De Franse privacy-toezichthouder CNIL publiceerde in januari 2022 een oplossing voor verwerkers die de persoonsgegevens die zij verwerken voor een opdrachtgever willen hergebruiken voor eigen doeleinden. Gezien de samenwerking tussen de Europese toezichthouders en de manier waarop zij in Europees verband de AVG uniform toepassen, zal deze handreiking ook voor Nederland handzaam zijn. In dit artikel zetten wij de hoogtepunten van de richtlijnen van de CNIL voor u op een rij.
Verwerker en verwerkingsverantwoordelijke
Kenmerk van een verwerker is dat hij gegevens verwerkt in opdracht van een verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke (hierna: opdrachtgever) bepaalt het doel en de middelen van de verwerking. Verwerker mag de gegevens dus uitsluitend verwerken volgens de door de opdrachtgever verstrekte instructies en in beginsel enkel voor de door opdrachtgever bepaalde doeleinden.
De afspraken tussen verwerker en opdrachtgever hierover dienen op grond van art. 28 AVG schriftelijk te worden vastgelegd in een verwerkersovereenkomst. Wijkt de verwerker af van de afspraken, dan overtreedt hij daarmee de AVG. In de situatie dat verwerker overgaat tot hergebruiken van persoonsgegevens wordt hij op grond van art. 28 lid 10 AVG zélf als verwerkingsverantwoordelijke aangemerkt.
Hergebruik van persoonsgegevens door de verwerker
Een voorbeeld van hergebruik door de verwerker is het gebruik van de door de opdrachtgever aan hem toevertrouwde persoonsgegevens voor intern beheer (management-informatie) of voor productontwikkeling. Daarbij is het in veel gevallen onvermijdelijk dat persoonsgegevens worden verwerkt. De positie van de verwerker verschiet dan van kleur en hij wordt in deze situatie dus (ook) zelf verwerkingsverantwoordelijke.
Richtlijnen CNIL bij hergebruik door de verwerker
De Franse privacy-toezichthouder heeft onlangs voor die situatie de volgende richtsnoeren gepubliceerd:
- De door de verwerker voorgenomen verwerking mag “niet onverenigbaar” zijn met het doel waarvoor de opdrachtgever de gegevens oorspronkelijk heeft verkregen;
- De opdrachtgever moet vooraf toetsen of sprake is van “niet onverenigbaar” gebruik en moet tevens toestemming geven voor het hergebruik;
- De afspraken moeten schriftelijk worden vastgelegd; en
- De verwerker wordt vervolgens verwerkingsverantwoordelijke voor die verwerkingen en moet aan alle eisen die de AVG daaraan stelt voldoen.
De richtlijnen gaan daarnaast kort in op wettelijke verplichtingen tot informatieverstrekking (op basis van Europese wetgeving of Verdragen) die op de verwerker rusten, waarbij de verwerker zelf beslist of en hoe hij aan die verplichting voldoet. Gaat verwerker over tot informatieverstrekking, dan moet hij de opdrachtgever daarover voorafgaand informeren (art. 28 lid 3 sub a AVG). In dat geval is geen sprake van overtreding van de AVG door de verwerker.
De CNIL-richtlijnen geven helaas geen duidelijkheid over de praktische aspecten van het gebruik van persoonsgegevens door de verwerker wanneer hij zich in een conflict met de opdrachtgever, de betrokkene of een derde moet verweren tegen claims. Ook over de situaties waarin verwerker gebruikmaakt van zijn retentierecht bij wanbetaling of besluit om gegevens te bewaren met het oog op mogelijke claims geven de richtlijnen geen duidelijkheid. Op dit gebied is dan ook verduidelijking wenselijk.
Treedt uw bedrijf op als verwerker
Treedt uw bedrijf op als verwerker? Ga dan tijdig na welk “eigen gebruik” voor u van belang is of kan worden. In dit kader is relevant om na te gaan dit eigen gebruik onder de contractueel vast te leggen verwerkersactiviteiten kan worden gebracht. Zo niet dan zal moeten worden bezien of u hierover aanvullende afspraken kan maken met de opdrachtgever.
Meer weten over dit onderwerp? Neem vrijblijvend contact op met een van de leden van het privacy team van VDB Advocaten.