen met het oog op het tonen van gerichte advertenties op basis van hun locatie verband met de monitoring van het gedrag van personen in de Unie. De verwerking door de Amerikaanse start-up valt dus ook binnen het toepassingsgebied van de AVG op grond van artikel 3, lid 2, onder b).

Het EDPB wil ook benadrukken dat enkel het feit dat er persoonsgegevens van een persoon in de Unie worden verwerkt, niet voldoende is om ervoor te zorgen dat de AVG van toepassing is op de verwerkingsactiviteiten van een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker. Het element van gerichtheid op personen in de EU, door goederen of diensten aan hen aan te bieden dan wel door hun gedrag te monitoren (zoals hieronder verder wordt toegelicht), moet daarvoor ook altijd aanwezig zijn.

Voorbeeld 10: Een burger van de VS reist tijdens zijn vakantie door Europa. In Europa downloadt en gebruikt hij een nieuwsapp die door een Amerikaans bedrijf wordt aangeboden. De app is uitsluitend gericht op de markt in de VS, zoals blijkt uit de gebruiksvoorwaarden van de app en het feit dat er alleen met Amerikaanse dollars kan worden betaald. De verzameling van persoonsgegevens van Amerikaanse toeristen door het Amerikaanse bedrijf via de app valt niet onder de AVG.

Daarnaast moet worden opgemerkt dat de verwerking van persoonsgegevens van burgers of inwoners van de EU in een derde land er niet voor zorgt dat de AVG van toepassing is, zolang de verwerking geen verband houdt met een specifiek aanbod dat is gericht op personen in de EU, of met de monitoring van hun gedrag in de Unie.

Voorbeeld 11: Een bank in Taiwan heeft klanten die in Taiwan verblijven, maar de Duitse nationaliteit hebben. De bank is uitsluitend actief in Taiwan; haar activiteiten zijn niet gericht op de EU-markt. De verwerking van de persoonsgegevens van de Duitse klanten door deze bank valt niet onder de AVG.

Voorbeeld 12: De Canadese immigratieautoriteit verwerkt persoonsgegevens van EU-burgers die zich op het grondgebied van Canada begeven, in verband met de beoordeling van hun visumaanvraag. Deze verwerking valt niet onder de AVG.

b) Het aanbieden van goederen of diensten aan betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist

De eerste activiteit die leidt tot de toepassing van artikel 3, lid 2, is 'het aanbieden van goederen of diensten', een concept waarop verder is ingegaan in de EU-wetgeving en de jurisprudentie en waarmee rekening moet worden gehouden bij het toepassen van het criterium van gerichtheid. Onder het aanbieden van diensten valt ook het aanbieden van diensten van de informatiemaatschappij, die in artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 23 worden gedefinieerd als ' elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten wordt verricht. '.

In artikel 3, lid 2, onder a), van de AVG wordt gesteld dat het criterium van gerichtheid met betrekking tot het aanbieden van goederen of diensten van toepassing is ongeacht of een betaling door de betrokkenen is vereist. Of de activiteit van een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet worden beschouwd als een aanbod van een goed of dienst, hangt dus niet af van de vraag of er in ruil voor de geleverde goederen of diensten een betaling wordt verricht 24 .

Voorbeeld 13: Een Amerikaans bedrijf zonder vestiging in de EU verwerkt in verband met personeelszaken de persoonsgegevens van zijn werknemers die een tijdelijke dienstreis hebben gemaakt naar Frankrijk, België en Nederland, in het bijzonder om hun verblijfkosten te kunnen vergoeden en hun dagvergoeding te kunnen betalen, die verschillen per land waar ze zich bevinden.

In deze situatie houdt de verwerking wel specifiek verband met personen op het grondgebied van de Unie (namelijk werknemers die tijdelijk in Frankrijk, België en Nederland zijn), maar niet met het aanbieden van een dienst aan die personen. De verwerking is veeleer onderdeel van de verwerking die de werkgever moet uitvoeren om zijn contractuele verplichtingen en zijn taken op het gebied van personeelszaken in verband met het dienstverband van de betreffende persoon te vervullen. De verwerking houdt geen verband met het aanbieden van een dienst en valt dus niet onder de bepalingen van de AVG op grond van artikel 3, lid 2, onder a).

Een ander belangrijk element dat moet worden beoordeeld om te bepalen of aan het criterium van gerichtheid uit artikel 3, lid 2, onder a), kan worden voldaan, is of het aanbod van goederen of diensten is gericht op een persoon in de Unie; met andere woorden, of uit het handelen van de verwerkingsverantwoordelijke, die de middelen voor en het doel van de verwerking bepaalt, zijn voornemen blijkt om goederen of diensten aan te bieden aan een betrokkene in de Unie. In overweging 23 van de AVG wordt dit verduidelijkt: ' Om te bepalen of een dergelijke verwerkingsverantwoordelijke of verwerker goederen of diensten aan betrokkenen in de Unie aanbiedt, moet worden nagegaan of de verwerkingsverantwoordelijke of verwerker klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in één of meer lidstaten in de Unie. '

Verder wordt in deze overweging het volgende gesteld: ' De toegankelijkheid van de website van de verwerkingsverantwoordelijke, van de verwerker of van een tussenpersoon in de Unie, van een emailadres of van andere contactgegevens of het gebruik van een in het derde land waar de verwerkingsverantwoordelijke is gevestigd, algemeen gebruikte taal is op zich ontoereikend om een dergelijk voornemen vast te stellen, maar ook uit andere factoren zoals het gebruik van een taal of een valuta die in één of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal goederen en diensten te bestellen, of de vermelding van klanten of gebruikers in de Unie, kan blijken dat de verwerkingsverantwoordelijke voornemens is goederen en diensten aan betrokkenen in de Unie aan te bieden. '

De in overweging 23 genoemde elementen zijn in overeenstemming met de jurisprudentie van het HvJ-EU op basis van Verordening (EG) nr. 44/2001 van de Raad 25 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken, en in het bijzonder artikel 15, lid 1, onder c), daarvan. In Pammer tegen Reederei Karl Schlüter GmbH & Co en Hotel Alpenhof tegen Heller (gevoegde zaken C-585/08 en C-144/09) werd het Hof gevraagd te verduidelijken wat het betekent om activiteiten ergens op te richten in de zin van artikel 15, lid 1, onder c), van Verordening (EG) nr. 44/2001 ( Brussel I ). Het HvJ-EU was van mening dat een ondernemer, om te bepalen of deze kan worden geacht zijn activiteiten te richten op de lidstaat waar de consument woonplaats heeft, in de zin van artikel 15, lid 1, onder c), van Brussel I, zijn wil tot uitdrukking moet hebben gebracht om commerciële betrekkingen aan te knopen met deze consumenten. In het kader daarvan achtte het HvJ-EU bewijsmateriaal in staat aan te tonen dat de ondernemer van plan was om handel te drijven met consumenten die woonplaats hebben in een lidstaat.

