Gegevensbeschermingsautoriteit: keuze tussen verwerkingsverantwoordelijke/verwerker bij GDPR

Geschreven door Lexalert

Een aantal vragen omtrent de keuze tussen verwerkingsverantwoordelijke en verwerker werden recent aan de Gegevensbeschermingsautoriteit gericht wat aantoont dat een herhaling van de beginselen ter zake zich opdringt.

De AVG heeft de begrippen verwerkingsverantwoordelijke en verwerker niet gewijzigd. De definities die zij in haar artikelen 4.7) en 4.8 geeft aan deze begrippen zijn dezelfde als die van de richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

Volg het on demand seminarie GDPR klantenbeheer en direct marketing - wijzigingen en best practices met Eline DECLERCK

Algemeen

i.   Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke wordt gedefinieerd als de persoon (…)  die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Tweede criterium

Om in het licht van de AVG de hoedanigheid van een persoon die een persoonsgegevensverwerking uitvoert juridisch te kwalificeren, dient overgegaan te worden tot een beoordeling en dit voor elke verwerking van persoonsgegevens.

De rol van een interveniërende partij in een gegevensverwerking kan immers wijzigen in functie van de kenmerken van deze verwerking. Bijvoorbeeld, de configuratie van het informatiesysteem van een advocatenkantoor waarin de dossiers van alle advocaten gecentraliseerd zijn, heeft een impact op sommige soorten verwerkingen van persoonsgegevens zoals de toegang tot de dossiers, de categorieën gecentraliseerde dossiers of nog de duur van de centralisatie van de dossiers. Het bezitten van de beslissingsbevoegdheid over deze verwerkingen verschilt van deze over autonome verwerkingen van persoonsgegevens uitgevoerd door elke advocaat bij het beheer van hun dossiers, bestaande uit bijvoorbeeld de inzameling van persoonsgegevens van de tegenstander van een van hun cliënten in het raam van de voorbereiding van het dossier ter verdediging van hun cliënt.

Een feitelijke analyse van elke situatie dringt zich op teneinde voor iedere verwerking van persoonsgegevens uit te maken, wie over de beslissingsbevoegdheid beschikt (1) bij het bepalen van het doeleinde waarvoor de gegevens worden verwerkt (concrete en operationele reden waarvoor de gegevens worden verwerkt zoals de samenstelling van een proceduredossier, het versturen van de hiertoe noodzakelijke briefwisseling, enz...) alsook (2) bij de keuze van de middelen om dit doeleinde te verwezenlijken.

Deze twee criteria dragen bij tot de identificatie van de verwerkingsverantwoordelijke. Een organisatie of persoon die geen enkele invloed uitoefent op de manier waarop de gegevens worden verwerkt kan niet de hoedanigheid verkrijgen van verwerkingsverantwoordelijke.

Vereiste nauwkeurigheidsgraad van de beslissingsbevoegdheid?

Welke is de vereiste nauwkeurigheidsgraad bij de bepaling van het doeleinde en de middelen voor de verwerking om te worden beschouwd als verwerkingsverantwoordelijke?

Volgens het advies van de Werkgroep Artikel 29 (voorganger van het Europees Comité voor gegevensbescherming)1, kan het belang dat dient te worden gehecht aan de doeleinden of aan de middelen variëren in functie van de context waarin de verwerking plaatsvindt. Een mogelijke invalshoek is de speling die gelaten wordt voor het nemen van beslissingen bij het bepalen van de doeleinden van de verwerking (concrete redenen waarvoor de gegevens worden verwerkt) en de verwerkingen zelf, alsook bij de keuze van de middelen om dit te realiseren; met de nuance dat het bepalen van de middelen impliceert dat men slechts de hoedanigheid van verwerkingsverantwoordelijke krijgt indien het de essentiële elementen van de middelen betreft (aard van de verwerkte gegevens, categorieën betrokkenen, frequentie van de verwerkingen, bewaringstermijn, eventuele ontvangers van de gegevens...).

