Wanneer organisaties persoonsgegevens verwerken, rijst al snel de vraag of (en zo ja, wanneer) de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Die vraag is relevanter dan zij op het eerste gezicht lijkt, zeker in situaties waarin gegevensverwerkingen grensoverschrijdend plaatsvinden of slechts deels digitaal zijn ingericht.
Het toepassingsgebied van de AVG is te onderscheiden in een materieel toepassingsgebied (waarop is de AVG van toepassing?) en een territoriaal toepassingsgebied (waar is de AVG van toepassing?).
Materieel toepassingsgebied (artikel 2 AVG)
Materieel is de AVG van toepassing op “de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”. In hetzelfde artikel zijn ook enkele uitzonderingen opgenomen, waarin de AVG juist niet van toepassing is.
Grofweg bestaat het materiële toepassingsgebied uit twee categorieën:
- enerzijds de (deels) geautomatiseerde verwerking van persoonsgegevens; en
- anderzijds de verwerking van persoonsgegevens die zijn vastgelegd in een bestand.
Om te kunnen beoordelen of sprake is van een verwerking die onder de AVG valt, is het noodzakelijk om eerst stil te staan bij het begrip persoonsgegeven.
Persoonsgegevens
Het begrip ‘persoonsgegeven’ is wellicht het belangrijkste kernbegrip van de AVG. In de AVG wordt dit gedefinieerd als: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Deze definitie is bewust ruim geformuleerd en dient ook ruim te worden uitgelegd.
Onder ‘alle informatie’ valt niet alleen geschreven tekst, maar ook beeld- en geluidsmateriaal. Daarnaast hoeft de informatie niet objectief of feitelijk juist te zijn: ook subjectieve gegevens, zoals meningen, beoordelingen of verwachtingen, kunnen als persoonsgegeven kwalificeren. Tegelijkertijd is het begrip niet onbegrensd. Gegevens van rechtspersonen, overleden personen en volledig anonieme gegevens vallen in beginsel buiten het bereik van de AVG.
Van belang is bovendien dat het moet gaan om informatie over een natuurlijke persoon. Informatie over bedrijven of organisaties valt niet zonder meer onder de AVG. Dat neemt echter niet weg dat gegevens over een onderneming ook persoonsgegevens kunnen zijn, bijvoorbeeld wanneer zij herleidbaar zijn tot een bestuurder, aandeelhouder of werknemer. In die gevallen kan alsnog sprake zijn van een persoonsgegeven.
Ten slotte moet de natuurlijke persoon geïdentificeerd of identificeerbaar zijn. Wanneer gegevens zodanig zijn geanonimiseerd dat identificatie redelijkerwijs onmogelijk is, valt de verwerking buiten het toepassingsgebied van de AVG.
Geautomatiseerde verwerking
Zoals hiervoor aangegeven, omvat het materiële toepassingsgebied onder meer de geautomatiseerde verwerking van persoonsgegevens. Onder ‘verwerking’ verstaat de AVG iedere bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens. Dit begrip wordt zeer ruim uitgelegd en omvat vrijwel iedere denkbare handeling, van het verzamelen en vastleggen tot het raadplegen, wijzigen en verwijderen van gegevens. De vraag of sprake is van een verwerking, kan in de praktijk vrijwel altijd bevestigend worden beantwoord.
Daarnaast moet de verwerking (geheel of gedeeltelijk) geautomatiseerd zijn. Louter handmatige handelingen vallen in beginsel buiten het bereik van de AVG. De term ‘geautomatiseerde verwerking’ wordt echter eveneens ruim uitgelegd. Zodra de verwerking ook maar enig digitaal element bevat – bijvoorbeeld het raadplegen van gegevens via een computerscherm – zal al snel sprake zijn van een geautomatiseerde verwerking in de zin van de AVG.
Bestand
Ook wanneer geen sprake is van een geautomatiseerde verwerking, kan de AVG toch van toepassing zijn. Dat is het geval wanneer persoonsgegevens zijn opgenomen in een bestand of bestemd zijn om daarin te worden opgenomen.
Onder een ‘bestand’ verstaat de AVG elk gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is. Daarbij is niet van belang of dit bestand gecentraliseerd of gedecentraliseerd is, of op functionele of geografische gronden is verspreid. Doorslaggevend is dat de gegevens zodanig zijn gestructureerd dat zij eenvoudig kunnen worden teruggevonden voor later gebruik.
In de praktijk is ook hier al snel sprake van een bestand. Het enkele feit dat gegevens rommelig of ongestructureerd worden opgeslagen, staat toepassing van de AVG niet in de weg. Een rommelige administratie vormt dus geen vrijbrief ten aanzien van de AVG-regelgeving.
