Wie houdt toezicht op buitenlandse donaties?

10 juli 2019

Af en toe krijgen wij donaties vanuit België of Duitsland. Is het nu zo dat onze organisatie ook te maken krijgt met buitenlandse toezichthouders?

Als uw organisatie persoonsgegevens van mensen met verschillende nationaliteiten verwerkt, krijgt u te maken met de onestopshop-regel. Die houdt in dat u maar met één privacytoezichthouder zaken hoeft te doen. De onestopshopregel is van toepassing als uw organisatie grensoverschrijdend persoonsgegevens verwerkt, dat wil zeggen: u verwerkt persoonsgegevens in verschillende EU-landen of de verwerkingen hebben impact op meerdere EU-lidstaten. Een veelgebruikt voorbeeld is een Nederlandse webwinkel die klanten uit heel Europa bedient. Maar ook het ontvangen van donaties uit meerdere EU-landen valt onder grensoverschrijdend persoonsgegevens verwerken.

U heeft met één toezichthouder te maken

U heeft dus met één toezichthouder te maken, ook als u Duitse en Belgische donateurs heeft. Deze toezichthouder heet ook wel de leidende toezichthouder. In de regel is de toezichthouder van het EU-land waar de (hoofd)vestiging van de organisatie zich bevindt de leidende toezichthouder. Dat wil niet zeggen dat u niet indirect te maken kunt krijgen met meerdere toezichthouders. De leidende toezichthouder is in feite de coördinator en heeft dus contact met toezichthouders van alle landen waarop de gegevensverwerking impact heeft.

Land van de hoofdvestiging is leidend

Als de (hoofd)vestiging van uw organisatie in Nederland staat, heeft u dus alleen met de Autoriteit Persoonsgegevens (AP) te maken. De AP zal op haar beurt overleggen met de privacytoezichthouder in België en Duitsland. Toch kunt u in de praktijk met meerdere toezichthouders te maken krijgen. Dat is het geval als u meerdere grensoverschrijdende verwerkingen uitvoert en die worden aangestuurd vanuit verschillende vestigingen. De toezichthouder van het land waarin de aansturende vestiging staat, is dan telkens de leidende toezichthouder.