Het wordt immers aanvaard dat een verwerkingsverantwoordelijke het bepalen van de verwerkingsmiddelen delegeert (bijvoorbeeld aan zijn verwerker) zonder zijn hoedanigheid van verwerkingsverantwoordelijke te verliezen, op voorwaarde evenwel dat deze delegatie enkel slaat op de technische en organisatorische kwesties. Deze delegatie kan niet slaan op het bepalen van de categorieën verwerkte gegevens, van de bewaringstermijn van de verwerkte gegevens of nog de keuze van de rechtmatigheidsgrond voor de verwerking die de bevoegdheid blijven van de verwerkingsverantwoordelijke.

Het begrip verwerkingsverantwoordelijke is een functioneel begrip in die zin dat het bedoeld is om de door de reglementering inzake bescherming van persoonsgegevens opgelegde verantwoordelijkheden te leggen bij de personen die een feitelijke invloed uitoefenen op de bedoelde verwerkingen. Dit is de reden waarom de juridische kwalificatie van dit begrip gestoeld wordt op een feitelijke analyse. Hetzelfde geldt voor het begrip verwerker die meer verplichtingen krijgt opgelegd onder de AVG dan onder de oude reglementering (zie infra).

(1 Advies  1/2010  over  de  begrippen  “voor  de  verwerking  verantwoordelijke”  en  “verwerker”,  WP  16900264/10/NL)

ii.   Verwerker

Betreffende de verwerker, deze wordt door de AVG gedefinieerd als een persoon (…) die ten behoeve

van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Het bestaan van de onderaanneming hangt af van de verwerkingsverantwoordelijke die beslist moet hebben om de verwerking waarvan hij de beslissingsbevoegdheid over de doeleinden en/of de middelen heeft niet zelf uit te voeren maar deze geheel of gedeeltelijk over de laten aan een andere externe persoon of organisatie. Deze andere persoon moet juridisch verschillen van de organisatie van de verwerkingsverantwoordelijke en dient de gedelegeerde verwerkingsactiviteiten uit te voeren voor rekening van deze laatste en dit overeenkomstig zijn geschreven instructies.

Onderwerp van de onderaanneming

De aan een verwerker toevertrouwde verwerking van persoonsgegevens kan bestaan uit een precieze taak of in tegendeel uit een taak waarbij hem een zekere beoordelingsmarge wordt gelaten door hem toe te laten de meest passende technische en organisatorische middelen te kiezen om te voldoen aan de door de verwerkingsverantwoordelijke gevraagde dienstverlening.

Deze beoordelingsmarge moet echter beperkt blijven. Voor zover deze niet slaat op de meest essentiële elementen van de verwerking van persoonsgegevens (aard van de ingezamelde gegevens, bepaling van de ontvangers van de gegevens, de categorieën personen van wie de gegevens worden ingezameld, de bewaringstermijn van de gegevens, de concrete redenen waarvoor de gegevens worden verwerkt...) en de verwerker optreedt voor rekening van de verwerkingsverantwoordelijke en niet voor eigen rekening, behoudt de verwerker zijn hoedanigheid van verwerker.

Onder dit voorbehoud kan het mandaat dat de verwerkingsverantwoordelijke verleent aan de verwerker van nature een zekere beoordelingsmarge bevatten wat de keuze betreft van de technische en organisatorische middelen voor het realiseren van de verwerking.

Overschrijding van het mandaat door de verwerker.

Wanneer een verwerker het door de verwerkingsverantwoordelijke verleende mandaat overschrijdten aldus een belangrijke rol verwerft bij de bepaling van de doeleinden waarvoor hij de gegevens zal verwerken of bij de bepaling van de essentiële modaliteiten voor het verwezenlijken van de verwerking, dan verwerft hij de hoedanigheid van verwerkingsverantwoordelijke (art. 28.10 AVG).