Hoewel het concept van 'een activiteit ergens op richten' niet hetzelfde is als het 'aanbieden van goederen of diensten', kan de jurisprudentie in Pammer tegen Reederei Karl Schlüter GmbH & Co en Hotel Alpenhof tegen Heller (gevoegde zaken C-585/08 en C-144/09) 26 volgens het EDPB helpen bij de overweging of er goederen of diensten worden aangeboden aan een betrokkene in de Unie. Bij de beschouwing van de specifieke feiten van de zaak kan daarom rekening worden gehouden met onder meer de volgende factoren (of een combinatie daarvan):

-de EU of ten minste één lidstaat wordt bij naam genoemd in verband met het aangeboden goed of de aangeboden dienst;
-het internationale karakter van de betrokken activiteit, zoals bepaalde toeristische activiteiten;
-de verwerkingsverantwoordelijke of verwerker betaalt een exploitant van een zoekmachine voor een zoekmachineadvertentiedienst om consumenten in de Unie gemakkelijker toegang te verlenen tot zijn site, of de verwerkingsverantwoordelijke of verwerker heeft marketing- en reclamecampagnes opgezet die op een publiek in een EU-land zijn gericht;
-de vermelding van gerichte adressen of telefoonnummers die vanuit een EU-land kunnen worden bereikt;
-het gebruik van een andere topleveldomeinnaam dan die van het derde land waar de verwerkingsverantwoordelijke of verwerker is gevestigd, zoals '.de', of het gebruik van neutrale topleveldomeinnamen als '.eu';
-de verwijzing naar een internationale clientèle die is samengesteld uit klanten die woonplaats hebben in verschillende EU-lidstaten, met name via de presentatie van door dergelijke klanten opgestelde verslagen;
-een routebeschrijving vanuit een of meerdere andere EU-lidstaten naar de plaats waar de dienst wordt verricht;
-het gebruik van een andere taal of munteenheid dan die welke gewoonlijk worden gebruikt in het land van de ondernemer, in het bijzonder een taal of munteenheid van een of meerdere EUlidstaten;
-aanbod van de verwerkingsverantwoordelijke om goederen in EU-lidstaten te leveren.

Zoals reeds genoemd, vormen verschillende van deze elementen op zich misschien geen duidelijke indicatie van het voornemen van een verwerkingsverantwoordelijke om goederen of diensten aan te bieden aan betrokkenen in de Unie, maar in een concrete analyse moet altijd met al deze factoren rekening worden gehouden, om zo te bepalen of de combinatie van factoren in verband met de commerciële activiteiten van de verwerkingsverantwoordelijke kan worden beschouwd als het aanbieden van goederen of diensten gericht op betrokkenen in de Unie.

Belangrijk is echter dat in overweging 23 wordt bevestigd dat de toegankelijkheid van de website van de verwerkingsverantwoordelijke, van de verwerker of van een tussenpersoon in de Unie of de vermelding van zijn e-mail- of geografische adres of van zijn telefoonnummer zonder internationale code op de website op zich ontoereikend is om het voornemen van de verwerkingsverantwoordelijke of verwerker aan te tonen om goederen of diensten aan te bieden aan een betrokkene die zich in de Unie bevindt. In het kader daarvan herinnert het EDPB eraan dat de verwerking van persoonsgegevens in verband met onbewuste of incidentele levering van goederen of diensten aan een persoon op het grondgebied van de Unie niet binnen het territoriale toepassingsgebied van de AVG valt.

Voorbeeld 14: Op een in Turkije gevestigde en beheerde website worden diensten aangeboden voor het maken, bewerken, afdrukken en versturen van gepersonaliseerde familiefotoalbums. De website is beschikbaar in het Engels, Frans, Nederlands en Duits, en betalingen kunnen in euro's worden verricht. Op de website wordt aangegeven dat de fotoalbums uitsluitend per post kunnen worden geleverd in Frankrijk, de landen van de Benelux en Duitsland.

In dit geval is duidelijk dat het maken, bewerken en afdrukken van de gepersonaliseerde familiefotoalbums een dienst vormt in de zin van de EU-wetgeving. Uit het feit dat de website in vier EU-talen beschikbaar is en dat de fotoalbums per post kunnen worden bezorgd in vijf EU-lidstaten, blijkt dat er aan de kant van de Turkse website een voornemen bestaat om diensten aan te bieden aan personen in de Unie.

Het is daarom duidelijk dat de verwerking die de Turkse website als verwerkingsverantwoordelijke uitvoert, verband houdt met het aanbieden van een dienst aan betrokkenen in de Unie en dat deze dus onder de verplichtingen en bepalingen van de AVG valt op grond van artikel 3, lid 2, onder a), daarvan.

Overeenkomstig artikel 27 moet de verwerkingsverantwoordelijke een vertegenwoordiger in de Unie aanwijzen.

Voorbeeld 15: Een in Monaco gevestigde besloten vennootschap verwerkt persoonsgegevens van haar werknemers met het oog op de betaling van salarissen. Veel van de werknemers van het bedrijf zijn inwoners van Frankrijk en Italië.

In dit geval houdt de verwerking door het bedrijf wel verband met betrokkenen in Frankrijk en Italië, maar vindt deze niet plaats in het kader van een aanbod van goederen of diensten. Het beheer van personele middelen, met inbegrip van salarisbetalingen, door een bedrijf uit een derde land is niet te beschouwen als het aanbieden van een dienst in de zin van artikel 3, lid 2, onder a). De betreffende verwerking houdt geen verband met het aanbieden van goederen of diensten aan betrokkenen in de Unie (noch met het monitoren van gedrag) en valt dus niet onder de bepalingen van de AVG op grond van artikel 3.

Deze beoordeling laat de toepasselijke wetgeving van het betreffende derde land onverlet.

Voorbeeld 16: Een Zwitserse universiteit in Zürich zet een selectieproces op voor haar masteropleidingen door een onlineplatform beschikbaar te maken waar kandidaten hun cv, motivatiebrief en contactgegevens kunnen uploaden. Het selectieproces staat open voor alle studenten die het Engels en Duits voldoende beheersen en over een bachelordiploma beschikken. De universiteit promoot haar diensten niet specifiek onder studenten van universiteiten in de EU en aanvaardt uitsluitend betalingen in de Zwitserse munteenheid.

Aangezien er in het aanmeldings- en selectieproces voor deze masteropleiding niet apart hoeft te worden vermeld dat een student uit de Unie afkomstig is, kan niet worden vastgesteld dat de Zwitserse universiteit het voornemen heeft zich te richten op studenten uit bepaalde EU-lidstaten. Voldoende beheersing van het Duits en Engels is een algemene vereiste die voor iedere student geldt, ongeacht of deze inwoner van Zwitserland is, zich in de Unie bevindt of uit een derde land afkomstig is. Omdat er geen andere factoren zijn waaruit een specifieke gerichtheid op studenten in EU-lidstaten blijkt, kan niet worden vastgesteld dat de betreffende verwerking verband houdt met het aanbieden van een onderwijsdienst aan betrokkenen in de Unie en valt deze verwerking dus niet onder de bepalingen van de AVG.

