Hergebruik van persoonsgegevens door de verwerker – nieuwe richtlijnen CNIL
home
blog
Hergebruik van persoonsgegevens door de verwerker – nieuwe richtlijnen CNIL

Hergebruik van persoonsgegevens door de verwerker – nieuwe richtlijnen CNIL

De Franse privacy-toezichthouder CNIL publiceerde in januari 2022 een oplossing voor verwerkers die de persoonsgegevens die zij verwerken voor een opdrachtgever willen hergebruiken voor eigen doeleinden. Gezien de samenwerking tussen de Europese toezichthouders en de manier waarop zij in Europees verband de AVG uniform toepassen, zal deze handreiking ook voor Nederland handzaam zijn. In dit artikel zetten wij de hoogtepunten van de richtlijnen van de CNIL voor u op een rij.

Verwerker en verwerkingsverantwoordelijke

Kenmerk van een verwerker is dat hij gegevens verwerkt in opdracht van een verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke (hierna: opdrachtgever) bepaalt het doel en de middelen van de verwerking. Verwerker mag de gegevens dus uitsluitend verwerken volgens de door de opdrachtgever verstrekte instructies en in beginsel enkel voor de door opdrachtgever bepaalde doeleinden.

De afspraken tussen verwerker en opdrachtgever hierover dienen op grond van art. 28 AVG schriftelijk te worden vastgelegd in een verwerkersovereenkomst. Wijkt de verwerker af van de afspraken, dan overtreedt hij daarmee de AVG. In de situatie dat verwerker overgaat tot hergebruiken van persoonsgegevens wordt hij op grond van art. 28 lid 10 AVG zélf als verwerkingsverantwoordelijke aangemerkt.

Hergebruik van persoonsgegevens door de verwerker

Een voorbeeld van hergebruik door de verwerker is het gebruik van de door de opdrachtgever aan hem toevertrouwde persoonsgegevens voor intern beheer (management-informatie) of voor productontwikkeling. Daarbij is het in veel gevallen onvermijdelijk dat persoonsgegevens worden verwerkt. De positie van de verwerker verschiet dan van kleur en hij wordt in deze situatie dus (ook) zelf verwerkingsverantwoordelijke.

Richtlijnen CNIL bij hergebruik door de verwerker

De Franse privacy-toezichthouder heeft onlangs voor die situatie de volgende richtsnoeren gepubliceerd:

  • De door de verwerker voorgenomen verwerking mag “niet onverenigbaar” zijn met het doel waarvoor de opdrachtgever de gegevens oorspronkelijk heeft verkregen;
  • De opdrachtgever moet vooraf toetsen of sprake is van “niet onverenigbaar” gebruik en moet tevens toestemming geven voor het hergebruik;
  • De afspraken moeten schriftelijk worden vastgelegd; en
  • De verwerker wordt vervolgens verwerkingsverantwoordelijke voor die verwerkingen en moet aan alle eisen die de AVG daaraan stelt voldoen.

De richtlijnen gaan daarnaast kort in op wettelijke verplichtingen tot informatieverstrekking (op basis van Europese wetgeving of Verdragen) die op de verwerker rusten, waarbij de verwerker zelf beslist of en hoe hij aan die verplichting voldoet. Gaat verwerker over tot informatieverstrekking, dan moet hij de opdrachtgever daarover voorafgaand informeren (art. 28 lid 3 sub a AVG). In dat geval is geen sprake van overtreding van de AVG door de verwerker.

De CNIL-richtlijnen geven helaas geen duidelijkheid over de praktische aspecten van het gebruik van persoonsgegevens door de verwerker wanneer hij zich in een conflict met de opdrachtgever, de betrokkene of een derde moet verweren tegen claims. Ook over de situaties waarin verwerker gebruikmaakt van zijn retentierecht bij wanbetaling of besluit om gegevens te bewaren met het oog op mogelijke claims geven de richtlijnen geen duidelijkheid. Op dit gebied is dan ook verduidelijking wenselijk.