Gezamenlijke verwerkingsverantwoordelijken

Wanneer twee of meer personen tussenkomen bij de bepaling van de doeleinden en de middelen van een verwerking van persoonsgegevens2, zullen zij worden beschouwd als gezamenlijke verwerkingsverantwoordelijken en zullen zij, overeenkomstig artikel 26 van de AVG, hun respectievelijke verantwoordelijkheden in een onderlinge regeling moeten vastleggen teneinde de AVG na te leven; tenzij deze zijn vastgesteld bij een specifieke wettelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is en dit zonder afbreuk te doen aan het feit dat de betrokkenen hun rechten zullen kunnen uitoefenen bij elk van de gezamenlijke verwerkingsverantwoordelijken.

(2 In zijn conclusies stelt de advocaat-generaal bij het HvJEU van 25 oktober 2017 in de zaak Wirtschaftsakademie Schleswig-Holstein, C-210/16, «dat het bestaan van een gezamenlijke verantwoordelijkheid niet een verantwoordelijkheid op gelijke voet betekent. Integendeel, de diverse voor de verwerking verantwoordelijken kunnen in diverse fasen en in verschillende mate betrokken zijn bij een verwerking van persoonsgegevens ».)

Initiatief bij het voorstel van onderaannemingscontract

Merk op dat het initiatief, genomen bij het voorstel van een onderaannemingscontract of het contractueel gewicht waarover een partij bij de onderhandelingen beschikt tegenover een andere, niet vooruit loopt op de hoedanigheid van verwerkingsverantwoordelijke of verwerker van diegene die het initiatief neemt of die beschikt over een overmatige machtspositie bij de onderhandeling. Het is altijd in het licht van de voormelde criteria dat de analyse moet worden gemaakt om de rol van elke actor bij een verwerking van persoonsgegevens passend juridisch te kwalificeren.

Wettelijke omkadering van het behoudt van de beslissingsbevoegdheid door de verwerkingsverantwoordelijke

In geval van onderaanneming bevat de AVG bepalingen die ertoe strekken dat de verwerkingsverantwoordelijke de beslissingsbevoegdheid over de verwerking behoudt en te verzekeren dat het beschermingsniveau niet daalt ondanks de onderaanneming:

  • Verplichting   dat   de   onderaanneming   wordt   geregeld   in   een   contract   tussen   de verwerkingsverantwoordelijke en de verwerker of via een wettelijke bepaling die de verwerker verbindt ten opzichte van de verwerkingsverantwoordelijke met een minimum aan verplichte vermeldingen (art. 28.3)
  • Verplichting voor de verwerker en elke persoon die handelt onder zijn gezag om de gegevens slechts te verwerken in opdracht van de verwerkingsverantwoordelijke behoudens op grond van een wettelijke verplichting (art. 29 AVG).
  • Verbod  op  latere  verwerking  zonder  voorafgaande  schriftelijke  toestemming  van  de verwerkingsverantwoordelijke (art 28.2)

Nieuwe verplichtingen ten laste van de verwerker

Hoewel de AVG noch de begrippen verwerkingsverantwoordelijke en verwerker noch de criteria heeft aangepast op basis waarvan de juridische kwalificatie wordt gestoeld, legt zij de verwerker niettemin meer verplichtingen op ten opzichte van de oude Privacywet of de Richtlijn 95/46/EG:

  • De verplichting om de verwerking van persoonsgegevens te beveiligen rust voortaan eveneens op de schouders van de verwerker (art. 32 AVG) en niet langer enkel op deze van de verwerkingsverantwoordelijke;
  • De verplichting om, conform art. 30.2. en 30.3 AVG een register van alle categorieën van verwerkingsactiviteiten bij te houden die voor rekening van de verwerkingsverantwoordelijke werden verricht;
  • Indien de verwerker een inbreuk op de persoonsgegevens vaststelt, zijnde een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot dergelijke gegevens, is hij verplicht dit onverwijld te melden aan zijn verwerkingsverantwoordelijke (art. 33 AVG) die op zijn beurt zal instaan voor de mededeling aan de functionaris voor gegevensbescherming;
  • De   verplichte   aanwijzing   van   een   functionaris   voor  gegevensbescherming   alsook   de samenhangende verplichtingen zijn eveneens van toepassing op de verwerker in de wettelijk bepaalde hypothesen (art. 37 en 38 AVG)
  • De verplichte specifieke omkadering via passende waarborgen voor gegevensdoorgiften naar landen buiten de Europese Unie geldt eveneens voor de verwerker AVG)
  • De verplichte aanwijzing van een vertegenwoordiger is van toepassing op de verwerker die zich buiten de Unie bevindt maar tussenkomt in de onderaanneming van gegevensverwerkingen die bestaan uit de aanbieding van goederen of diensten aan betrokkenen die zich in de Unie bevinden of bestaan uit het observeren van hun gedrag indien dit gedrag zich situeert binnen de Europese Unie (art. 27 AVG)
  • De  verwerker  moet  voortaan  eveneens  de  verwerkingsverantwoordelijke  helpen  om  de naleving te verzekeren van de verplichtingen die op hem rusten ingevolge de art. 32 tot 36 van de AVG (Beveiliging, Melding van een schending van inbreuk op persoonsgegevens en mededeling aan de betrokkenen, gegevensbeschermingseffectbeoordeling bij verwerking met hoog risico) alsook krachtens hoofdstuk III van de AVG (gevolg verlenen aan de aanvragen van betrokkenen die de rechten uitoefenen waarover zij krachtens de AVG beschikken).  Hij dient eveneens de verwerkingsverantwoordelijke in kennis te stellen indien naar zijn mening een instructie een inbreuk vormt op de AVG of op andere bepalingen inzake gegevensbescherming. (art. 28 AVG)

iii.   Autonome begrippen

Deze begrippen van de AVG zijn autonome begrippen. Het is belangrijk deze niet te verwarren met andere begrippen, afkomstig uit andere rechtsdomeinen. Zo mag de onderaanneming in de zin van de AVG niet verward worden met een aanneming- of onderaannemingscontract die geregeld worden door het Burgerlijk wetboek en dit, zelfs indien deze contracten elkaar kunnen overlappen. Met andere woorden het is door het eenvoudige feit dat een ondernemings- of onderaannemingscontract bestaat tussen twee partijen dat deze respectievelijk gekwalificeerd worden als verwerkingsverantwoordelijke of verwerker in de zin van de AVG

iv.   Uiterlijke onderscheidingscriteria

Zoals hiervoor uiteengezet dient, teneinde de rol van een persoon als verwerker of verwerkingsverantwoordelijke adequaat te kwalificeren, voor elke bepaalde verwerking herhaald te worden wie beschikt over de beslissingsbevoegdheid voor de het/de doeleinde(n) van de bedoelde verwerking alsook over de gekozen middelen om deze te verwezenlijken.

Volgende criteria kunnen dienstig zijn voor de juridische kwalificering van de feitelijke situaties3:

  • Het aantal instructies dat vooraf door de verwerkingsverantwoordelijke wordt gegeven met betrekking tot de verwezenlijking van de verwerking van persoonsgegevens en de manoeuvreerruimte die aan de verwerker wordt gelaten;
  • Het   toezicht   dat   wordt   uitgeoefend   door   de   verwerkingsverantwoordelijke op de verwerkingsverrichtingen waaruit de dienstverlening bestaat;
  • De zichtbaarheid/het beeld dat door de verwerkingsverantwoordelijke met de verwerking aan de betrokkenen wordt verstrekt;
  • De deskundigheid van partijen: in sommige gevallen hebben de rol en de deskundigheid van een partij een dusdanig belang dat dit haar kwalificatie als verwerkingsverantwoordelijke veroorzaakt.