De Zwitserse universiteit biedt ook zomercursussen op het gebied van internationale betrekkingen aan en promoot dit aanbod specifiek op Duitse en Oostenrijkse universiteiten om zoveel mogelijk deelnemers te werven. In dit geval is er sprake van een duidelijk voornemen van de Zwitserse universiteit om deze dienst aan te bieden aan betrokkenen die zich in de Unie bevinden, dus de AVG is van toepassing op de bijbehorende verwerking.

c) Het monitoren van het gedrag van betrokkenen

Het tweede type activiteit waardoor artikel 3, lid 2, van toepassing is, betreft het monitoren van het gedrag van betrokkenen, voor zover dit gedrag in de Unie plaatsvindt.

In overweging 24 wordt dit verduidelijkt: ' De verwerking van persoonsgegevens van betrokkenen in de Unie door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet ook onder deze verordening vallen wanneer dat verband houdt met het controleren van het gedrag van de betrokkenen voor zover zich dat binnen de Unie situeert. '

Wil de AVG van toepassing zijn op grond van artikel 3, lid 2, onder b), dan moet het gemonitorde gedrag verband houden met een betrokkene in de Unie en moet dit gedrag daarnaast op het grondgebied van de Unie plaatsvinden.

De aard van de verwerkingsactiviteit die als het monitoren van gedrag kan worden beschouwd, wordt in overweging 24 verder uitgewerkt: ' Om uit te maken of een verwerking kan worden beschouwd als controle van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen. ' Hoewel overweging 24 uitsluitend verband houdt met het monitoren van gedrag door een persoon op het internet te volgen, is het EDPB van mening dat volgen via andere soorten netwerken of technologieën waarbij persoonsgegevens worden verwerkt, ook in aanmerking moet worden genomen bij het bepalen of bij een verwerkingsactiviteit gedrag wordt gemonitord, bijvoorbeeld via draagbare en andere slimme apparaten.

In tegenstelling tot in artikel 3, lid 2, onder a), wordt in artikel 3, lid 2, onder b), noch in overweging 24 uitdrukkelijk een noodzakelijke voorgenomen gerichtheid van de verwerkingsverantwoordelijke of verwerker vermeld om te bepalen of de monitoring ervoor zorgt dat de AVG van toepassing is op de verwerking. Het gebruik van het woord 'monitoren' of 'controleren' impliceert echter dat de verwerkingsverantwoordelijke een specifiek doel heeft met het verzamelen en vervolgens hergebruiken van de betreffende gegevens over het gedrag van een persoon in de EU. Het EDPB is van mening dat het online verzamelen of analyseren van persoonsgegevens van personen in de EU niet automatisch als 'monitoren' geldt. Er moet worden gekeken naar het doel van de verwerkingsverantwoordelijke met de verwerking van de gegevens en, in het bijzonder, naar eventuele technieken waarmee vervolgens aan de hand van die gegevens gedrag wordt geanalyseerd of een profiel wordt opgesteld. Het EDPB houdt rekening met de bewoording van overweging 24, waarin wordt aangegeven dat het volgen van natuurlijke personen op het internet, met inbegrip van het potentiële daaropvolgende gebruik van technieken voor het opstellen van een profiel, een cruciaal element is bij het bepalen of bij verwerking het gedrag van een betrokkene wordt gemonitord.

Artikel 3, lid 2, onder b), over het monitoren van gedrag van betrokkenen in de Unie door een verwerkingsverantwoordelijke of verwerker, kan daarom betrekking hebben op een breed scala aan monitoringactiviteiten, waaronder in het bijzonder:

-gedragsgericht adverteren;
-online volgen door het gebruik van cookies of andere technieken, zoals vingerafdrukken;
-geolokalisatieactiviteiten, met name voor marketingdoeleinden;
-gepersonaliseerde onlinediensten voor dieet- en gezondheidsanalyse;
-marktonderzoek en andere gedragsstudies op basis van individuele profielen;
-gesloten televisiecircuit;
-monitoring van of regelmatige verslaglegging over de gezondheidstoestand van een persoon.

Voorbeeld 17: Een in de VS gevestigd handelsadviesbureau adviseert een winkelcentrum in Frankrijk over de indeling van de winkels op basis van een analyse van de bewegingen van klanten in het winkelcentrum, waarover via wifi-tracking gegevens worden verzameld.

De analyse van de bewegingen van een klant in het winkelcentrum via wifi-tracking staat gelijk aan het monitoren van het gedrag van personen. In dit geval vindt het gedrag van de betrokkenen plaats in de Unie, want het winkelcentrum bevindt zich in Frankrijk. Het adviesbureau valt als verwerkingsverantwoordelijke dus onder de AVG op grond van artikel 3, lid 2, onder b), wat de verwerking van deze gegevens voor dit doel betreft.

Overeenkomstig artikel 27 moet de verwerkingsverantwoordelijke een vertegenwoordiger in de Unie aanwijzen.

Voorbeeld 18: Een in Canada gevestigde ontwikkelaar van een app zonder vestiging in de Unie monitort het gedrag van betrokkenen in de Unie en valt daarom onder de AVG op grond van artikel 3, lid 2, onder b). De ontwikkelaar maakt gebruik van een in de VS gevestigde verwerker voor de optimalisatie en het onderhoud van de app.

In verband met deze verwerking is de Canadese verwerkingsverantwoordelijke op grond van artikel 28 verplicht uitsluitend een beroep te doen op passende verwerkers en ervoor te zorgen dat zijn verplichtingen op grond van de AVG worden weergegeven in de overeenkomst of rechtshandeling waarin zijn relatie met de verwerker in de VS wordt geregeld.

d) Niet in de Unie gevestigde verwerker

Verwerking die verband houdt met de gerichte activiteit waardoor artikel 3, lid 2, van toepassing is, valt binnen het territoriale toepassingsgebied van de AVG. Het EDPB is van mening dat er een verband moet zijn tussen de verwerking en het aanbieden van een goed of dienst, maar zowel verwerking door een verwerkingsverantwoordelijke als door een verwerker is relevant en moet in aanmerking worden genomen.

Wanneer het gaat om een niet in de Unie gevestigde verwerkingsverantwoordelijke, moet er, om te bepalen of zijn verwerking onder de AVG valt op grond van artikel 3, lid 2, worden gekeken of de verwerking door de verwerker verband houdt met de gerichte activiteiten van de verwerkingsverantwoordelijke.

