EDPB publiceert lang verwachte richtsnoeren

Op 23 november heeft de European Data Protection Board (EDPB) haar concept richtsnoeren gepubliceerd over de territoriale reikwijdte van de Algemene Verordening Gegevensbescherming (AVG) en meer specifiek over de extraterritoriale werking van de AVG. Niet eerder maakten we mee dat richtsnoeren van de privacy-toezichthouders zoveel opwinding veroorzaakten op sociale media als deze richtsnoeren, die uitleg geven aan artikel 3 AVG.

Richtsnoeren en de AVG 

Eén van de redenen van deze opwinding is dat dit onderwerp van groot belang is, vooral voor multinationals en aanbieders van buiten de EU. De AVG is namelijk niet alleen van toepassing op organisaties die een vestiging in de EU hebben, maar óók op organisaties die geen vestiging hebben in de EU, maar wel goederen en diensten aanbieden aan individuen in de EU of hun gedrag volgen, zolang dit gedrag in de EU plaatsvindt.

Wanneer sprake is van het aanbieden van goederen of diensten of volgen van gedrag volgt niet in alle gevallen duidelijk uit de AVG. In de overwegingen staan wel enkele aanknopingspunten, maar de toezichthouders hebben nu via de richtsnoeren nog meer criteria gegeven. 

Om te spreken van het aanbieden van goederen of diensten, is het enige feit dat een website beschikbaar is vanuit de EU bijvoorbeeld niet voldoende. De EDPB bevestigt dat er daadwerkelijk sprake moet zijn van het 'targeten' van individuen in de EU. Zo zijn de taal van de website, de mogelijke valuta om mee te betalen en meningen van andere klanten uit de EU die op een website worden getoond aanknopingspunten, maar ook lopende marketing campagnes gericht op EU publiek en het daadwerkelijk leveren van goederen op locaties in de EU.

Overigens wordt bevestigd dat de nationaliteit van de betrokken individu niet direct relevant is om te beoordelen of de AVG van toepassing is.

Het volgen van gedrag

Ten aanzien van het volgen van gedrag stelt de EDPB dat niet iedere online verzameling of analyse van persoonsgegevens al moet worden gezien als het volgen van gedrag. Het gaat met name om het doel dat de verantwoordelijke heeft voor het volgen of (her)gebruiken van de persoonsgegevens over het gedrag van het individu. Er moet dus ook daadwerkelijk de intentie zijn om gedrag van individuen in de EU te volgen voor een bepaald doel.

Daarnaast wordt in de richtsnoeren duidelijk gemaakt dat de toepasselijkheid van de AVG los staat van het al dan niet gebruiken van een derde partij in de EU. Het feit dat een verantwoordelijke die niet gevestigd is in de EU gebruikt maakt van een verwerker in de EU, maakt bijvoorbeeld niet dat deze verantwoordelijke onder de AVG valt. De verwerker die is gevestigd in de EU zal zich echter wel aan de verplichtingen uit de AVG die rusten op verwerkers moeten houden.

Andersom geldt hetzelfde, als een verantwoordelijke die gevestigd is in de EU gebruik maakt van een verwerker buiten de EU, maakt dit niet dat de verwerker ook onder de AVG valt. Wel zullen passende waarborgen moeten worden getroffen voor de doorgifte van persoonsgegevens en moet er een verwerkersovereenkomst worden gesloten. 

Een organisatie die valt onder de reikwijdte van de AVG omdat het goederen of diensten aanbiedt of mensen volgt, moet een vertegenwoordiger in de EU aanwijzen. In de richtsnoeren maakt de EDPB duidelijk dat de rol van vertegenwoordiger niet mag samenvallen met die van FG. En dan komt de uitsmijter: de vertegenwoordiger is aansprakelijk, ook indien boetes worden opgelegd!

De vestiging volgens de EDPB 

Ten aanzien van het begrip 'vestiging' stelt de EDPB dat er sprake moet zijn van een stabiele en langdurige vestiging, er moet bijvoorbeeld een kantoor zijn. Maar, zegt de EDPB, aan de eisen van 'vestiging' wordt snel voldaan. Eén werknemer of agent kan voldoende zijn, mits deze wel zeggenschap heeft over gegevensverwerking. Daarnaast kan de vestiging in de EU bepalend kan zijn voor de toepassing van de AVG, ook als de vestiging buiten de EU de belangrijkste beslissingen neemt en binnen de EU alleen bepaalde commerciële activiteiten worden verricht, zoals marketing activiteiten.

Ondanks dat bovenstaande nadere criteria van de EU toezichthouders zeer welkom en behulpzaam zijn in het maken van de afweging of de AVG al dan niet van toepassing is, blijven er situaties bestaan waarin het nog steeds niet volledig duidelijk is.

Eén vraag wordt uiteindelijk echter niet behandeld in de richtsnoeren - en naar verluidt ging daarover het debat in de EDPB - en dat is: Moet een niet in de EU gevestigde verantwoordelijke, die wel onder de AVG valt en zich dus aan alle regels van de AVG houden, zich ook aan de doorgifteregels uit de AVG houden?

Wanneer een in een derde land gevestigde verantwoordelijke namelijk persoonsgegevens van mensen in de EU verwerkt, is er in feite sprake van een doorgifte naar een derde land en zouden dus passende waarborgen getroffen moeten worden. Echter, deze verantwoordelijke is reeds rechtstreeks gebonden aan de AVG, dus waarom zou hij aanvullende eisen moeten voldoen? En zou dit dan betekenen dat hij met zichzelf (de ontvanger in het derde land) afspraken moet maken?

Heb je vragen heeft over de betekenis van de (concept)richtsnoeren voor jouw organisatie of over de toepasselijkheid van de AVG op jouw organisatie, neem dan direct contact met ons op!

Deze blog is geschreven door Hielke Hijmans en Dominique Hagenauw