Met de aBOUT Privacy blogserie maakt Bout Advocaten het privacyrecht en de Algemene Verordening Gegevensbescherming (AVG) begrijpelijk. In deze blog wordt ingegaan op de vraag: wanneer is de AVG van toepassing?
Het toepassingsgebied van de AVG is te onderscheiden in een materieel toepassingsgebied (waarop is de AVG van toepassing?) en een territoriaal toepassingsgebied (waar is de AVG van toepassing?).
Materieel is de AVG van toepassing op “de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”. Hierop zijn in hetzelfde artikel ook enkele uitzonderingen opgenomen. Over deze uitzonderingen, waarbij de AVG dus niet van toepassing is op de verwerking van persoonsgegevens, lees je meer in een toekomstige aBOUT Privacy blog. Deze verschijnt op 11 februari.
Grofweg bestaat het materiële toepassingsgebied dus uit twee categorieën:
Om te kunnen beoordelen of sprake is van een (geautomatiseerde dan wel in een bestand vastgelegde) verwerking, is het van belang om eerst het begrip “persoonsgegeven” kort toe te lichten. Het is namelijk misschien wel het belangrijkste begrip uit de AVG. In de AVG is ‘persoonsgegeven’ gedefinieerd als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Deze definitie is behoorlijk ruim en dient ook dusdanig opgevat te worden.
Onder ‘alle informatie’ valt bijvoorbeeld niet alleen geschreven tekst, maar ook geluid en beeld. Ook hoeft de informatie niet feitelijk juist te zijn. Subjectieve informatie, zoals meningen of beoordelingen, kan ook onder het begrip ‘persoonsgegeven’ vallen. Toch is dit begrip niet alomvattend: gegevens van rechtspersonen, overleden personen en anonieme gegevens vallen er namelijk niet onder.
De informatie moet dus zien op een ‘natuurlijke persoon’. Informatie over rechtspersonen en bedrijven valt in principe niet onder het begrip persoonsgegeven. Toch is niet alle informatie over bedrijven per definitie uitgezonderd van de AVG. Het is namelijk niet uitgesloten dat informatie over een bedrijf óók ziet op een natuurlijke persoon, bijvoorbeeld omdat die persoon een bestuurder, aandeelhouder of werknemer is van het bedrijf. In die gevallen zou dan wel sprake kunnen zijn van een persoonsgegeven.
Ten slotte moet de natuurlijke persoon ‘geïdentificeerd of identificeerbaar’ zijn. Het gaat dus niet om gegevens die dusdanig geanonimiseerd zijn, dat het onmogelijk is om de betreffende persoon te achterhalen.
Lees voor meer informatie over wat een persoonsgegeven is, onze aBOUT Privacy blog over persoonsgegevens. De blog over persoonsgegevens, verschijnt op 25 februari.
Zoals hierboven aangegeven, bestaat het materiële toepassingsgebied uit twee categorieën van verwerkingen.
Voor wat betreft de geautomatiseerde verwerking gaat het om iedere bewerking (of een geheel van bewerkingen) met betrekking tot persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedés. Onder deze definitie van verwerking valt vrijwel iedere denkbare handeling: van verzamelen en vastleggen tot raadplegen en vernietigen. De vraag stellen of de handeling ten aanzien van persoonsgegevens een verwerking is, is de vraag beantwoorden. Vrijwel altijd zal er sprake zijn van een verwerking.
De verwerking moet ook (in meer of mindere mate) geautomatiseerd zijn. In beginsel vallen louter handmatige handelingen dus niet onder de verwerking van persoonsgegevens. De term ‘geautomatiseerde verwerking’ wordt echter ruim uitgelegd. Wanneer de verwerking ook maar enigszins gepaard gaat met een digitaal aspect, denk bijvoorbeeld aan het aflezen van een computerscherm, dan zal bijna altijd al sprake zijn van een geautomatiseerde verwerking.
Zelfs als (ondanks de ruime uitleg van het begrip) geen sprake is van een ‘geautomatiseerde verwerking’, kan een verwerking nog steeds onder de AVG vallen. Het is namelijk zo dat wanneer persoonsgegevens in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen, dit een verwerking is waarop de AVG van toepassing is.
Onder een ‘bestand’ verstaat men in de AVG ‘elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid’. Belangrijk is dat het gaat om gegevens die volgens specifieke criteria zijn gestructureerd om het daarmee mogelijk te maken de gegevens gemakkelijk terug te vinden voor een later gebruik. In de praktijk is ook hier snel sprake van. Het enkele feit dat de verwerkingsverantwoordelijke er zelf voor zorgt dat de gegevens niet gestructureerd zijn, zal de toepassing van de AVG niet in de weg staan. Een rommelige opslag is dus geen vrijbrief ten aanzien van de AVG- regelgeving.
Nu het materiële toepassingsgebied duidelijk is, kan het territoriale toepassingsgebied besproken worden. Waar is de AVG van toepassing?
Volgens artikel 3 AVG betreft dit verwerkingsverantwoordelijken of verwerkers met een vestiging in de Europese Unie. Het maakt niet uit of de vestiging een hoofdvestiging betreft, want ook bij verwerkingsactiviteiten verricht door een kleine vestiging of bijkantoor, is de AVG van toepassing. Iedere vorm van reële en daadwerkelijke activiteiten die door of via een duurzame vestiging worden uitgeoefend, valt onder het begrip ‘vestiging’. Ongeacht hoe gering de activiteiten zijn.
De AVG kan zelfs van toepassing zijn op verwerkingsverantwoordelijken zonder een daadwerkelijke vestiging in de Europese Unie. Dit is echter alleen het geval wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan betrokkenen of het monitoren van gedrag binnen de Europese Unie.
Samenvattend is de AVG, zolang het gaat om handelingen ten aanzien van persoonsgegevens in de Europese Unie, in bijna alle gevallen van toepassing. Maar wat is een hoofdregel zonder uitzonderingen? In de volgende aBOUT Privacy blog (11 februari) bespreken we wanneer de AVG níet van toepassing is en wanneer dus bijvoorbeeld een beroep op een uitzonderingsgrond kan worden gedaan.
Heeft u vragen over het territoriale bereik van de AVG, bijvoorbeeld omdat u gebruik maakt van diensten van ondernemers gevestigd buiten Nederland of is er een specifiek onderwerp dat u graag terug zou zien in de aBOUT Privacy blogserie? Neem dan gerust contact op met een van onze advocaten van de IT/IE branche.