Het EDPB is van mening dat een verwerker die gegevens verwerkt namens de verwerkingsverantwoordelijke, als deze verwerking verband houdt met het aanbieden van goederen of diensten of het monitoren van het gedrag van personen in de Unie ('gerichtheid') door de verwerkingsverantwoordelijke, wat die verwerking betreft binnen het toepassingsgebied van de AVG valt op grond van artikel 3, lid 2.

De gerichtheid van een verwerkingsactiviteit houdt verband met het doel en de middelen. Een beslissing om zich op personen in de Unie te richten, kan uitsluitend worden genomen door een entiteit die als verwerkingsverantwoordelijke optreedt. Een dergelijke interpretatie sluit niet uit dat de verwerker actief deelneemt aan verwerkingsactiviteiten die verband houden met het uitvoeren van de gerichtheidscriteria (dat wil zeggen dat de verwerker namens en in opdracht van de verwerkingsverantwoordelijke goederen of diensten aanbiedt of gedrag monitort).

Daarom is het EDPB van mening dat het accent moet liggen op het verband tussen de door de verwerker uitgevoerde verwerkingsactiviteiten en de door een verwerkingsverantwoordelijke ondernomen gerichte activiteit.

Voorbeeld 19: Een Braziliaans bedrijf verkoopt online ingrediënten voor voedingsmiddelen en lokale recepten. Door deze producten te promoten en levering ervan aan te bieden in Frankrijk, Spanje en Portugal maakt het bedrijf dit productaanbod beschikbaar in de Unie. In het kader hiervan geeft het bedrijf een eveneens in Brazilië gevestigde verwerker opdracht speciale aanbiedingen te ontwikkelen voor consumenten in Frankrijk, Spanje en Portugal op basis van hun eerdere bestellingen, en de bijbehorende gegevens te verwerken.

De verwerking door de verwerker in opdracht van de verwerkingsverantwoordelijke houdt verband met het aanbod van goederen aan betrokkenen in de Unie. Door deze aanbiedingen op maat te ontwikkelen monitort de verwerker bovendien rechtstreeks betrokkenen in de EU. De verwerking door de verwerker valt dus onder de AVG op grond van artikel 3, lid 2.

Voorbeeld 20: Een Amerikaans bedrijf heeft een app ontwikkeld op het gebied van gezondheid en levensstijl, waarmee gebruikers het Amerikaanse bedrijf hun persoonlijke indicatoren kunnen laten bijhouden (hun slaap, gewicht, bloeddruk, hartslag enz.). De app geeft de gebruikers dan dagelijks voedingsadvies en sportaanbevelingen. De verwerking wordt uitgevoerd door de Amerikaanse verwerkingsverantwoordelijke. De app is beschikbaar voor en wordt gebruikt door personen in de Unie. Met het oog op gegevensopslag gebruikt het Amerikaanse bedrijf een in de VS gevestigde verwerker (aanbieder van clouddiensten).

Voor zover het Amerikaanse bedrijf het gedrag van personen in de EU monitort, richt het zich met de exploitatie van de gezondheids- en levensstijlapp op personen in de EU en valt de verwerking van persoonsgegevens van personen in de EU dus binnen het toepassingsgebied van de AVG op grond van artikel 3, lid 2.

Door gegevens te verwerken in opdracht van en namens het Amerikaanse bedrijf voert de aanbieder van clouddiensten (de verwerker) een verwerkingsactiviteit uit die verband houdt met gerichtheid van de verwerkingsverantwoordelijke op personen in de EU. Deze verwerking door de verwerker namens de verwerkingsverantwoordelijke valt binnen het toepassingsgebied van de AVG op grond van artikel 3, lid 2.

Voorbeeld 21: Een Turks bedrijf biedt culturele pakketreizen in het Midden-Oosten aan met gidsen die Engels, Frans en Spaans spreken. De pakketreizen worden met name gepromoot en aangeboden via een website die in diezelfde drie talen beschikbaar is en waarop online kan worden geboekt en in euro's en Britse ponden kan worden betaald. Met het oog op marketing en commerciële prospectie geeft het bedrijf een verwerker - een in Tunesië gevestigd callcenter - opdracht contact op te nemen met voormalige klanten in Ierland, Frankrijk, België en Spanje om deze te vragen om feedback op hun gemaakte reizen en op de hoogte te brengen van nieuwe aanbiedingen en bestemmingen.

De verwerkingsverantwoordelijke richt zich, door zijn diensten aan hen te bieden, op personen in de EU, dus de verwerking valt binnen het toepassingsgebied van artikel 3, lid 2.

De verwerking door de Tunesische verwerker, die de diensten van de verwerkingsverantwoordelijke promoot onder personen in de EU, houdt ook verband met het aanbod van diensten door de verwerkingsverantwoordelijke en valt dus binnen het toepassingsgebied van artikel 3, lid 2. Bovendien neemt de Tunesische verwerker in dit specifieke geval actief deel aan verwerkingsactiviteiten die verband houden met de gerichtheidscriteria, door diensten aan te bieden namens en in opdracht van de Turkse verwerkingsverantwoordelijke.

e) Interactie met andere bepalingen van de AVG en met andere wetgeving

Het EDPB zal ook de samenhang tussen de toepassing van het territoriale toepassingsgebied van de AVG op grond van artikel 3 en de bepalingen uit hoofdstuk V over internationale gegevensdoorgifte verder beoordelen. Zo nodig worden hierover mogelijk aanvullende richtsnoeren gepubliceerd.

Niet in de EU gevestigde verwerkingsverantwoordelijken of verwerkers moeten zich houden aan de nationale wetgeving van hun eigen derde land op het gebied van de verwerking van persoonsgegevens.

Wanneer deze verwerking verband houdt met gerichtheid op personen in de Unie op grond van artikel 3, lid 2, moet de verwerkingsverantwoordelijke zich, naast de nationale wetgeving van zijn eigen land, echter ook aan de AVG houden. Dit geldt ongeacht of de verwerking in naleving van een wettelijke verplichting in het derde land of simpelweg uit eigen beweging door de verwerkingsverantwoordelijke wordt uitgevoerd.

3 VERWERKING OP EEN PLAATS WAAR KRACHTENS HET INTERNATIONAAL PUBLIEKRECHT HET LIDSTATELIJKE RECHT VAN TOEPASSING IS

Artikel 3, lid 3, luidt: ' Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is. ' Deze bepaling wordt verder uitgewerkt in overweging 25, waar het volgende staat: ' Wanneer uit hoofde van het internationale publiekrecht het lidstatelijke recht van toepassing is, dient deze verordening ook van toepassing te zijn op een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld bij een diplomatieke vertegenwoordiging of een consulaire post actief is. '

Het EDPB is daarom van mening dat de AVG van toepassing is op de verwerking van persoonsgegevens door ambassades en consulaten van EU-lidstaten buiten de EU, aangezien deze verwerking binnen het toepassingsgebied van de AVG valt op grond van artikel 3, lid 3. Een diplomatieke of consulaire post van een lidstaat valt dan, als verwerkingsverantwoordelijke of verwerker, onder alle relevante bepalingen van de AVG, ook wanneer het gaat om de rechten van de betrokkene, de algemene verplichtingen van de verwerkingsverantwoordelijke en de verwerker, en de doorgifte van persoonsgegevens aan derde landen of internationale organisaties.

