De Algemene Verordening Gegevensbescherming (AVG) introduceert verschillende concepten die worden gebruikt om de actoren die betrokken zijn bij de verwerking van persoonsgegevens te kwalificeren. Deze concepten omvatten verwerkingsverantwoordelijken (gezamenlijk of afzonderlijk), verwerkers en personen die handelen onder het gezag van de verwerkingsverantwoordelijke/verwerker.
Hoewel deze kwalificaties een fundamentele rol spelen in het beheer van verantwoordelijkheden onder de AVG, zijn ze vaak moeilijk te onderscheiden. Daarom is de ondersteuning van een gegevensbeschermingsdeskundige essentieel om nalevingsproblemen te voorkomen die kunnen ontstaan door een verkeerde kwalificatie.
Bij CRANIUM, door onze ervaring in het helpen van bedrijven in verschillende sectoren bij het implementeren van AVG-regels, is het duidelijk geworden dat de kwalificatie van deze verschillende actoren een probleem kan zijn, vooral in advocatenkantoren. De onafhankelijke status van de advocatenfunctie roept namelijk twijfels op over de juridische kwalificaties die moeten worden gehanteerd.
Wie zit er achter deze concepten?
De verwerkingsverantwoordelijke beslist over de essentiële elementen van de gegevensverwerking; met andere woorden, deze persoon bepaalt het doel en de middelen van de verwerking: het waarom en hoe. Als zodanig fungeert hij of zij als de verwerkingsverantwoordelijke. Hoewel de verwerkingsverantwoordelijke een natuurlijk persoon kan zijn, is het meestal een rechtspersoon. Wanneer meerdere actoren gezamenlijk optreden als verwerkingsverantwoordelijken, worden zij gezamenlijke verwerkingsverantwoordelijken genoemd.
Een verwerker daarentegen verwerkt de persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerker is meestal een afzonderlijke entiteit die namens de verwerkingsverantwoordelijke handelt en volgens diens instructies. In sommige gevallen kan de verwerkingsverantwoordelijke als verwerker optreden voor een ander bedrijf.
Als de verwerkingsverantwoordelijke zijn eigen middelen (zoals software en marketingtools) binnen zijn organisatie gebruikt, is er geen verwerker. Werknemers of tijdelijke medewerkers worden dan aangemerkt als personen die onder het gezag van de verwerkingsverantwoordelijke handelen onder Artikel 29 van de AVG.
Hoe kwalificeer je de leden van een advocatenkantoor?
De verschillende leden van een advocatenkantoor kunnen verschillende rollen hebben, afhankelijk van de specifieke verwerkingsoperatie, wat vaak een casus-per-casus-analyse vereist.
De verwerkingsverantwoordelijken
Wanneer een advocaat een cliënt vertegenwoordigt in een rechtszaak en een zaak beheert, kunnen er vragen rijzen over de vraag of de advocaat optreedt als verwerkingsverantwoordelijke of als verwerker in verband met de zaak. De EDPB (volgens de Artikel 29 Werkgroep) heeft dit probleem behandeld in zijn Richtsnoeren 07/2020 over de concepten van verwerkingsverantwoordelijke en verwerker in de AVG:
“De reden voor de verwerking van de persoonsgegevens is het mandaat van het advocatenkantoor om de cliënt in de rechtbank te vertegenwoordigen. Dit mandaat is echter niet specifiek gericht op de verwerking van persoonsgegevens. Het advocatenkantoor handelt met een aanzienlijke mate van onafhankelijkheid, bijvoorbeeld bij het beslissen welke informatie te gebruiken en hoe deze te gebruiken, en er zijn geen instructies van het cliëntbedrijf met betrekking tot de verwerking van persoonsgegevens. De verwerking die het advocatenkantoor uitvoert om de taak als juridische vertegenwoordiger van het bedrijf te vervullen, is daarom gekoppeld aan de functionele rol van het advocatenkantoor, zodat het moet worden beschouwd als verwerkingsverantwoordelijke voor deze verwerking.”
Daarom moet het advocatenkantoor in haar relaties met cliënten worden beschouwd als de verwerkingsverantwoordelijke van de persoonsgegevens.
In werkelijkheid brengt een advocatenkantoor meerdere advocaten samen die afzonderlijk optreden en een onafhankelijke status hebben. Hebben we dus te maken met één of meerdere verwerkingsverantwoordelijken?
