Een ambiguďteit in de GDPR: Bent u vanaf 25 mei 2018 ook/nog een “verwerker” van persoonsgegevens?

Een ambiguïteit in de GDPR: Bent u vanaf 25 mei 2018 ook/nog een “verwerker” van persoonsgegevens?

17 november 2017

Vanaf 25 mei 2018 verbindt de General Data Protection Regulation (“GDPR”) diverse nieuwe verplichtingen aan de verwerking van persoonsgegevens. Vele van die verplichtingen worden  verbonden aan de hoedanigheid van “verwerker”. De hoedanigheid van verwerker lijkt in de GDPR - in vergelijking met de huidige wetgeving - (mogelijks) een alternatieve invulling te verkrijgen. Bent u als zijnde ambtenaar (bv. gemeente- of OCMW-secretaris), werknemer, feitelijke vereniging ... vanaf 25 mei 2018 ook/nog een verwerker?

De huidige wetgeving, de Wet Verwerking Persoonsgegevens (“Privacywet”), omschrijft een verwerker als volgt:

“Art. 1, §5 Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.”

De GDPR omschrijft een verwerker als volgt:

“Art. 4, 8) verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;”

Bewust of niet, de GDPR - die vanaf 25 mei 2018 rechtstreeks van toepassing is in onze rechtsorde -  voorziet niet (expliciet) dat “feitelijke verenigingen” verwerkers zijn noch dat personen die “onder rechtstreeks gezag” persoonsgegevens verwerken geen verwerkers zijn.

Op basis van artikel 4, 8) GDPR zou beargumenteerd kunnen worden dat diverse ambtenaren (bv. gemeente- of OCMW-secretarissen) en werknemers - die (steeds) “onder het gezag van” handelen - aanschouwd dienen te worden als verwerker. Zij zouden alzo met diverse nieuwe verplichtingen  (bv. het nemen van passende technische- en organisatorische maatregelen, het onder bepaalde omstandigheden bijhouden van een register, het sluiten van een welbepaalde overeenkomst met de verwerkingsverantwoordelijke ...) én (eventuele) sancties/aansprakelijkheden geconfronteerd worden.

Hoe die laatst vernoemde aansprakelijkheden zich dan zouden verhouden met andere aansprakelijkheidsregimes (bv. artikel 18 Wet betreffende de Arbeidsovereenkomsten, artikel 72 Gemeentedecreet of de Wet betreffende de aansprakelijkheid van en voor personeelsleden in dienst van openbare rechtspersonen) lijkt voer voor discussie.

Er zou echter (tegen) beargumenteerd kunnen worden dat de artikelen 4, 10) en 29 GDPR de verwerker én de personen die “onder rechtstreeks gezag” handelen nog wel apart vernoemen én daardoor een (mogelijke) gelijkschakeling van die hoedanigheden geenszins de intentie van de Europese wetgever lijkt.

Wij hopen/verwachten echter dat de wetgevende of rechterlijke macht (op korte termijn) duidelijkheid stelt inzake voormelde ambiguïteit in de GDPR.

Auteur: Willem Mariën

Meer info? 
Contacteer Willem Mariën

Advocaat
t 015/40 49 40 of willem.marien@gdena-advocaten.be

Contacteer Cies Gysen
Advocaat-vennoot 
t 015/40 49 40 of cies.gysen@gdena-advocaten.be