Voorbeeld 22: Het Nederlandse consulaat in Kingston, Jamaica, opent een online sollicitatieproces voor de werving van lokaal personeel ter ondersteuning van zijn administratie.

Hoewel het Nederlandse consulaat in Kingston, Jamaica, niet in de Unie is gevestigd, is de AVG op grond van artikel 3, lid 3, toch van toepassing op zijn verwerking van persoonsgegevens vanwege het feit dat het een consulaire post van een EU-land betreft waar het lidstatelijke recht van toepassing is.

Voorbeeld 23: Een Duits cruiseschip dat in internationale wateren vaart, verwerkt persoonsgegevens van de gasten aan boord om het aanbod van amusement tijdens de cruise op hun wensen te kunnen afstemmen.

Hoewel het schip zich buiten de Unie bevindt, in internationale wateren, is op grond van artikel 3, lid 3, krachtens het internationaal publiekrecht de AVG van toepassing op de verwerking van persoonsgegevens gezien het feit dat het een in Duitsland geregistreerd cruiseschip betreft.

Een andere situatie, hoewel niet gerelateerd aan de toepassing van artikel 3, lid 3, betreft die waarin bepaalde in de Unie gevestigde entiteiten, organen of organisaties profiteren van voorrechten en immuniteiten als die uit het Verdrag van Wenen inzake diplomatiek verkeer van 1961 27 , het Verdrag van Wenen inzake consulaire betrekkingen van 1963 of zetelovereenkomsten tussen internationale organisaties en het land waar zij in de Unie zijn gevestigd. Met betrekking daartoe herinnert het EDPB eraan dat de toepassing van de AVG de bepalingen van internationale wetgeving onverlet laat, zoals

de wetgeving inzake de voorrechten en immuniteiten van diplomatieke missies en consulaire posten buiten de EU en die inzake internationale organisaties. Tegelijkertijd is het belangrijk om te onthouden dat iedere verwerkingsverantwoordelijke of verwerker die met betrekking tot een bepaalde verwerkingsactiviteit binnen het toepassingsgebied van de AVG valt en die persoonsgegevens uitwisselt met dergelijke entiteiten, organen en organisaties, zich aan de AVG moet houden, in voorkomend geval met inbegrip van zijn regels over doorgifte aan derde landen of internationale organisaties.

4 VERTEGENWOORDIGER VAN NIET IN DE UNIE GEVESTIGDE VERWERKINGSVERANTWOORDELIJKEN OF VERWERKERS

Verwerkingsverantwoordelijken of verwerkers die op grond van artikel 3, lid 2, onder de AVG vallen, zijn verplicht een vertegenwoordiger in de Unie aan te wijzen. Een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker die wel onder de AVG valt, maar geen vertegenwoordiger in de Unie aanwijst, schendt dus de verordening.

Deze bepaling is niet volledig nieuw, want Richtlijn 95/46/EG bevatte al een vergelijkbare verplichting. Binnen de richtlijn had deze bepaling betrekking op niet op het grondgebied van de Gemeenschap gevestigde verwerkingsverantwoordelijken die voor de verwerking van persoonsgegevens gebruikmaakten van al dan niet geautomatiseerde middelen die zich op het grondgebied van een lidstaat bevonden. Op grond van de AVG is elke verwerkingsverantwoordelijke of verwerker die binnen het toepassingsgebied van artikel 3, lid 2, valt, verplicht om een vertegenwoordiger in de Unie aan te wijzen, tenzij hij aan de vrijstellingscriteria uit artikel 27, lid 2, voldoet. Om de toepassing van deze specifieke bepaling gemakkelijker te maken acht het EDPB het noodzakelijk verdere richtsnoeren te bieden voor het aanwijzingsproces en voor de vestigingsverplichtingen en verantwoordelijkheden van de vertegenwoordiger in de Unie op grond van artikel 27.

Vermeldenswaard is dat een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker die schriftelijk een vertegenwoordiger in de Unie heeft aangewezen overeenkomstig artikel 27 van de AVG, niet binnen het toepassingsgebied van artikel 3, lid 1, valt. Met andere woorden, de aanwezigheid van de vertegenwoordiger binnen de Unie geldt niet als vestiging van een verwerkingsverantwoordelijke of verwerker in de zin van artikel 3, lid 1.

a) Aanwijzing van een vertegenwoordiger

In overweging 80 wordt verduidelijkt: ' De vertegenwoordiger dient uitdrukkelijk te worden aangewezen via een schriftelijk mandaat van de verwerkingsverantwoordelijke of van de verwerker om namens hen op te treden met betrekking tot zijn verplichtingen uit hoofde van deze verordening. De aanwijzing van een dergelijke vertegenwoordiger heeft geen invloed op de verantwoordelijkheid of aansprakelijkheid van de verwerkingsverantwoordelijke of van de verwerker uit hoofde van deze verordening. Die vertegenwoordiger moet zijn taken verrichten volgens het van de verwerkingsverantwoordelijke of de verwerker ontvangen mandaat, en moet onder meer samenwerken met de bevoegde toezichthoudende autoriteiten met betrekking tot alle maatregelen die ter naleving van deze verordening worden genomen.'

In het in overweging 80 genoemde schriftelijke mandaat moeten daarom de betrekkingen en verplichtingen tussen de vertegenwoordiger in de Unie en de buiten de Unie gevestigde verwerkingsverantwoordelijke of verwerker worden geregeld, zonder dat dit invloed heeft op de verantwoordelijkheid of aansprakelijkheid van de verwerkingsverantwoordelijke of verwerker. De

vertegenwoordiger in de Unie kan een in de Unie gevestigde natuurlijke persoon of rechtspersoon zijn die in staat is een buiten de Unie gevestigde verwerkingsverantwoordelijke of verwerker te vertegenwoordigen met betrekking tot hun respectieve verplichtingen op grond van de AVG.

In de praktijk kan de functie van vertegenwoordiger in de Unie worden uitgeoefend op basis van een dienstovereenkomst met een persoon of een organisatie, en dus door een breed scala aan commerciële en niet-commerciële entiteiten, zoals advocatenkantoren, adviesbureaus, particuliere bedrijven enz., mits deze in de Unie zijn gevestigd. Het is ook mogelijk dat één vertegenwoordiger namens meerdere buiten de EU gevestigde verwerkingsverantwoordelijken en verwerkers optreedt.

Wanneer de functie van vertegenwoordiger wordt uitgeoefend door een bedrijf of een ander type organisatie, is het aan te raden om voor iedere vertegenwoordigde verwerkingsverantwoordelijke of verwerker één persoon aan te wijzen als contactpersoon en verantwoordelijke. Vaak is het ook nuttig om deze punten in de dienstovereenkomst op te nemen.

