Gaat de Autoriteit Persoonsgegevens ook over klanten uit het buitenland?

22 juli 2019

Het is ons nog niet duidelijk of de Autoriteit Persoonsgevens ook de toezichthouder is als wij persoonsgegevens van Belgische klanten verwerken?

Als uw organisatie persoonsgegevens van mensen met verschillende nationaliteiten verwerkt, krijgt u te maken met de onestopshop-regel. Die houdt in dat u maar met één privacytoezichthouder zaken hoeft te doen. De onestopshop-regel is van toepassing als u grensoverschrijdend persoonsgegevens verwerkt, dat wil zeggen: u verwerkt persoonsgegevens in verschillende EU-landen of de verwerkingen hebben impact op meerdere EU-lidstaten. Denk aan een Nederlandse webwinkel die klanten uit heel Europa bedient.

Leidende toezichthouder

U heeft dus met één toezichthouder te maken, ook als u Duitse en Belgische klanten heeft. Deze toezichthouder heet ook wel de leidende toezichthouder. In de regel is de toezichthouder van het EU-land waar de (hoofd)vestiging van de organisatie zich bevindt de leidende toezichthouder. Dat wil niet zeggen dat u niet indirect te maken kunt krijgen met meerdere toezichthouders. De leidende toezichthouder is in feite de coördinator en heeft dus contact met toezichthouders van alle landen waarop de gegevensverwerking impact heeft.

Hoofdvestiging

Als de hoofdvestiging van uw organisatie in Nederland staat, heeft u dus alleen met de Autoriteit Persoonsgegevens (AP) te maken. De AP zal op haar beurt overleggen met de privacytoezichthouder in België. Toch kunt u in de praktijk met meerdere toezichthouders te maken krijgen. Dat is het geval als u meerdere grensoverschrijdende verwerkingen uitvoert en die worden aangestuurd vanuit verschillende vestigingen. De toezichthouder van het land waarin de aansturende vestiging staat is dan telkens de leidende toezichthouder.