Treedt uw bedrijf op als verwerker

Treedt uw bedrijf op als verwerker? Ga dan tijdig na welk “eigen gebruik” voor u van belang is of kan worden. In dit kader is relevant om na te gaan dit eigen gebruik onder de contractueel vast te leggen verwerkersactiviteiten kan worden gebracht. Zo niet dan zal moeten worden bezien of u hierover aanvullende afspraken kan maken met de opdrachtgever.

Meer weten over dit onderwerp? Neem vrijblijvend contact op met onze specialist: Pascal van Boxtel via pascal.van.boxtel@heronlegal.com of via +31 (0)85 30 318 04.

Over de auteur
Pascal van Boxtel

Advocaat

+31 (0)6 213 821 99

pascal.van.boxtel@heronlegal.com

Connect op LinkedIn

terug naar overzicht

Meer over dit onderwerp

Wetswijziging e-mail, sms- en telemarketing

Pascal van Boxtel
Privacy & IT

Vanaf 1 juli 2021 veranderen enkele marketingregels. Dan treedt een wijziging van de Telecommunicatiewet (Tw) in werking. De structuur van het huidige artikel 11.7 Tw, dat ziet op telemarketing, wordt gewijzigd. De belangrijkste verandering betreft de regels voor telemarketing met menselijke tussenkomst: de welbekende telefonische marketinggesprekken. Het Bel-me-niet Register, met bijna 10 miljoen telefoonnummers, wordt afgeschaft en ‘cold calling’ (het benaderen van consumenten die nog geen bekenden zijn van de verkopende organisatie) is niet langer toegestaan. Wie telefonisch contact wil leggen met een prospect, moet daarvoor van tevoren diens toestemming hebben gekregen. We gaan dus van een opt-out systeem over op een opt-in systeem. Wat betekent dit voor u?

Lees meer

Wanneer standaard niet standaard blijkt – De zorgplicht van de IT-leverancier onder de loep

Pascal van Boxtel
Privacy & IT

Het begon allemaal met goede bedoelingen. Een zonweringspecialist wilde een nieuw ERP-systeem. De IT-leverancier bood Production+ aan, een standaardoplossing gebaseerd op Microsoft Dynamics. Standaard betekende volgens beide partijen: zo min mogelijk maatwerk. Alles om het project beheersbaar en betaalbaar te houden.

Lees meer

Vraag uit de Privacy praktijk: Mag een accountant in het kader van een controle gegevens van mijn personeel inzien en verwerken?

Pascal van Boxtel
Privacy & IT

In de praktijk komt het (vaak) voor dat uw organisatie derden inschakelt. Denkt u hierbij bijvoorbeeld aan het inhuren van een advocaat voor een gerechtelijke procedure of advisering, een accountant die uw jaarrekeningen opstelt of een marketingbureau dat direct-mailings voor u opstelt en verstuurt namens uw organisatie.

Lees meer

Uitleg van de AVG-verwerkingsgrondslag “voldoen aan een wettelijke verplichting” (update)

Pascal van Boxtel
Privacy & IT

Een van de vereisten om persoonsgegevens te mogen verwerken is dat de verwerking moet berusten op een grondslag. De Algemene Verordening Gegevensbescherming (‘AVG’) kent een limitatieve opsomming van verwerkingsgrondslagen. In de praktijk is niet altijd duidelijk wat de aangewezen grondslag is. Dit is wel belangrijk omdat de toepasselijke grondslag uiteindelijk ook bepaalt wat de rechten van betrokkenen zijn, zoals het recht om gegevens te verwijderen.

Lees meer

Gevolgen Brexit voor uitwisseling persoonsgegevens tussen EU en Verenigd Koninkrijk (VK)

Pascal van Boxtel
Privacy & IT

De Algemene Verordening Persoonsgegevens (AVG) zorgt voor een vrij verkeer van persoonsgegevens binnen de Europese Unie (EU). Door de Brexit maakt het Verenigd Koninkrijk (VK) geen deel meer uit van de EU. Daarom is niet meer automatisch sprake van een vrij verkeer van persoonsgegevens tussen de EU en het VK. Op de verwerking van persoonsgegevens in het VK is bovendien de Britse privacywetgeving van toepassing. Hierna worden de gevolgen van de Brexit voor de uitwisseling van persoonsgegevens tussen de EU en het VK besproken.

Lees meer
Bekijk alle artikelen