(3 Advies  1/2010  over  de  begrippen  “voor  de  verwerking  verantwoordelijke”  en  “verwerker”,  WP  16900264/10/NL)

Wanneer een advocaat een verwerking van persoonsgegevens uitvoert voor de verdediging van zijn cliënt te verzekeren of een opdracht uit te voeren dat hem door zijn cliënt werd opgedragen, doet hij dit dan als verwerkingsverantwoordelijke of als verwerker van zijn cliënt?

Om deze vraag te beantwoorden moet eerst onderzocht worden aangaande welke soort verwerking van persoonsgegevens deze vraag zich stelt en deze af te toetsen aan de voormelde criteria.

Indien het gaat om een verwerking die bestaat uit een inzameling van persoonsgegevens van de tegenstander van zijn cliënt om diens verdediging in rechte te verzekeren of om het opstellen van een procedureakte met vermelding van persoonsgegevens, zal de advocaat in het algemeen beschouwd worden als verwerkingsverantwoordelijke ingevolge zijn expertise en zijn beslissingsbevoegdheid over de gegevensverwerkingen die hij uitvoert in het raam van zijn dienstverlening aan de cliënt.

Persoonsgegevens

Het is in het algemeen hij die weet volgens welke modaliteiten en waarom hij de bedoelde gegevens zal verwerken voor het verlenen van zijn diensten. Hij kent de concrete reden(en) waarvoor de gegevens worden verwerkt (een bepaalde procedure inleiden,...). Hij beschikt over de know how wat betreft de keuze tussen de verschillende procedures die mogelijk zijn voor zijn cliënt alsook wat betreft de te nemen maatregelen om ze in te leiden (neerlegging van conclusies bij de griffie, enz....) In sommige gevallen is het in uitvoering van wettelijke verplichtingen waartoe hij is gehouden dat hij overgaat tot de inzameling van persoonsgegevens of de mededeling van dergelijke gegevens (verplichte vermelding in procedurestukken, mededeling van informatie aan de Cel voor Financiële Informatieverwerking belast met de bestrijding van het witwassen van geld,...)

De rechtsgrond voor het gebruiken door de advocaat van de hiertoe noodzakelijke persoonsgegevens bestaat in het algemeen uit het mandaat dat hem door zijn cliënt werd verleen om hem te vertegenwoordigen in rechte. Dit mandaat slaat evenwel niet op de gegevensverwerkingen maar op de vertegenwoordiging in rechte. De advocaten moeten dus beschouwd worden als onafhankelijke verwerkingsverantwoordelijken wanneer zij gegevens verwerken in het raam van de vertegenwoordiging van hun cliënten4.

Wanneer een advocaat echter specifieke administratieve taken krijgt toegewezen die gelijkenissen vertonen met een sociaal secretariaat (zoals bijvoorbeeld het opstellen van ontslagbrieven) en waarvoor de cliënt vooraf gedetailleerde instructies heeft verstrekt betreffende de modaliteiten van de verwerking; zal hij kunnen beschouwd worden als verwerker van bijzondere gegevens voor zover de speelruimte waarover hij dienaangaande beschikt beperkt is tot de technische en organisatorische kwesties verbonden aan de verwezenlijking van de gegevensverwerking waarvan de parameters bepaald werden door de cliënt/verwerkingsverantwoordelijke.

Hetzelfde geldt wanneer een advocaat een dossier krijgt doorgestuurd van een confrater die hem voordien heeft gevraagd voor hem te pleiten in de veronderstelling dat deze advocaat binnen de krijtlijnen blijft van de onderrichtingen die hem werden verstrekt door de advocaat die het pleidooidossier heeft voorbereid5.

