GDPR regelt grensoverschrijdende verwerkingen van persoonsgegevens
Wanneer er een grensoverschrijdende verwerking van persoonsgegevens wordt uitgevoerd, zal de Algemene Verordening Gegevensbescherming of GDPR de leidende toezichthoudende autoriteit aanduiden. Dit is de autoriteit die de voornaamste verantwoordelijkheid zal hebben bij dergelijke verwerkingen.
Er is sprake van een grensoverschrijdende verwerking van persoonsgegevens wanneer:
- de verwerking geschiedt binnen de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of verwerker die in meer dan één lidstaat gevestigd is;
- de verwerking geschiedt binnen de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor de betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden in meer dan één lidstaat.
Wie de leidende toezichthoudende autoriteit is, hangt af van de ligging in de EU van de hoofdvestiging (of enige vestiging) van de verwerkingsverantwoordelijke of verwerker. In principe is dit de vestiging waar de centrale administratie zich bevindt (art.4, 16° GDPR).
In gevallen die zowel de verwerkingsverantwoordelijke als de verwerker betreffen, is de leidende toezichthoudende autoriteit die van de verwerkingsverantwoordelijke. Indien de verwerker een andere leidende toezichthoudende autoriteit heeft, wordt die wel een ‘betrokken toezichthoudende autoriteit’.
Een toezichthoudende autoriteit kan ‘betrokken’ zijn wanneer:
- de verwerkingsverantwoordelijke of de verwerker zich op het grondgebied van haar lidstaat bevindt;
- de betrokkenen die in haar lidstaat verblijven door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;
- bij haar een klacht werd ingediend.
De betrokken toezichthoudende autoriteit kan beslissen om een zaak te behandelen wanneer de leidende toezichthoudende autoriteit besloten heeft om dit niet te doen.
Dit bericht is een samenvatting/vertaling van een aanbeveling van de Article 29 Data Protection Working Party.
Meer weten.
Bron: Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 119 van 4 mei 2016.