Verwerkt de werkgever niet zelf persoonsgegevens, maar laat deze de feitelijke handelingen verrichten door een daarin gespecialiseerde organisatie? Dan is deze organisatie een verwerker.
De verwerkingsverantwoordelijke blijft ook verantwoordelijk voor de verwerkingen die worden uitbesteed.
Verwerkersovereenkomst
De AVG schrijft voor dat de verwerkingsverantwoordelijke en de verwerker afspraken maken over de verwerking. Dat doen zij in een verwerkersovereenkomst. Hierin staan afspraken over de precieze opdracht van de verwerking, wat de verwerker wel en niet met de persoonsgegevens mag doen en welke waarborgen worden getroffen om gegevens te beveiligen. De verwerker mag de persoonsgegevens niet voor andere (eigen) doeleinden gebruiken.
Ook spreken de verwerker en de verwerkingsverantwoordelijke af dat de verwerker de persoonsgegevens verwijdert na afloop van de verwerkingsdiensten. Of dat de persoonsgegevens terug worden gegeven aan de verwerkingsverantwoordelijke.
Verwerker of verwerkingsverantwoordelijke?
In de praktijk kan het lastig zijn om te bepalen of een organisatie verwerker of verwerkingsverantwoordelijke is.
Een paar voorbeelden van verwerkers die een organisatie wellicht inzet om persoonsgegevens van werknemers te verwerken:
- Salarisadministratiebureaus: geeft de werkgever duidelijke instructies over wie er betaald moet worden, op welke datum en hoe lang de gegevens bewaard moeten blijven? Dan vindt de
verwerking van persoonsgegevens plaats in opdracht van de werkgever. Het salarisadministratiebureau mag als verwerker de persoonsgegevens niet voor eigen doeleinden gebruiken. - IT-dienstverlener: schakelt de werkgever een IT-dienstverlener in om de IT-systemen van de organisatie te beheren? Dan is het vaak onvermijdelijk dat de IT-dienstverlener systematisch toegang heeft tot persoonlijke gegevens van werknemers. Hoewel de toegang tot deze persoonsgegevens niet het hoofddoel is van de ondersteunende dienstverlening, moet de werkgever als verwerkingsverantwoordelijke afspraken maken met deze verwerker.
Verwerkt de andere organisatie de door de werkgever verstrekte persoonsgegevens voor eigen, zelf bepaalde doeleinden? Dan is deze organisatie ook verwerkingsverantwoordelijke en is sprake van gezamenlijke verwerkingsverantwoordelijkheid.
Bron: OR-privacyboekje van Autoriteit Persoonsgegevens
Richtsnoeren AVG
Volgens Melanie Hermes, directeur | Juridisch adviseur arbeidsrecht & privacy Fiscount Juristen en spreker op de Nationale Salarisdag doe je als salarisadministratiebureau meer dan wat hierboven wordt genoemd:
“Je wijst klanten op de toepasselijke cao of meer in het algemeen op wet- en regelgeving, beoordeelt en corrigeert waar nodig gegevens en checkt of er voordelen te behalen zijn. Wat mij betreft sluit dit veel meer aan bij de dagelijkse praktijk en ben je dus een verwerkingsverantwoordelijke en sluit je GEEN verwerkersovereenkomst. Dit standpunt wordt bevestigd in de Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals van NBA e.a.”
In de Richtsnoeren staat het volgende hierover:
Een salarisverwerkingsopdracht kan op twee manieren worden uitgevoerd:
- Het uitvoeren van de “kale” loonverwerking, daar waar de zakelijke dienstverlener aan zijn klant
enkel de IT-infrastructuur (een loonpakket) ter beschikking stelt ten behoeve van het opstellen
van loonberekeningen/loonstroken en/of daar waar de zakelijke dienstverlener alleen de door de
klant aangeleverde gegevens invoert in het loonpakket zonder daarbij aanvullende controle- of
advieswerkzaamheden te verrichten; of - Een uitgebreidere vorm van dienstverlening, waarbij niet alleen de IT-infrastructuur ter beschikking wordt gesteld maar waarbij de zakelijke dienstverlener ook controlerende en adviserende werkzaamheden uitvoert, zoals advisering ten aanzien van de inrichting van de loonadministratie, het beoordelen en waar nodig corrigeren van aangeleverde gegevens en het toetsen of wordt voldaan aan wet- en regelgeving (fiscale regelgeving, cao’s, pensioenafspraken etc.).
Bij het “kale” loonverwerkingsmodel treedt de zakelijke dienstverlener op als verwerker, nu hij alleen in
opdracht en ten behoeve van zijn klant, overeenkomstig de instructies van de klant, persoonsgegevens verwerkt.
Bij het uitvoeren van de uitgebreidere vorm van salarisverwerking treedt de zakelijke dienstverlener op als verwerkingsverantwoordelijke.
Bij het uitvoeren van de salarisverwerkingsopdracht beoordeelt de zakelijke dienstverlener bepaalde zaken zelfstandig – bijvoorbeeld of de ingevoerde gegevens voldoen aan wet- en regelgeving – en daar waar nodig bepaalt hij of aanvullende werkzaamheden moeten worden uitgevoerd. De zakelijke dienstverlener wordt bij deze variant ingeschakeld vanwege zijn vaktechnische expertise.