In het algemeen en behoudens de voormelde of gelijkaardige hypothesen, voert een advocaat zelden verwerkingen van persoonsgegevens uit als verwerker aangezien de gegevensverwerkingen die zij verrichten in het algemeen kaderen binnen hun ruimere dienstverlening waarin de advocaat de parameters beheerst van de verwerkingen die hij aan zijn cliënt aanbeveelt (zoals de modaliteiten van de procedures die moeten worden gevoerd, het moment waarop deze moeten worden ingeleid enz....) De onafhankelijkheid die kenmerkend is voor het beroep van advocaat, bekrachtigd door artikel 444 van het Gerechtelijk wetboek, brengt mee dat situaties waarin hij kan worden beschouwd als verwerker voor een van zijn cliënten eerder uitzonderlijk zijn.

(4 Cf  voorbeeld  21  opgenomen  in  het  advies  1/2010  van  de  Werkgroep  "artikel  29"  over  de  begrippen "Verwerkingsverantwoordelijke" en "verwerker", p. 30.)

(5 In deze hypothese vereist de naleving van de AVG dat de oorspronkelijk door de cliënt geraadpleegde advocaat die het dossier beheert, vooraf zijn cliënt informeert over de mededeling van zijn gegevens aan een confrater voor de pleidooien.)

Gegevensverwerkingen via netwerk

Dit gezegd zijnde kan de configuratie van een gedeeld informatiesysteem tussen advocaten van eenzelfde kantoor gevolgen hebben voor de modaliteiten van de verwerkingen van persoonsgegevens die zij uitvoeren en die zij niet noodzakelijk beheersen (keuze van de soorten gecentraliseerde dossiers, keuze van de opzoekingscriteria binnen het gedeeld netwerk, bepaling van de toegangsrechten, duur van de gecentraliseerde bewaring,...).

In functie van de beslissingsbevoegdheid waarover de advocaten dienaangaande beschikken, kunnen zij beschouwd worden als gezamenlijke verwerkingsverantwoordelijken of het zal het kantoor zelf zijn dat actief heeft deelgenomen aan het bepalen van de wijze waarop het informatiesysteem moet worden geconfigureerd dat zal beschouwd worden als verwerkingsverantwoordelijke voor de verwerkingsactiviteiten die afhangen van deze configuratie. Deze vaststelling wordt natuurlijk gedaan zonder afbreuk te doen aan het feit dat elke advocaat verantwoordelijk blijft voor de verwerkingen die hij realiseert in zijn dossier en waarvoor hij de doeleinden en de middelen bepaalt (keuze van het soort ingezamelde gegevens,...).

Andere complexe configuraties van gegevensverwerkingen kunnen zich voordoen. De verwerking van statistische gegevens via de creatie van een fanpagina op een sociaal netwerk (voor zover de creatie van dit type pagina voldoet aan de deontologische regels van de beroepsgroep of aan de eerbiediging van het beroepsgeheim) kan de kwalificatie inhouden van gezamenlijke verantwoordelijke voor de gegevensverwerking, zowel in hoofde van de netwerkbeheerder van het sociaal netwerk als van de oprichter van de fanpagina wat de impact betreft van de gegevensverwerkingen die het gevolg zijn van deze creatie en de configuratie van deze fanpagina, bepaald door de oprichter ervan6.

De titularis van een vrij beroep zal eveneens heel alert zijn bij zijn keuze van de mailbox die hij gebruikt bij de uitoefening van zijn functie en dit in het licht van de beveiligingsverplichtingen van de gegevensverwerkingen die verbonden zijn aan het gebruik van zijn mailbox. Hij moet zich ervan verzekeren dat de toegang tot de daarin voorkomende persoonsgegevens het eventuele beroepsgeheim waartoe hij is gehouden eerbiedigt.

(6 HvJEU, arrest 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16.)

Documentatie

Tot besluit, zoals hiervoor reeds gezegd kan geen pasklaar antwoord verstrekt worden op de vraag wie de verwerkingsverantwoordelijke is of de verwerker in functie van het soort uitgeoefend beroep, aangezien dit moet blijken uit een analyse, rekening houdend met de voormelde criteria, elk type uitgevoerde verwerking en de feitelijke situatie.

