Richtlijn 95/46

Richtlijn 95/46 behandelt slechts zeer kort de samenwerking tussen de verschillende toezichthoudende autoriteiten wanneer er verschillende nationale toezichthoudende autoriteiten bevoegd zijn voor de verwerking van persoonsgegevens. De modaliteiten van deze samenwerking werden niet opgenomen in de Richtlijn en er was ook geen duidelijkheid over de bevoegde toezichthoudende autoriteit voor een multinational met vestigingen in verschillende lidstaten van de Europese Unie.

Rechtzetting in de GDPR

Om aan dit gebrek aan coördinatie tegemoet te komen en om te verzekeren dat deze bepalingen op een coherente wijze zouden worden toegepast binnen de Europese Unie, heeft de GDPR verschillende mechanismes ingevoerd, zoals het mechanisme van de “leidende toezichthoudende autoriteit” en het “één-loketmechanisme” (of “one-stop-shop”).

Deze principes hebben belangrijke implicaties voor multinationals met verschillende vestigingen binnen de Europese Unie. Voor ondernemingen die in verschillende landen van de Europese Unie zijn gevestigd, kunnen meerdere nationale toezichthoudende autoriteiten betrokken worden. Maar welke toezichthoudende autoriteit is dan bevoegd?

Leidende toezichthoudende autoriteit

Om de toepassing van de regels in de GDPR en het toezicht hierop te vergemakkelijken, heeft de GDPR vooreerst een systeem ingevoerd van de “leidende toezichthoudende autoriteit”.

Indien de verwerkingsverantwoordelijke of de verwerker in verschillende lidstaten is gevestigd, zal de toezichthoudende autoriteit van de hoofdvestiging beschouwd worden als “leidende toezichthoudende autoriteit” voor zgn. grensoverschrijdende verwerkingen van persoonsgegevens (bvb. een bepaald systeem dat door alle entiteiten van de groep in alle landen wordt gebruikt en in het kader waarvan persoonsgegevens worden verwerkt).

Deze hoofdvestiging is in principe de plaats van de centrale administratie van de onderneming in de Europese Unie (centrale zetel), behalve wanneer de beslissingen betreffende de doeleinden en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging. In dat geval zal deze laatste beschouwd worden als hoofdvestiging.

Wanneer we het voorbeeld nemen van een bank met maatschappelijk zetel in Frankfurt en waarvan alle verwerkingsactiviteiten worden georganiseerd vanuit deze plaats, behalve voor hun verzekeringsdepartement, dat gevestigd is in Wenen. Indien deze laatste de bevoegdheid heeft om beslissingen te nemen betreffende de verwerking van persoonsgegevens verbonden aan deze verzekeringsactiviteit en over de bevoegdheid beschikt om deze beslissingen te implementeren in de gehele Europese Unie, dan zal de Oostenrijkse toezichthoudende autoriteit de “leidende toezichthoudende autoriteit” zijn voor de verwerking van persoonsgegevens met verzekeringsdoeleinden.

Indien de verwerking wordt georganiseerd door een groep van ondernemingen met zetel in de Europese Unie, moet de plaats van de vestiging die het globale toezicht uitoefent beschouwd worden als hoofdvestiging van de verwerkingsverantwoordelijke, zijnde de moederonderneming of de operationele zetel van de groep, behoudens wanneer het doel en de middelen voor de verwerking worden bepaald door andere vestigingen.

Belangrijke randbemerking die daarbij te maken valt, is dat lokale verwerkingsactiviteiten, waarvoor de lokale vennootschap van een groep de verwerkingsverantwoordelijkheid draagt, wat bijvoorbeeld vaak het geval zal zijn in het kader van HR, niet onder de bevoegdheid van de leidende toezichthoudende autoriteit vallen. Voor deze verwerkingen zal nog steeds de lokale toezichthouder bevoegd blijven.

One-stop-shop

In het kader van het principe van het “één-loketmechanisme”, zullen de ondernemingen de mogelijkheid hebben om te werken met één enkele toezichthoudende autoriteit, deze van de lidstaat waar hun hoofdvestiging ligt, zijnde de “leidende toezichthoudende autoriteit”.

De ondernemingen hebben ook één contactpersoon binnen de Europese Unie in het kader van de bescherming van persoonsgegevens, wanneer zij overgaan tot grensoverschrijdende verwerkingen van persoonsgegevens.

Er dient te worden verduidelijkt dat deze regels betreffende de “leidende toezichthoudende autoriteit” en het “één-loketmechanisme” niet van toepassing zijn wanneer de verwerking wordt uitgevoerd door een overheidsinstantie of een particulier orgaan met een taak van algemeen belang. In dat geval is de enige bevoegde toezichthoudende autoriteit de toezichthoudende autoriteit van de lidstaat waar de overheidsinstantie of het particulier orgaan is gevestigd.

De Werkgroep Artikel 29 verduidelijkt dat de verwerkingsverantwoordelijken die geen vestiging binnen de Europese Unie hebben zijn uitgesloten van het "één-loketmechanisme" en, via hun lokale vertegenwoordigers moeten samenwerken met de nationale toezichthoudende autoriteiten van elke Lidstaat waarin zij actief zijn.

• Conclusie

Hoewel de intenties van de Europese wetgever om dit mechanisme van de "leidende toezichthoudende autoriteit" en het "één-loketmechanisme" verdienstelijk zijn om de administratieve lasten van ondernemingen in hun contacten met nationale toezichthoudende autoriteiten te vergemakkelijken, zal de impact van deze mechanismes o.i. zeer beperkt zijn op het vlak van HR omdat de verwerkingsactiviteiten in dat kader meestal niet als grensoverschrijdend kunnen worden beschouwd.