Weet jij al wat de hoofdvestiging van jouw organisatie is?

Toen in januari 2012 de toenmalige Eurocommissaris voor Justitie, Viviane Reding, de Algemene verordening gegevensbescherming (AVG) presenteerde, noemde zij als één van de grootste voordelen dat deze nieuwe verordening ertoe zou leiden dat organisaties voortaan nog maar met één toezichthouder te maken zullen hebben; een echte one stop-shop.

De toezichthouder voor jouw organisatie 

In de uiteindelijke versie van de AVG, die nu alweer bijna een half jaar van toepassing is, zijn de wettelijke bepalingen voor deze one stop-shop - in het Nederlands vertaald naar één loketfunctie - vastgelegd in hoofdstukken zes en zeven. De idee is in feite heel simpel; als jouw organisatie in Europa een vestiging heeft, dan mag je gebruikmaken van de one stop-shop en is maar één toezichthouder jouw gesprekspartner (ook wel de leidende toezichthouder of lead DPA genoemd).

Enorm voordeel dus, omdat je niet met 28, maar slechts één toezichthouder te maken hebt, bijvoorbeeld ten aanzien van de meldplicht datalekken en de voorafgaande raadpleging. Maar hoe bepaal je nou wie jouw one stop-shop is?

De hoofdvestiging van jouw organisatie volgens de AVG

Welke toezichthouder jouw enige gesprekspartner is, hangt af van de locatie van de hoofdvestiging van jouw organisatie. En om te bepalen wat de hoofdvestiging is, zegt de AVG, moet je kijken naar waar de centrale administratie is gevestigd. Tenzij beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging in de EU worden genomen en deze vestiging gemachtigd is de beslissingen uit te voeren, in dat geval is deze laatste vestiging de hoofdvestiging.

Dit kan dan dus betekenen, zo beamen ook de toezichthouders in hun opinie over het onderwerp, dat het weleens kan verschillen per verwerkingsactiviteit welke vestiging jouw hoofdvestiging is. Wat vervolgens weer betekent dat je dus te maken kan krijgen met verschillende toezichthouders, afhankelijk van de verwerking die je verricht. Dit lijkt de one stop-shop van Reding enigszins af te zwakken. Maar kan nog steeds wel voordelen en gemak bieden, omdat het dan in ieder geval duidelijk is welke van de 28 toezichthouders jouw enige gesprekspartner is voor die activiteit.

Echter, bovenstaande gaat ervanuit dat internationaal opererende organisaties (o.a. multinationals) een dusdanig duidelijke bedrijfsstructuur hebben dat helder is waar de centrale administratie is, dan wel dat ze precies weten waar beslissingen worden genomen over de verwerking van persoonsgegevens en de macht ligt om deze te implementeren. 

De praktijk is veel weerbarstiger. Zelfs met de extra criteria die de toezichthouders in de opinie hebben aangedragen, zoals de locatie van de directeur of de plaats waar een organisatie in de Kamer van Koophandel is geregistreerd, is het vanwege de complexiteit van veel organisaties nog steeds moeilijk om de hoofdvestiging(en) aan te wijzen. 

Hoofdvestiging volgens de toezichthouder 

Ook de toezichthouders geven toe dat in grensgevallen en in complexe situaties er geen oplossing wordt geboden door de AVG. In zo'n geval geven de toezichthouders aan dat ze het criterium "waar de macht ligt om beslissingen ten aanzien van het verwerken van persoonsgegevens te implementeren en hiervoor de aansprakelijkheid te dragen", het belangrijkste vinden voor het aanwijzen van de hoofdvestiging.

De toezichthouders hebben aangegeven dat het aan organisaties is om hun hoofdvestiging te identificeren en daarmee hun leidende toezichthouder. Mocht jij werkzaam zijn bij een organisatie die internationaal opereert of meerdere vestigingen heeft de EU en jij wilt weten wat jouw hoofdvestiging is, neem dan gerust contact op met Considerati.