De verwerkingsverantwoordelijke is de partij die doel en middelen bepaalt voor de verwerking van de persoonsgegevens. De verwerkingsverantwoordelijke bepaalt dus welke persoonsgegevens verwerkt worden en met welk doel dat gebeurt. Het is de partij die in eerste instantie de persoonsgegevens graag wil hebben en dus als eerste vraagt naar die gegevens.
Wie is de verwerkingsverantwoordelijke?
Een verwerkingsverantwoordelijke verwerkt persoonsgegevens voor diens eigen belang. De verwerking doet de organisatie niet voor een ander, maar voor zichzelf. De verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de persoonsgegevens en heeft zeggenschap over de verwerking. De verwerkingsverantwoordelijke bepaalt wie, wat, waar, waarom en hoe persoonsgegevens verwerkt worden
Soms simpelweg om dat er een wettelijke verplichting bestaat. Dan is de verwerking misschien niet vrijwillig, maar is de organisatie wel verwerkingsverantwoordelijke. Maar het kan natuurlijk ook juist wel vrijwillig zijn, omdat je persoonsgegevens van klanten verwerkt of aan marketing wilt doen waarbij je gebruik maakt van persoonsgegevens.
Even een paar voorbeelden:
- De webwinkel die persoonsgegevens nodig heeft om bestellingen af te kunnen handelen.
- De werkgever die persoonsgegevens van personeel moet verwerken.
- De onderneming die namen en e-mailadressen verzamelt om een nieuwsbrief te kunnen versturen.
- De vereniging die een ledenbestand bij moet houden voor de contributie.
- Het bedrijf dat persoonsgegevens verwerkt van klanten en contactpersonen om een dienst te kunnen leveren.
Let op dat ook een natuurlijk persoon een verwerkingsverantwoordelijke kan zijn. Bijvoorbeeld wanneer er persoonsgegevens op social media of een hobbywebsite worden gedeeld.
Wie is de verwerker?
De verwerker is de partij die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een verwerker doet dat dus niet voor zichzelf, maar voor de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de verwerkingen. De verwerker voert slechts de verwerkingen uit, maar heeft er verder geen zeggenschap over.
Weer een paar voorbeelden:
- De boekhouder die alle facturen verwerkt waar persoonsgegevens op staan.
- Het hostingbedrijf dat de cloudopslag van persoonsgegevens verzorgt.
- De e-mailprovider of nieuwsbriefdienst die namen en e-mailadressen verwerkt.
- De drukker die namen en adressen op je direct mailing print, boeken personaliseert of de badges voor je evenement print.
- De Virtual Assistent (VA) die met eigen systemen werkt en niet binnen de beveiligde gegevens van de opdrachtgever werkt.
Allebei verwerkingsverantwoordelijke
Soms kan een verwerker de persoonsgegevens die hij voor de verwerkingsverantwoordelijke verwerkt, óók voor zichzelf verwerken, voor een eigen doel en met eigen middelen.
Die partij heeft dan twee petten op. Hij is verwerker voor zover hij in opdracht werkt van de verwerkingsverantwoordelijke, maar is zelf verwerkingsverantwoordelijke voor zover die voor zichzelf de persoonsgegevens verwerkt.
Denk bijvoorbeeld aan:
- De fotograaf of videograaf die in opdracht beeld maakt van personen, maar dit ook opneemt in eigen portfolio of als stockfoto’s gaat verkopen.
- Het marketingbedrijf dat een opdracht uitvoert, maar voor zichzelf de resultaten analyseert en misschien zelfs profielen maakt.
Verwerkersovereenkomst
Tussen een verwerkingsverantwoordelijke en een verwerker moet een verwerkersovereenkomst worden gesloten. Dit hoeft geen nieuw document te zijn, maar kan ook al opgenomen zijn in bijvoorbeeld de overeenkomst van opdracht of algemene voorwaarden.
Lees ook de blogpost: Wie is verantwoordelijk voor de verwerkersovereenkomst?
