Artikel 29 Werkgroep wijst ons de juiste richting; uitleg begrippen verantwoordelijke en bewerker
Opinion 1/2010 on the concepts of "controller" and "processor"
In 2001 is de Wet bescherming persoonsgegevens (hierna: Wbp) in werking getreden. De Wbp bevat het juridisch kader voor de verwerking van persoonsgegevens en vormt de implementatie van de Europese richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, 95/46/EG (hierna: 'richtlijn'). Evenals de richtlijn, zijn de bepalingen van de Wbp zoveel mogelijk technologie neutraal geformuleerd. Dit om te voorkomen dat de snelle ontwikkelingen op technologisch gebied in de weg zouden staan aan de interpretatie en naleving van deze regels.
In de bijna 10 jaar dat nu in de praktijk met de Wbp wordt gewerkt blijkt echter dat door de huidige technologische ontwikkelingen het toch, ondanks de neutrale formulering, vaak lastig is te bepalen welke partij de verantwoordelijke is of hoe de onderlinge verhoudingen moeten worden gekwalificeerd.
Dit zorgt in de praktijk voor een groot risico. Wanneer namelijk niet duidelijk is welke partij zich aan de verplichtingen moet houden, bestaat de kans dat geen van de partijen dit doet. Het niet naleven van de wettelijke bepaling heeft tot gevolg dat de beoogde bescherming achterwege blijft. Om dit risico te beperken heeft het adviesorgaan van de Europese Commissie met betrekking tot de implementatie van de privacyrichtlijn, de Artikel 29 Werkgroep (hierna: Werkgroep) op 16 februari jongstleden de opinie "1/2010 on the concepts of 'controller' and 'processor'." (hierna: Opinie), bekend gemaakt met daarin een uiteenzetting van deze begrippen, in de Wbp vertaald als 'verantwoordelijke' en 'bewerker'. Dit zijn twee centrale begrippen in de richtlijn, en derhalve ook in de Wbp.
Allereerst het begrip verantwoordelijke. Het begrip verantwoordelijke is opgenomen in artikel 1 onder d Wbp en luidt: "de verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt".
Duidelijkheid is geboden bij dit begrip nu vrijwel alle verplichtingen die voortvloeien uit de Wbp rusten op de partij die kwalificeert als verantwoordelijke. Zo wordt ondermeer aan de hand van de locatie van de verantwoordelijke bepaald welk nationaal recht van toepassing is op de verwerking van de persoonsgegevens (artikel 4 Wbp). Daarnaast worden de verplichtingen die zijn opgenomen in de eerste artikelen van de Wbp zelfs expliciet opgelegd aan de verantwoordelijke (artikel 15 Wbp), het is de verantwoordelijke die zorg draagt voor naleving van de wettelijke verplichtingen. Maar niet alleen naleving van deze algemene verplichtingen valt onder de verantwoordelijkheid van de verantwoordelijke, ook verplichtingen met betrekking tot melden van de verwerking en een eventueel voorafgaand onderzoek rusten op de verantwoordelijke. Het is ook de verantwoordelijke die in beginsel aansprakelijk is voor geleden schade door een niet zorgvuldige verwerking van de persoonsgegevens.