Conform de AVG bevestigt het EDPB dat een verwerkingsverantwoordelijke of verwerker, wanneer verschillende van zijn verwerkingsactiviteiten binnen het toepassingsgebied van artikel 3, lid 2, van de AVG vallen (en geen van de uitzonderingen uit artikel 27, lid 2, van toepassing is), niet voor elke afzonderlijke verwerkingsactiviteit een aparte vertegenwoordiger hoeft aan te wijzen. Het EDPB acht de functie van vertegenwoordiger in de Unie niet verenigbaar met de rol van een externe functionaris voor gegevensbescherming (DPO), die in de Unie zou zijn gevestigd. In artikel 38, lid 3, worden enkele basisgaranties vastgesteld om ervoor te zorgen dat DPO's hun taken met voldoende autonomie kunnen uitvoeren binnen hun organisatie. In het bijzonder moeten verwerkingsverantwoordelijken of verwerkers ervoor zorgen dat de DPO ' geen instructies ontvangt met betrekking tot de uitvoering van [zijn of haar] taken '. In overweging 97 wordt daaraan toegevoegd: ' Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de verwerkingsverantwoordelijke. ' 28 Deze eis van voldoende autonomie en onafhankelijkheid voor een functionaris voor gegevensbescherming lijkt onverenigbaar met de functie van vertegenwoordiger in de Unie. De vertegenwoordiger valt onder een mandaat van een verwerkingsverantwoordelijke of verwerker en treedt namens en dus rechtstreeks in opdracht van deze verwerkingsverantwoordelijke of verwerker op 29 . De vertegenwoordiger krijgt een mandaat van en treedt dus op namens de verwerkingsverantwoordelijke of verwerker die hij vertegenwoordigt, en die taak is niet verenigbaar met de onafhankelijke uitvoering van de taken van de functionaris voor gegevensbescherming.

Daarnaast, en als aanvulling op zijn interpretatie, herinnert het EDPB aan het reeds door de WP 29 ingenomen standpunt dat ' een belangenconflict zich bijvoorbeeld ook [kan] voordoen wanneer aan een externe functionaris voor gegevensbescherming wordt gevraagd om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in de rechtbank bij rechtszaken over problemen met de gegevensbescherming ' 30 .

29 Een externe DPO die ook als vertegenwoordiger in de Unie optreedt, zou bijvoorbeeld niet in een situatie terecht mogen komen waarin hij als vertegenwoordiger opdracht krijgt een door de verwerkingsverantwoordelijke of verwerker genomen beslissing of maatregel aan een betrokkene door te geven, terwijl hij als DPO van mening is dat deze niet aan de bepalingen van de AVG voldoet, en waarover hij dus een negatief advies heeft afgegeven.

Zo acht het EDPB de functie van vertegenwoordiger van een verwerkingsverantwoordelijke in de Unie, gezien het mogelijke verplichtingenen belangenconflict bij uitvoeringsprocedures, ook niet verenigbaar met de rol van verwerker voor diezelfde verwerkingsverantwoordelijke, met name als het gaat om naleving van hun respectieve verantwoordelijkheden en verplichtingen.

Hoewel de verwerkingsverantwoordelijke en de vertegenwoordiger zelf op grond van de AVG niet verplicht zijn de aanwijzing van deze laatste te melden bij een toezichthoudende autoriteit, herinnert het EDPB eraan dat verwerkingsverantwoordelijken op grond van artikel 13, lid 1, onder a), en artikel 14, lid 1, onder a), als onderdeel van hun informatieverplichtingen, betrokkenen informatie moeten verstrekken over de identiteit van hun vertegenwoordiger in de Unie. Deze informatie moet bijvoorbeeld worden opgenomen in [de privacyverklaring en] de informatie die vooraf aan de betrokkenen wordt verstrekt op het moment dat de gegevens worden verzameld. Een niet in de Unie gevestigde verwerkingsverantwoordelijke die onder artikel 3, lid 2, valt en betrokkenen die zich in de Unie bevinden, niet in kennis stelt van de identiteit van zijn vertegenwoordiger, schendt zijn transparantieverplichtingen op grond van de AVG. Deze informatie moet ook gemakkelijk toegankelijk zijn voor toezichthoudende autoriteiten om gemakkelijker een contactpersoon te kunnen vaststellen met het oog op samenwerking.

Voorbeeld 24: Op de bij voorbeeld 12 genoemde in Turkije gevestigde en beheerde website worden diensten aangeboden voor het maken, bewerken, afdrukken en versturen van gepersonaliseerde familiefotoalbums. De website is beschikbaar in het Engels, Frans, Nederlands en Duits, en betalingen kunnen in euro's of Britse ponden worden verricht. Op de website wordt aangegeven dat de fotoalbums uitsluitend per post kunnen worden geleverd in Frankrijk, de landen van de Benelux en Duitsland. Omdat deze website op grond van artikel 3, lid 2, onder a), onder de AVG valt, moet de verwerkingsverantwoordelijke een vertegenwoordiger in de Unie aanwijzen.

De vertegenwoordiger moet zijn gevestigd in een van de lidstaten waar de aangeboden dienst beschikbaar is, dus in dit geval in Frankrijk, België, Nederland, Luxemburg of Duitsland. De naam en contactgegevens van de verwerkingsverantwoordelijke en zijn vertegenwoordiger in de Unie moeten deel uitmaken van de informatie die online beschikbaar wordt gesteld aan betrokkenen zodra deze de dienst beginnen te gebruiken door hun fotoalbum te maken. Ook moet de informatie in de algemene privacyverklaring van de website staan.

b) Vrijstellingen van de aanwijzingsverplichting 31

Hoewel de toepassing van artikel 3, lid 2, leidt tot de verplichting voor buiten de Unie gevestigde verwerkingsverantwoordelijken of verwerkers om een vertegenwoordiger in de Unie aan te wijzen, kan er op grond van artikel 27, lid 2, in twee specifieke gevallen van deze verplichting worden afgeweken:

GLYPH<UNKNOWN> 'incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, betreft noch verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10, en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, de context, de omvang en de verwerkingsdoeleinden'.

31 Een deel van de criteria en interpretatie uit G29 WP 243 rev.1 (Functionaris voor gegevensbescherming) goedgekeurd door het EDPB - kan als basis worden gebruikt voor de vrijstellingen van de aanwijzingsverplichting.

Overeenkomstig de eerder door de Groep artikel 29 ingenomen standpunten is het EDPB van mening dat een verwerkingsactiviteit uitsluitend als incidenteel kan worden beschouwd als deze niet regelmatig wordt uitgevoerd en buiten de normale gang van zaken of activiteiten van de verwerkingsverantwoordelijke of verwerker om plaatsvindt 32 .

