Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthlerprofessionals.nl

Brexit – De vertegenwoordiger versus de FG

In een eerder blog zijn wij ingegaan op de Brexit en de mogelijke verplichting voor non-EU bedrijven tot het aanstellen van een vertegenwoordiger. Mocht het Verenigd Koninkrijk (VK) de Europese Unie (EU) verlaten, dan zijn Britse organisaties die persoonsgegevens verwerken én geen vestiging in de EU hebben verplicht een vertegenwoordiger binnen de EU aan te wijzen. Overigens geldt deze verplichting niet alleen voor het VK maar wereldwijd voor alle non-EU organisaties die volgens het territorialiteitsbeginsel moeten voldoen aan de Algemene verordening gegevensbescherming (Avg). Vandaag de vraag of de rol vertegenwoordiger ook door een functionaris voor gegevensbescherming (FG) kan worden vervuld?

Kan de rol van vertegenwoordiger vervuld worden door de FG?

Vertegenwoordiger of FG

De vertegenwoordiger treedt op namens de organisatie, ongeacht of deze een verwerkingsverantwoordelijke of een verwerker is. De toezichthoudende autoriteit en de betrokkene kunnen de vertegenwoordiger benaderen over alle zaken die betrekking hebben op de Avg. Kijkend naar de taken en bevoegdheden van een vertegenwoordiger en een FG, dan lijken deze in eerste instantie veel op elkaar. Niets is minder waar. Bij nadere bestudering zijn er een groot aantal verschillen te onderscheiden.

De vertegenwoordiger

De vertegenwoordiger dient in ieder geval in een van de lidstaten gevestigd te zijn waar zich de betrokkene bevinden wiens persoonsgegevens in verband met het aanbieden van goederen of diensten worden verwerkt, of wiens gedrag wordt geobserveerd.

Kenmerkend voor de vertegenwoordiger is dat deze:

  • beschikbaar moet zijn voor betrokkenen en iedere toezichthouder als aanspreekpunt;
  • zijn taken zijn op instructie van verwerkingsverantwoordelijke of verwerker verricht en wel op grond van een schriftelijk mandaat verricht;
  • namens de verwerkingsverantwoordelijke of verwerker procedures voert
  • geen wettelijke bescherming heeft;
  • naast de verwerkingsverantwoordelijke of verwerker, beboet kan worden;
  • aan handhavingsprocedures kan worden onderworpen.

De Functionaris voor gegevensbescherming (FG)

Een FG is daarentegen vereist als de verwerking wordt verricht door een overheidsinstanties- of organen, een organisatie die hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkene vereisten of met grootschalige verwerking van bijzondere categorieën van gegevens of gegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten. Voor de gezondheidssector heeft de Autoriteit Persoonsgegevens een nadere uitleg gegeven van het begrip grootschalig.

Kenmerkend voor de FG is dat deze:

  • toezicht houdt op de toepassing en naleving van de Avg binnen de organisatie, inclusief privacy beleid, toewijzing van verantwoordelijkheden, bewustmaking etc.;
  • zowel de organisatie als de werknemers informeert en adviseert over de verplichtingen uit hoofde van de Avg;
  • onafhankelijkheid is bij de uitvoering van zijn taken
  • geen instructies ontvangt met betrekking tot de uitvoering van de taken, ongeacht of de FG in dienst is van de organisatie of niet;
  • ontslagbescherming heeft ten aanzien van de uitvoering van zijn taken;
  • wettelijk wordt beschermd tegen juridische acties op grond van de Avg.

De verschillen

De bovenstaande opsomming maakt duidelijk dat de beiden functies toch heel verschillend zijn. Belangrijkste hierbij is dat de vertegenwoordiger op instructie van de non-EU organisatie zijn taken verricht, terwijl de FG juist in onafhankelijkheid zijn taken moet vervullen en géén instructies mag ontvangen met betrekking tot de uitvoering van zijn taken.

Daarnaast wordt een vertegenwoordiger meer gezien als een verlengstuk van de non-EU organisaties, terwijl de FG meer wordt gezien als verlengstuk van de toezichthoudende autoriteit.

Combinatie van functies is onverenigbaar

In elk geval kunnen we op basis hiervan stellen dat de functie van vertegenwoordiger en FG moeilijk verenigbaar zijn. De European Data Protection Board (EDPB) komt in haar Guidelines[1] eveneens tot deze conclusie. De functie van vertegenwoordiger in de EU is volgens de EDPB niet verenigbaar met de rol van FG vanwege de hiervoor genoemde onafhankelijkheid en eigen autonomie bij het uitvoeren van de taken (art. 38 Avg). Deze onafhankelijkheid en autonomie lijken niet verenigbaar met de functie van vertegenwoordiger, daar laatstgenoemde juist voor wat betreft de uitvoering van zijn taken onderworpen is aan het mandaat dat de non-EU organisatie hem heeft verstrekt.

Tenslotte kan een belangenconflict ontstaan als de FG deze organisatie zou moeten vertegenwoordigen bij rechtbanken.

De EPDB stelt aanvullend “Given the possible conflict of obligation and interests in cases of enforcement proceedings, the EDPB does not consider the function of a data controller representative in the Union as compatible with the role of data processor for that same data controller.’

Conclusie

Bovenstaande betekent dan ook dat we een onderscheid moeten maken tussen enerzijds non-EU bedrijven die dienen te beschikken over een vertegenwoordiger en anderzijds non-EU-bedrijven die dienen te beschikken over een vertegenwoordiger en een FG.

Bent u een non-EU bedrijf zonder vestiging in de Unie en is de Avg op u van toepassing? Dan dient u in elk geval een vertegenwoordiger binnen de EU aan te wijzen. Verwerkt u daarnaast persoonsgegevens door regelmatige en stelselmatige observatie of grootschalig bijzondere categorieën van gegevens dan heeft u ook een FG nodig.

Weliswaar zijn de functies van vertegenwoordiger en FG niet verenigbaar in één persoon, het spreekt voor zich dat een goede samenwerking tussen beiden van groot belang is.

Meer informatie

Meer informatie over vertegenwoordiger en/of FG? Neem contact met ons op via +31 (70) 392 22 09 of het contactformulier.

Door: Henriëtte Dietz van First Lawyers en Sandra Rolaff van Duthler Professionals


[1] Guidelines EDPB 3/2018 on the territorial scope of the GDPR (Article 3), 16 November 2018