Ik elk geval zak de kwalificatie van partijen in een rol of een andere of, in geval van gezamenlijke verantwoordelijkheid voor de verwerking (art. 26.2 AVG) passend moeten worden gedocumenteerd en gemotiveerd.

►Ander interessant artikel: GDPR en selectie en rekrutering

Heeft het contractueel kader (freelance prestatie van een advocaat voor een andere advocaat...) waarin een advocaat optreedt een impact op zijn juridische kwalificaties?

Neen. Het type contractueel kader waarin de advocaat optreedt heeft geen impact op deze begrippen. Wanneer een advocaat beslist een beroep te doen of een confrater voor de behandeling van een dossier dat hem werd toevertrouwd door een cliënt en deze interventie vergt de verwerking van persoonsgegevens door deze confrater, vereisen de verplichtingen inzake loyale gegevensverwerking (art. 5.1.a AVG) en informatieverstrekking(art.13 en 14 AVG) aan de betrokkene ten laste van de initiële advocaat dat deze vooraf zijn cliënt informeert dat zijn dienstverlening de mededeling van diens gegevens aan een confrater zal impliceren en dat de mededeling van de nodige persoonsgegevens slechts zal kunnen plaatsvinden indien ze verenigbaar is met het doeleinde waarvoor deze werden ingezameld, met name het beheer van het dossier dat werd toevertrouwd aan de advocaat die geraadpleegd werd door de cliënt.

Indien de interventie van de gevraagde confrater dusdanig is dat deze genoopt wordt autonoom persoonsgegevens te verwerken (ontbieden van de cliënt om alle nuttige informatie te verkrijgen, inzameling van de relevante persoonsgegevens voor het beheer van het dossier,...), is het mogelijk dat de hoedanigheid van verwerkingsverantwoordelijke toekomt aan deze gevraagde confrater voor de gegevensverwerkingen die hij volkomen autonoom zal realiseren.  In een dergelijke hypothese zal de doorgifte van het dossier door de oorspronkelijk geraadpleegde advocaat aan zijn confrater slechts kunnen plaatsvinden mits de voorafgaande en geïnformeerde toestemming van de cliënt aangezien deze mededeling niet noodzakelijk is voor de uitvoering van het contract intuitu personae tussen de eerst geraadpleegde advocaat en zijn cliënt.

Speelt de hoedanigheid van natuurlijke of rechtspersoon van de cliënt van de advocaat of nog het feit dat de cliënt beschikt over een «  rechtsbijstandsverzekering  » hierin een rol?

Neen,      deze      hoedanigheden      hebben      geen      impact.      De      tussenkomst      van      een «  rechtsbijstandsverzekering  » bij de bedoelde gegevensverwerking vormt enkel een bijkomende interveniënt. In het algemeen zal de verzekeringsmaatschappij verantwoordelijk zijn voor haar eigen verwerkingen waarvan zij de doeleinden en de middelen bepaalt (uitvoering van het verzekeringscontract wanneer het risico zich voordoet en dit de uitvoering vergt van verwerkingen van persoonsgegevens zoals de mededeling van de contactgegevens van de cliënt en de informatie over het risico dat zich heeft voorgedaan aan de door de cliënt gekozen advocaat of aan de verzekeringsmaatschappij) en de advocaat zal op zijn beurt verwerkingsverantwoordelijke zijn voor de gegevensverwerkingen die hij volkomen autonoom zal uitvoeren met het oog op de verdediging van zijn cliënt die hem zal zijn toevertrouwd door de verzekeringsmaatschappij of gekozen door de verzekerde. Het gaat dan om twee afzonderlijke verwerkingsverantwoordelijken voor twee verschillende verwerkingen.

*****************

Je kan via volgende link het volledige artikel downloaden: Gegevensbeschermingsautoriteit: keuze tussen verwerkingsverantwoordelijke/verwerker bij GDPR