Verder wordt in de AVG niet gedefinieerd wat grootschalige verwerking inhoudt, maar de WP 29 heeft eerder in haar richtlijnen WP 243 voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO) aangeraden met name de volgende factoren in aanmerking te nemen bij het bepalen of de verwerking al dan niet op grote schaal wordt uitgevoerd: het aantal betrokkenen waarover het gaat - hetzij als een specifiek aantal of als een evenredig deel van de relevante populatie; de hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems; de duur of permanentie van de gegevensverwerking; de geografische omvang van de verwerkingsactiviteit 33 .

Tot slot benadrukt het EDPB dat bij de vrijstelling van de aanwijzingsverplichting op grond van artikel 27 wordt verwezen naar verwerking 'waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen' 34 , dus de vrijstelling blijft niet beperkt tot verwerking waarbij de kans gering is dat zij een groot risico inhoudt voor de rechten en vrijheden van betrokkenen. Conform overweging 75 moet bij het beoordelen van het risico voor de rechten en vrijheden van betrokkenen rekening worden gehouden met zowel de waarschijnlijkheid als de ernst van het risico.

GLYPH<UNKNOWN> de verwerking wordt uitgevoerd door 'een overheidsinstantie of overheidsorgaan'.

Of een buiten de Unie gevestigde entiteit als 'overheidsinstantie of overheidsorgaan' kan worden aangemerkt, moet concreet en per geval door de toezichthoudende autoriteiten worden beoordeeld 35 . Het EDPB merkt op dat het aantal zaken waarbij een overheidsinstantie of overheidsorgaan in een derde land goederen of diensten aanbiedt aan betrokkenen in de Unie of hun gedrag in de Unie monitort, gezien de aard van hun taken en missies waarschijnlijk beperkt is.

c) Vestiging in een van de lidstaten waar zich de betrokkenen bevinden wier persoonsgegevens worden verwerkt

Artikel 27, lid 3, luidt: 'De vertegenwoordiger is gevestigd in een van de lidstaten waar zich de betrokkenen bevinden wier persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt, of wier gedrag wordt geobserveerd.' Wanneer een significant deel van de betrokkenen wier persoonsgegevens worden verwerkt, zich in één specifieke lidstaat bevindt, is het volgens het EDPB als goede praktijk aan te raden dat de vertegenwoordiger in diezelfde lidstaat is

32 WP29 - Standpuntnota inzake de afwijkingen van de verplichting om een register van de verwerkingsactiviteiten bij te houden krachtens artikel 30, lid 5, van de AVG.

34 Artikel 27, lid 2, onder a), van de AVG.

35 In de AVG wordt niet gedefinieerd wat een 'overheidsinstantie of overheidsorgaan' is. Het EDPB is van mening dat dit op grond van de nationale wetgeving moet worden bepaald. Overheidsinstanties en overheidsorganen kunnen dus nationale, regionale en lokale instanties zijn, maar het concept omvat op grond van de toepasselijke nationale wetgeving gewoonlijk ook allerlei andere publiekrechtelijke organen.

gevestigd. De vertegenwoordiger moet echter gemakkelijk toegankelijk blijven voor betrokkenen in lidstaten waar hij niet is gevestigd en waar de diensten of goederen worden aangeboden of het gedrag wordt gemonitord.

Het EDPB bevestigt dat het criterium voor de vestiging van de vertegenwoordiger in de Unie de locatie is van de betrokkenen wier persoonsgegevens worden verwerkt. De plaats van de verwerking is hier, ook als deze door een in een andere lidstaat gevestigde verwerker wordt uitgevoerd, niet relevant voor het bepalen van de locatie van de vestiging van de vertegenwoordiger.

Voorbeeld 25: Een Indiaas farmaceutisch bedrijf zonder bedrijfsaanwezigheid of vestiging in de Unie dat onder de AVG valt op grond van artikel 3, lid 2, geeft opdracht tot klinische proeven die door onderzoekers (ziekenhuizen) in België, Luxemburg en Nederland worden uitgevoerd. Het grootste deel van de patiënten die aan de klinische proeven deelnemen, bevindt zich in België.

Als verwerkingsverantwoordelijke moet het Indiase farmaceutische bedrijf een vertegenwoordiger in de Unie aanwijzen die is gevestigd in een van de drie lidstaten waar patiënten (als betrokkenen) deelnemen aan de klinische proeven (België, Luxemburg of Nederland). Omdat de meeste patiënten inwoners van België zijn, is een in België gevestigde vertegenwoordiger aan te raden. De vertegenwoordiger in België moet dan echter wel gemakkelijk toegankelijk zijn voor betrokkenen en toezichthoudende autoriteiten in Nederland en Luxemburg.

In dit specifieke geval kan de vertegenwoordiger in de Unie de juridische vertegenwoordiger van de opdrachtgever in de Unie zijn, op grond van artikel 74 van Verordening (EU) 536/2014 betreffende klinische proeven, mits deze niet namens de opdrachtgever van de klinische proeven optreedt als verwerker, mits deze in een van de drie lidstaten is gevestigd, en mits beide functies onder elk rechtskader vallen en in overeenstemming daarmee worden uitgevoerd.

c) Verplichtingen en verantwoordelijkheden van de vertegenwoordiger

De vertegenwoordiger in de Unie handelt namens de verwerkingsverantwoordelijke of verwerker die hij vertegenwoordigt met betrekking tot diens verplichtingen op grond van de AVG. Daarbij gaat het voornamelijk om de verplichtingen in verband met de uitoefening van de rechten van betrokkenen, en met betrekking daartoe moeten, zoals reeds genoemd, de identiteit en contactgegevens van de vertegenwoordiger aan betrokkenen worden verstrekt overeenkomstig de artikelen 13 en 14. Hoewel de vertegenwoordiger zelf niet verantwoordelijk is voor de naleving van de rechten van betrokkenen, moet hij het wel contact tussen de betrokkenen en de vertegenwoordigde verwerkingsverantwoordelijke of verwerker mogelijk maken, zodat de betrokkenen hun rechten effectief kunnen uitoefenen.

Op grond van artikel 30 houdt de vertegenwoordiger van de verwerkingsverantwoordelijke of verwerker een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Het EDPB is van mening dat, ondanks dat het houden van dit register een verplichting is die geldt voor zowel de verwerkingsverantwoordelijke of verwerker als de vertegenwoordiger, de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker verantwoordelijk is voor de primaire inhoud en het bijwerken van het register, en dat deze zijn vertegenwoordiger tegelijkertijd moet voorzien van alle nauwkeurige en actuele informatie, zodat de vertegenwoordiger het register op ieder moment bij kan houden en beschikbaar kan stellen. Tegelijkertijd is het de eigen verantwoordelijkheid van de vertegenwoordiger om het te kunnen verstrekken conform artikel 27, bijvoorbeeld wanneer hij wordt benaderd door een toezichthoudende autoriteit, zoals genoemd in artikel 27, lid 4.