Wanneer een advocatenkantoor software gebruikt die de accounts van advocaten centraliseert, is het kantoor verantwoordelijk voor de verwerking van de persoonsgegevens die in de software zijn opgenomen. In dit geval beslist het advocatenkantoor over de toegang, categorisatie en bewaartermijn van de dossiers.
Tegelijkertijd beheert elke advocaat zijn of haar accounts autonoom, wat hen verwerkingsverantwoordelijken maakt wanneer ze persoonsgegevens verwerken in het kader van het voorbereiden van een verdedigingsdossier of het opstellen van een processtuk. Voor advocaten die werken onder instructie van een afdelingshoofd, kan de kwalificatie als verwerkingsverantwoordelijke worden betwist, afhankelijk van hoeveel vrijheid de advocaat heeft in het beheren van de zaken waarin hij of zij betrokken is.
De verwerkers
Een advocatenkantoor maakt bijna altijd gebruik van onderaannemers, bijvoorbeeld bij het gebruik van managementsoftware voor juridische professionals.
De vraag rijst echter of een advocaat als verwerker kan worden beschouwd in de zin van de AVG. De onafhankelijkheid van het juridische beroep (Artikel 444 van het Gerechtelijk Wetboek) maakt het uitzonderlijk dat een advocaat als verwerker wordt beschouwd.
Een voorbeeld hiervan is wanneer een advocaat een dossier krijgt om te pleiten van een collega, op de strikte voorwaarde dat hij zich houdt aan de instructies van die collega.
In 2011 beschouwde de CNIL ook dat een advocaat die tussenkomt in een audit op basis van instructies die strikt door zijn cliënten zijn gedefinieerd, als verwerker kan worden beschouwd.
Personen die handelen onder het gezag van de verwerkingsverantwoordelijke
Er bestaat weinig twijfel dat een secretaresse of juridisch assistent als zodanig wordt gekwalificeerd, aangezien zij persoonsgegevens verwerken onder een arbeidsovereenkomst, binnen de entiteit van de verwerkingsverantwoordelijke, namelijk het advocatenkantoor, en onder diens gezag. Deze werknemers worden dus gekwalificeerd als personen die handelen onder het gezag van de verwerkingsverantwoordelijke.
Case-by-case analyse
Een geval dat veel vragen oproept, is de kwalificatie van de rol van de stagiair-advocaat. Is dit die van een afzonderlijke verwerkingsverantwoordelijke, van een verwerker die de instructies van zijn verwerkingsverantwoordelijke volgt, of van een persoon die handelt onder het gezag van de verwerkingsverantwoordelijke?
Hoewel formeel onderworpen aan de verplichting van onafhankelijkheid, zoals elke advocaat, is de realiteit voor stagiairs vaak anders. Nogmaals, de kwalificatie hangt af van het geval. Sommige stagiairs handelen met meer vrijheid dan anderen in hun dagelijkse activiteiten, terwijl ze meer of minder nauwlettend worden begeleid.
Daarom is het belangrijk om bij het bepalen van de rollen de feiten te analyseren, dat wil zeggen welke actor het doel en de middelen van de verwerking bepaalt. Het is mogelijk dat dezelfde actor verschillende rollen heeft, afhankelijk van de verwerkingsactiviteit die hij of zij uitvoert.
Contractuele clausules
Het bestaan van contractuele clausules is op zich niet doorslaggevend bij het kwalificeren van de rollen van de partijen. Dergelijke clausules kunnen echter helpen om de verwerkingsverantwoordelijke te identificeren, op voorwaarde dat het contract de werkelijkheid op de werkvloer nauwkeurig weerspiegelt.
Wat zijn de gevolgen van het toewijzen van bepaalde rollen?
Het toewijzen van rollen bepaalt de verantwoordelijkheden van elke partij bij het naleven van de regelgeving, evenals de manier waarop betrokkenen hun rechten kunnen uitoefenen. De verwerkingsverantwoordelijke en verwerker hebben namelijk niet dezelfde verplichtingen onder de AVG.
Bovendien moet elke verwerking van persoonsgegevens door een verwerker worden geregeld door een contract of een andere rechtshandeling die schriftelijk is opgesteld en de elementen bevat die zijn opgesomd in Artikel 28 van de AVG. Volgens Artikel 29 van de AVG moeten personen die handelen onder het gezag van de verwerkingsverantwoordelijke of verwerker ook de instructies van de verwerkingsverantwoordelijke of verwerker opvolgen, hoewel er geen vereiste is dat de relatie wordt geformaliseerd door een specifiek contract.