(Onder)aannemers in de bouwsector zijn geen ‘verwerkers’ in de zin van de GDPR

Geschreven door Dave Mertens - Sara Cockx, Schoups, www.schoups.com

Verwerker of verwerkingsverantwoordelijke?

Sinds 25 mei 2018 is elke onderneming of organisatie die persoonlijke gegevens van burgers verwerkt, verplicht zich te houden aan de nieuwe (verstrengde) Europese regels op het gebied van de bescherming van de persoonsgegevens, beter bekend als de GDPR. De nieuwe regels komen in de plaats van de zgn. Privacywet van 1992.

Zowel in het kader van private (onder)aannemingsovereenkomsten van werken als in het kader van overheidsopdrachten wordt sindsdien regelmatig de vraag gesteld of ook een (onder)aannemer van bouwwerken een verwerker (in het Frans: “sous-traitant”) is in de zin van de GDPR? Dit is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.

Indien (onder)aannemers als verwerkers beschouwd worden, moeten ze verwerkersovereenkomsten sluiten met hun opdrachtgever maar ook met hun (onder)onderaannemers. Dit zorgt voor een administratieve rompslomp die uiteraard ook financiële gevolgen heeft. Vanuit de praktijk moet echter vastgesteld worden dat sommige aannemers of bouwheren (waaronder overheden) het zekere voor het onzekere kiezen en aandringen op het ondertekenen van een verwerkersovereenkomst.

Volg het on demand seminarie GDPR klantenbeheer en direct marketing - wijzigingen en best practices met Eline DECLERCK

Interpretatie commissie overheidsopdrachten

De vraag of (onder)aannemers vallen onder het statuut van verwerker in de zin van de GDPR werd recentelijk negatief beantwoord door de commissie van overheidsopdrachten.

De commissie wijst vooreerst op het onderscheid tussen de begrippen verwerker van persoonsgegevens en opdrachtnemer/aannemer.

Deze begrippen vallen enkel samen wanneer het voorwerp van de opdracht erin bestaat persoonsgegevens te verwerken ten behoeve van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt dan het doel en de middelen voor deze verwerking. Zij verschaft dan duidelijke instructies m.b.t. de verwerking van persoonsgegevens. Hierbij is het sluiten van een verwerkersovereenkomst vereist.

De begrippen verwerker en opdrachtnemer vallen echter niet samen bij een overheidsopdracht waarin het voorwerp van de opdracht bestaat uit het uitvoeren van andere werken, diensten of leveringen. De aanbesteder zal voor deze opdrachten geen verwerkersovereenkomst moeten sluiten. Indien bij de uitvoering van dergelijke opdrachten toch persoonsgegevens verwerkt moeten worden, dan zal het doel van de verwerking en de middelen om dat doel te bereiken door de opdrachtnemer zelf bepaald worden. Bij dergelijke gevallen gebeurt de verwerking niet ten behoeve van de aanbesteder en verschaft de aanbesteder geen instructies hieromtrent. De opdrachtnemer heeft dan het statuut van verwerkingsverantwoordelijke.

(Onder)aannemer is, in principe, geen verwerker

Ons inziens is er voor de interpretatie dat elke (onder)aannemer ipso facto verwerker zou zijn, inderdaad geen grondslag te vinden in de tekst van de GDPR. Een (onder)aannemer is een verwerkingsverantwoordelijke in de zin van de GDPR, maar geen verwerker. (Onder)aannemers bepalen immers zelf het doel van de verwerking en de middelen die ingezet worden om dat te doel te bereiken. Zij verwerken dan ook geen persoonsgegevens ‘namens’ de (hoofd)aannemer of bouwheer in het kader van de uitvoering van werken.

Het louter ontvangen van persoonsgegevens bij het verstrekken van diensten of het aanleveren van goederen volstaat niet om gekwalificeerd te worden als verwerker. De vaststelling dat een (onder)aannemer de ontvangen persoonsgegevens gebruikt in het kader van de uitvoering van een (aanneming)overeenkomst kan evenmin doorslaggevend zijn. Het ligt immers voor de hand dat de uitwisseling van persoonsgegevens in beide richtingen loopt. Door de (onder)aannemers slechts als verwerker te beschouwen, zouden overigens veel ondernemingen overigens ontsnappen aan de verantwoordelijkheden eigen aan het statuut van verwerkingsverantwoordelijke. Dit kan niet de bedoeling zijn geweest van de regelgever.

De wat ongelukkige keuze voor het begrip “Sous-traitant” in de Franstalige versie van de GDPR doet aan het voorgaande geen afbreuk. De definitie van dit begrip bevestigt dat de verwerking ‘voor rekening van’ (‘pour le compte du’) de verwerkingsverantwoordelijke dient te gebeuren. In quasi elke versie vertaalt het gebruikte begrip naar “(gegevens)verwerker” of “-bewerker”. Telkens staat het specifieke voorwerp van de opdracht centraal, namelijk het verwerken van persoonsgegevens voor rekening van de opdrachtgever.

Concreet zal een (onder)aannemer bij het uitvoeren van de meeste overeenkomsten niet gekwalificeerd moeten worden als verwerker in de zin van de GDPR. Enkel indien het voorwerp van de opdracht er in bestaat om persoonsgegevens te verwerken is de opdrachtnemer een verwerker van persoonsgegevens. De uitwisseling en het gebruik van persoonsgegevens in het kader van andere opdrachten kan voor zover noodzakelijk om de opdracht uit te voeren, hierover moet geen verwerkersovereenkomst gesloten worden.