Zoals verduidelijkt in overweging 80 moet de vertegenwoordiger zijn taken ook verrichten volgens het van de verwerkingsverantwoordelijke of de verwerker ontvangen mandaat, en moet hij onder meer

samenwerken met de bevoegde toezichthoudende autoriteiten met betrekking tot alle maatregelen die ter naleving van deze verordening worden genomen. In de praktijk betekent dit dat een toezichthoudende autoriteit contact opneemt met de vertegenwoordiger over een kwestie in verband met de nalevingsverplichtingen van een buiten de Unie gevestigde verwerkingsverantwoordelijke of verwerker, en dat de vertegenwoordiger iedere informatie- of procedurele uitwisseling tussen een verzoekende toezichthoudende autoriteit en een buiten de Unie gevestigde verwerkingsverantwoordelijke of verwerker mogelijk moet kunnen maken.

De vertegenwoordiger in de Unie moet dus, zo nodig met hulp van een team, in staat zijn efficiënt te communiceren met betrokkenen en samen te werken met de betrokken toezichthoudende autoriteiten. Dat houdt in dat deze communicatie in beginsel moet plaatsvinden in de taal of talen die de toezichthoudende autoriteiten en de betreffende betrokkenen gebruiken, of dat de vertegenwoordiger, als dat onevenredig veel moeite zou kosten, andere middelen en technieken moet gebruiken om effectieve communicatie te waarborgen. De beschikbaarheid van een vertegenwoordiger is daarom cruciaal om te waarborgen dat betrokkenen en toezichthoudende autoriteiten gemakkelijk contact kunnen leggen met de verwerkingsverantwoordelijke of verwerker buiten de EU. Overeenkomstig overweging 80 en artikel 27, lid 5, heeft de aanwijzing van een vertegenwoordiger in de Unie geen invloed op de verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke of van de verwerker uit hoofde van de AVG en doet deze niet af aan de mogelijkheid om tegen de verwerkingsverantwoordelijke of de verwerker zelf vorderingen in te stellen. In de AVG wordt geen vervangende aansprakelijkheid van de vertegenwoordiger vastgesteld in plaats van de verwerkingsverantwoordelijke of verwerker die hij in de Unie vertegenwoordigt.

Opgemerkt zij echter dat het concept van de vertegenwoordiger is ingevoerd met als doel om het contact met verwerkingsverantwoordelijken en verwerkers die onder artikel 3, lid 2, van de AVG vallen, gemakkelijker te maken en de effectieve uitvoering van de AVG ten opzichte van hen te waarborgen. Het was dan ook de bedoeling dat toezichthoudende autoriteiten uitvoeringsprocedures konden instellen via de vertegenwoordiger die door de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker is aangewezen. Daaronder valt ook de mogelijkheid voor toezichthoudende autoriteiten om de vertegenwoordiger aan te spreken op aan de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker opgelegde corrigerende maatregelen of administratieve geldboeten, overeenkomstig artikel 58, lid 2, en artikel 83 van de AVG. De mogelijkheid om een vertegenwoordiger rechtstreeks aansprakelijk te stellen, is echter beperkt tot diens in artikel 30 en artikel 58, lid 1, van de AVG genoemde rechtstreekse verplichtingen.

Het EDPB benadrukt verder dat artikel 50 van de AVG met name ten doel heeft de uitvoering van wetgeving in verband met derde landen en internationale organisaties te faciliteren, en dat er momenteel wordt nagedacht over de ontwikkeling van verdere internationale samenwerkingsmechanismen met betrekking daartoe.

Footnotes

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
G29 WP 169 - Advies 1/2010 over de begrippen 'voor de verwerking verantwoordelijke' en 'verwerker', goedgekeurd op 16 februari 2010; wordt momenteel herzien door het EDPB.
De definitie van 'hoofdvestiging' is vooral relevant voor het bepalen van de competentie van de betrokken toezichthoudende autoriteiten op grond van artikel 56 van de AVG. Zie de Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker van de WP 29 (16/NL WP 244 rev.01) - goedgekeurd door het EDPB.
Zie in het bijzonder Google Spain SL, Google Inc. tegen AEPD, Mario Costeja González (C-131/12), Weltimmo tegen NAIH (C-230/14), Verein für Konsumenteninformation tegen Amazon EU (C-191/15) en Wirtschaftsakademie Schleswig-Holstein (C-210/16) .
13 G29 Actualisering van WP 179 - Actualisering van advies 8/2010 over toepasselijk recht in het licht van het arrest van het HvJ-EU in de zaak Google Spain, 16 december 2015. 14 HvJ-EU, Google Spain, zaak C -131/12.
Zie in het bijzonder punt 29 van het Weltimmo-arrest, waarin een flexibele definitie van het begrip 'vestiging' wordt benadrukt en waarin wordt verduidelijkt dat 'zowel de mate van duurzaamheid van de vestiging als het daadwerkelijk uitoefenen van de activiteiten in die andere staat [moet] worden beoordeeld, waarbij rekening wordt gehouden met de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening'.
G29 Actualisering van WP 179 - Actualisering van advies 8/2010 over toepasselijk recht in het licht van het arrest van het HvJ-EU in de zaak Google Spain, 16 december 2015.
G29 WP 169 - Advies 1/2010 over de begrippen 'voor de verwerking verantwoordelijke' en 'verwerker', goedgekeurd op 16 februari 2010; wordt momenteel herzien door het EDPB.
G29 WP 244 rev.1, 13 december 2016, Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker - goedgekeurd door het EDPB.
Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij.
Zie in het bijzonder HvJ-EU, C-352/85, Bond van Adverteerders en anderen tegen Staat der Nederlanden, 26 april 1988, punt 16, en HvJ-EU, C-109/92, Wirth [1993] Racc. I-6447, punt 15.
Verordening (EG) nr. 44/2001 van de Raad van 22 december 2000 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken.
Het is des te relevanter dat, op grond van artikel 6 van Verordening (EG) nr. 593/2008 van het Europees Parlement en de Raad van 17 juni 2008 inzake het recht dat van toepassing is op verbintenissen uit overeenkomst (Rome I), bij gebreke van rechtskeuze dit criterium van het richten van activiteiten op het land waar de consument zijn gewone verblijfplaats heeft, in aanmerking wordt genomen om het recht van dat land als het op de overeenkomst toepasselijke recht aan te wijzen.
http://legal.un.org/ilc/texts/instruments/english/conventions/9\_1\_1961.pdf
WP29 - Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), WP 243 rev.01 - goedgekeurd door het EDPB.
WP29 - Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), WP 243 rev.01 - goedgekeurd door het EDPB.
WP 29 -Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), goedgekeurd op 13 december 2016, laatstelijk herzien op 5 april 2017, WP 243 rev.01 - goedgekeurd door het EDPB.

References

Hoge Raad - rechten van betrokkenen - 15/03380