Wie?
Zo goed als iedere werkgever zal getroffen worden door de nieuwe regels en de manier waarop hij persoonsgegevens van zijn personeel verwerkt, op punt moeten stellen.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke draagt onder de GDPR de belangrijkste verantwoordelijkheden.
De verwerkingsverantwoordelijke is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.
In de meeste gevallen zal de werkgever de verwerkingsverantwoordelijke zijn. Het is echter ook mogelijk dat er meerdere verwerkingsverantwoordelijken zijn die samen de doeleinden en de middelen van de verwerking bepalen.
De GDPR bepaalt dat “gezamenlijke verwerkingsverantwoordelijken” op transparante manier hun verantwoordelijkheden voor de nakoming van de verplichtingen moeten vaststellen. Hierbij kan onderling geregeld worden om een contactpunt aan te wijzen voor de betrokkenen. De rol die de gezamenlijke verwerkingsverantwoordelijken hebben en hun relatie met de betrokkenen moet duidelijk blijken uit deze regeling. De betrokkenen moeten steeds toegang hebben tot de inhoud van de regeling en alle betrokkenen kunnen hun rechten tegenover iedere verwerkingsverantwoordelijke afzonderlijk uitoefenen
Verwerker
De verwerkingsverantwoordelijke kan een externe onderaannemer aanstellen om persoonsgegevens te verwerken. Die onderaannemer wordt in dat geval een “verwerker” genoemd. Dit is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.
Een verwerker die in strijd met de GDPR toch de doeleinden en de middelen van een verwerking bepaalt, wordt als een verwerkingsverantwoordelijke beschouwd, met de daarmee gepaard gaande aansprakelijkheid.
Het sociaal secretariaat, een screening agency in het kader van rekrutering en selectie, een archiveringsdienst voor e-filing, een cloud service provider voor de opslag van gegevens, een bewakingsfirma, een verzekeringsmaatschappij, een externe IT-dienstverlener, zijn typische voorbeelden van verwerkers. Hun verplichtingen zullen onder de GDPR toenemen;