Territoriaal toepassingsgebied (artikel 3 AVG)
Naast het materiële toepassingsgebied is ook het territoriale toepassingsgebied van belang. Waar is de AVG van toepassing? Artikel 3 AVG geeft antwoord op die vraag en kent daarbij drie afzonderlijke aanknopingspunten.
Allereerst is de AVG op grond van artikel 3 lid 1 van toepassing op verwerkingen van persoonsgegevens die plaatsvinden in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de Europese Unie. Daarbij is niet doorslaggevend waar de verwerking feitelijk plaatsvindt: ook wanneer persoonsgegevens buiten de EU worden verwerkt, blijft de AVG van toepassing zolang de verwerking verband houdt met de activiteiten van een vestiging binnen de Unie. Iedere vorm van reële en daadwerkelijke activiteiten die via een duurzame vestiging worden uitgeoefend, kan al voldoende zijn. De omvang van die activiteiten is daarbij niet doorslaggevend.
Artikel 3 lid 2 AVG breidt het territoriale toepassingsgebied vervolgens aanzienlijk uit. De AVG kan namelijk ook van toepassing zijn op verwerkingsverantwoordelijken of verwerkers zonder vestiging in de Europese Unie. Dat is het geval wanneer zij persoonsgegevens verwerken van betrokkenen die zich in de Unie bevinden én die verwerking verband houdt met:
- het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of daarvoor een betaling is vereist; of
- het monitoren van hun gedrag, voor zover dit gedrag binnen de Unie plaatsvindt.
Van het aanbieden van goederen of diensten is sprake wanneer een organisatie zich expliciet richt op de Europese markt, bijvoorbeeld door het gebruik van een EU-taal, het accepteren van betalingen in euro’s of het aanbieden van levering in EU-lidstaten. Het monitoren van gedrag ziet onder meer op het volgen van internetgedrag, bijvoorbeeld via trackingcookies, profilering of andere vormen van gedragsanalyse, voor zover dit gedrag binnen de EU plaatsvindt. Louter het feit dat een website vanuit de EU toegankelijk is, is daarvoor niet voldoende.
Ten slotte bepaalt artikel 3 lid 3 AVG dat de verordening van toepassing is op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar die zich bevindt op een plaats waar krachtens het internationaal publiekrecht het recht van een lidstaat van toepassing is. Hierbij kan bijvoorbeeld worden gedacht aan ambassades of consulaten van EU-lidstaten buiten de Europese Unie.
Het territoriale toepassingsgebied van de AVG is daarmee ruim en strekt zich in veel gevallen ook uit tot organisaties buiten de Europese Unie. In de praktijk betekent dit dat niet alleen Europese organisaties, maar ook buitenlandse dienstverleners met Europese klanten of gebruikers rekening moeten houden met de verplichtingen uit de AVG.
Waar ik je als advocaat bij kan helpen
Het toepassingsgebied van de AVG is ruim en in de praktijk vaak minder overzichtelijk dan het lijkt. Zeker bij internationale samenwerkingen, digitale dienstverlening of hybride (deels handmatige) verwerkingen kan twijfel ontstaan over de vraag of de AVG van toepassing is. Die vraag is echter fundamenteel, omdat zij bepaalt of (en welke) verplichtingen gelden.
In mijn praktijk adviseer ik regelmatig over het toepassingsgebied van de AVG en over de vraag of een specifieke verwerking onder de verordening valt. Daarnaast help ik bij het juridisch duiden van grensoverschrijdende gegevensverwerkingen en bij het in kaart brengen van de gevolgen daarvan voor organisaties.
Wil je contact met mij opnemen, dan kun je tijdens kantooruren bellen (050-3140840) of mij mailen via bakker@boutadvocaten.nl. Ik denk graag met je mee over de toepasselijkheid van de AVG in jouw specifieke situatie.
Andere vragen
Heb je na het lezen van deze blog nog andere vragen over privacyrecht of de AVG, dan adviseer ik daar uiteraard ook graag over. Ik kan je bijvoorbeeld helpen met:
- Beoordeling van uitzonderingen op de AVG. Wanneer is de AVG juist níet van toepassing en hoe moet daarmee worden omgegaan?
- Internationale gegevensverwerkingen. Wat betekent het territoriale bereik van de AVG voor samenwerking met partijen buiten de EU?
- Risicoanalyse en compliance. Welke privacyregels zijn op jouw organisatie van toepassing en hoe richt je processen daarop in?
- Geschillen en toezicht. Ontstaat er discussie over de toepasselijkheid van de AVG, dan adviseer en procedeer ik hierover waar nodig.
Kortom, heb je vragen over jouw AVG-compliance? Neem gerust contact met mij op. Ik denk graag met je mee over de uitdagingen en keuzes waar jij als ondernemer mee te maken krijgt.
