Home

Welke toezichthoudende autoriteit zal op uw organisatie toezien onder de AVG?

Met 28 Lidstaten van de Europese Unie (27 na Brexit) lijkt het eenvoudig om vast te stellen welke toezichthoudende autoriteit bevoegd is om toe te zien op de activiteiten van uw organisatie, wanneer deze handelt als verwerkingsverantwoordelijke. Dat zal de autoriteit in het land van vestiging zijn, nietwaar? Het ligt echter iets ingewikkelder dan dat. In dit artikel informeren we u over het toezichtlandschap sinds de Algemene Verordening Gegevensbescherming, of AVG, op 25 mei van kracht is geworden.

Er zijn twee Europese organen die op het eerste gezicht relevant lijken. De eerste is de Europese Toezichthouder voor gegevensbescherming, of EDPS. Maar dit is de toezichthouder voor Europese institutionele gegevensverwerkingen, en zal dat blijven. Hoewel deze een aantal samenwerkende en coördinerende verantwoordelijkheden heeft, is het onwaarschijnlijk dat u ooit met de jurisdictie van de EDPS te maken krijgt, tenzij u bent verbonden aan een van de EU-instellingen of -organen.

De tweede instelling is het Europees Comité voor gegevensbescherming of ECG (art. 68), de opvolger van de Article 29 Working Party. De laatste had als taak de universele toepassing van de ‘oude’ privacyrichtlijn te bevorderen (95/46). Op 25 mei zal de ECG de Groep vervangen, met als doel het consistent toepassen van de AVG door heel de EU. De EDPS zal het secretariaat van de ECG herbergen, en zal ook haar onderzoekswerkzaamheden ondersteunen.

Lidstaten behouden hun bestaande toezichthoudende autoriteiten, welke onder de AVG als leidende toezichthoudende autoriteit, of LTA, mogen optreden. Er wordt besloten welke toezichthoudende autoriteit als LTA handelt door te bepalen welke enkele vestiging of hoofdvestiging de grensoverschrijdende verwerkingen uitvoert (art. 56 par. 1 AVG). De LTA is het enige aanspreekpunt voor de verwerkingsverantwoordelijke wat betreft zijn grensoverschrijdende gegevensverwerkingen (art. 56 par. 6 AVG).

Uitzonderingen op dit beleid zijn organisaties die handelen op basis van de verwerkingsgronden uit art. 6(c) en (e) AVG, waarmee wordt bedoeld dat een wettelijke plicht wordt nageleefd of een publieke taak wordt uitgevoerd. Hun LTA zal de betreffende autoriteit zijn van het land van de wettelijke verplichting of publieke taak (art. 55 par. 2 AVG). Toezichthoudende autoriteiten hebben geen bevoegdheid over rechtbanken die persoonsgegevens verwerken in hun gerechtelijke capaciteit (art. 55 par. 3 AVG).

Wanneer een klacht uitsluitend een verwerking betreft in een andere Lidstaat dan die waar de hoofdvestiging van de verwerkingsverantwoordelijke is gesitueerd, kan de toezichthoudende autoriteit van de eerdere Lidstaat actie ondernemen (art. 56 par. 2 AVG). Deze licht op zijn beurt de LTA in, en de LTA beslist of hij de leiding neemt (art. 56 par. 3 AVG). In het geval van onenigheid tussen toezichthoudende autoriteiten, de LTA inbegrepen, neemt de ECG de uiteindelijke beslissing (art. 65 AVG).

Richtsnoeren voor alle concepten die relevant zijn om te bepalen welke toezichthoudende autoriteiten inspraak hebben in uw verwerkingen, kunnen worden gevonden in een richtlijn-document van de Groep uit Artikel 29, dat u hier kunt vinden. Voor uw organisatie is het belangrijk om te weten dat forum shopping verboden is, en dat toezichthoudende autoriteiten de mogelijkheid hebben om hun jurisdictie vast te stellen op basis van objectieve criteria.

 


Laurens Mommers
COO PrivacyPerfect