De Werkgroep beschrijft in haar Opinie drie te onderscheiden onderdelen in de definitie. Aan de hand van deze onderdelen wordt bepaald of een partij kwalificeert als verantwoordelijke. Het eerste belangrijke deel ziet op de laatste zin van de definitie, welke partij het doel van en de middelen voor de verwerking van persoonsgegeven vaststelt. Daarbij gaat het om een feitelijke analyse van de situatie, niet enkel om een formeel-juridische vaststelling. De Werkgroep geeft aan dat op basis van verschillende gronden de verantwoordelijke partij kan worden vastgesteld. Zo kan er een expliciete wettelijke basis bestaan, maar het kan ook voortvloeien uit een functionele rolverdeling tussen partijen welke wordt beheerst door bijvoorbeeld civiel recht of arbeidsrecht. Wanneer echter een van deze gronden ontbreekt kan aan de hand van een analyse van de contractuele relatie tussen partijen worden bepaald wie de verantwoordelijke is. Een rolverdeling tussen de verantwoordelijke en de bewerker in een contract is hierbij dan een aanknopingspunt. Dit zal niet altijd doorslaggevend zijn, de feitelijke omstandigheden spelen hierbij een belangrijke rol. Dit werd duidelijk in de SWIFT case. Contractueel was duidelijk gemaakt welke partij de verantwoordelijke en welke partij de bewerker was. Desalniettemin oordeelde de Werkgroep dat SWIFT, hoewel deze op grond van het contract bewerker was, toch als verantwoordelijke kwalificeerde nu SWIFT zelfstandig besliste over de doorgifte van persoonsgegevens. Wanneer aannemelijk is dat de contractuele afspraken een goede afspiegeling zijn van de werkelijkheid zal het contract volgens de Werkgroep wel als uitgangspunt gelden. Bij dergelijke afspraken is het volgens de Werkgroep raadzaam om als verantwoordelijke te controleren of de bewerker zich aan de opdracht houdt en zich niet de facto meer bevoegdheden toekent.
Het volgende te onderscheiden element van de definitie is het onderdeel dat bepaalt wat of wie de verantwoordelijke kan zijn; de natuurlijke persoon, rechtspersoon of het bestuursorgaan. Zeker voor grotere organisatie is dit een belangrijk onderdeel. Voor het handelen in het kader van de verwerking van persoonsgegevens is het van belang dat wanneer door een natuurlijk persoon wordt gehandeld deze persoon de bevoegdheid heeft om dit namens de rechtspersoon of het bestuursorgaan te doen. Daarnaast is het van belang dat de handelingen binnen het kader van de verwerking passen. Het risico bestaat dat de natuurlijk persoon zelf als verantwoordelijke kwalificeert op het moment dat de verrichte handelingen niet binnen dit kader vallen of wanneer de persoon niet bevoegd is te handelen namens de rechtspersoon of het bestuursorgaan. Dit heeft tot gevolg dat alle verplichtingen met betrekking tot die verwerking bij de natuurlijke persoon liggen. Hierbij kan gedacht worden aan een werknemer die zelfstandig, in strijd met het bedrijfsbeleid, over gaat tot het monitoren van werknemers. Nu dit niet valt binnen het kader waarvoor het bedrijf de gegeven verwerkt zal deze verwerking als zelfstandige verwerking worden gekenmerkt en kwalificeert de werknemer die overgaat tot het monitoren als verantwoordelijke. Vooral binnen grote concerns is het van belang dat dus duidelijk wordt vastgelegd wat het beleid is met betrekking tot de verwerking van persoonsgegevens.
Als laatste element wordt door de Werkgroep aangegeven dat er sprake kan zijn van verschillende vormen van verantwoordelijkheid. Hierbij kan gedacht worden aan gezamenlijke verantwoordelijkheid, maar ook valt te denken aan verantwoordelijkheid van deelnemende partijen waarbij iedere partij verantwoordelijk is voor zijn deelverwerking. Er zijn verschillende mogelijkheden waar ook verschillende vormen van aansprakelijkheid bij horen. Het is van belang, zeker bij ingewikkelde processen, dat de onderlinge verhoudingen tussen partijen goed worden uitgekristalliseerd en dat partijen dit onderling duidelijk vastleggen.
Met betrekking tot de bewerker merkt de Werkgroep op dat of een partij kwalificeert als bewerker afhankelijk is van de concrete werkzaamheden die worden verricht in een specifiek geval ten behoeve van een verantwoordelijke.
Deze Opinie biedt een handvat voor de implementatie van de privacyregelgeving in de steeds aan technologische verandering onderhevige maatschappij. Het blijft een ingewikkelde puzzel om alle partijen op de juiste manier te kwalificeren en dit ook op een juiste manier vast te leggen, maar met deze Opinie van de Werkgroep worden we weer de goede richting op gewezen.