In de praktijk komen we nog wel eens tegen dat een (buitenlandse) organisatie beweert: ‘De AVG is niet van toepassing op onze organisatie’. We krijgen ook regelmatig vragen over: “Is de AVG van toepassing op onze partner of onze nevenvestiging buiten de EU?”. In dit artikel leggen wij uit wat daarover in de AVG staat en geven we voorbeelden van hoe dit er in de praktijk uitziet. Alvast een tipje van de sluier: ga er nooit zomaar vanuit dat de AVG niet van toepassing is!
18 september 2023 • Nieuws
Wanneer is de AVG van toepassing?
Materieel en territoriaal toepassingsgebied
Om te bepalen of de Algemene Verordening Gegevensbescherming (AVG) van toepassing is, zijn er 2 zaken die bepalend zijn (1) materieel toepassingsgebied en (2) territoriaal toepassingsgebied.
Materieel toepassingsgebied
Hier wordt beschreven op welk materie een wet van toepassing is. Zo is de AVG van toepassing op, kort gezegd, de verwerking van persoonsgegevens*. Voor de liefhebbers: de volledige omschrijving van het materieel toepassingsgebied staat in artikel 2 van de AVG.
In ditzelfde artikel 2 wordt ook beschreven dat de AVG niet van toepassing is wanneer persoonsgegevens door een natuurlijke persoon worden verwerkt, voor een zuiver persoonlijke of huishoudelijke activiteit. Denk aan dat u een lijstje maakt van genodigden voor uw verjaardagsfeest (met voor- en achternaam) in Excel.
Terug naar de praktijk. Stel, uw bedrijf doet zaken met een leverancier in China, waar u kantoorartikelen bestelt. Het bestellen en laten leveren van kantoorartikelen an sich is geen verwerking van persoonsgegevens dus dit valt niet binnen het materieel toepassingsgebied van de AVG. Overigens is het zeer waarschijnlijk dat u voor het plaatsen van die bestelling wel persoonsgegevens doorgeeft; zoals een voornaam, achternaam en een e-mailadres. Wanneer de Chinese leverancier zich richt op Europese klanten en een bestand bijhoudt van deze klanten, kunt u op basis van de volgende paragraaf, opmaken of de AVG wel of niet van toepassing is.
Territoriaal toepassingsgebied
Het territoriaal toepassingsgebied waarop de AVG van toepassing is, staat beschreven in artikel 3. Zoals waarschijnlijk al bekend, is de AVG een Europese Verordening. Dit echter betekent niet dat de AVG alleen van toepassing is wanneer de verwerking plaatsvindt in de EU.
De AVG is van toepassing wanneer persoonsgegevens worden verwerkt:
- Lid 1: door een verwerkingsverantwoordelijke of verwerker die gevestigd is in de EU, ook al vindt de verwerking niet daadwerkelijk plaats in de EU.
- Lid 2: van Europese betrokkenen, door een verantwoordelijke of verwerker die niet in de EU is gevestigd, als de verwerking verband houdt met:
- Het aanbieden van goederen of diensten aan betrokkenen in de Europese Unie
- Het monitoren van gedrag voor zover dit gedrag in de Europese Unie plaatsvindt
- Lid 3: indien op basis van internationaal publiekrecht het recht van een Lidstaat van toepassing is op een niet in de EU gevestigde verwerkingsverantwoordelijke. Denk hierbij bijvoorbeeld aan de verwerking van persoonsgegevens door ambassades en consulaten van EU-lidstaten buiten de EU.
Weer terug naar de praktijk. Stel, het hoofdkantoor van uw organisatie is gevestigd in Nederland en de organisatie laat alle verwerkingen van persoonsgegevens uitvoeren door een bijkantoor in Zuid-Afrika. De verwerking van persoonsgegevens vindt niet plaats in de EU, maar omdat het hoofdkantoor is gevestigd in Nederland, is de AVG van toepassing op grond van artikel 3 lid 1.
Stel, u maakt gebruik van een Amerikaanse CRM applicatie om uw klant- en relatiegegevens op te slaan en te beheren. Uw organisatie is verwerkingsverantwoordelijke en is gevestigd in de EU. De Amerikaanse leverancier is een verwerker van uw organisatie, in dit geval. De Amerikaanse leverancier verwerkt persoonsgegevens van Europese betrokkenen en dus is de AVG van toepassing op grond van artikel 3, lid 2.
Samenvattend
In het merendeel van de gevallen geldt dat als je persoonsgegevens verwerkt van burgers in de EU of gevestigd bent in de EU, dan is de AVG van toepassing. Constructies kunnen echter soms zo ingewikkeld zijn dat het nader onderzoek vergt om te bepalen of de AVG wel of niet van toepassing is. Denk aan: hoofd- en bijkantoren, andere vestigingen en inzet van verwerkers. Niet voor niets heeft de EDPB (European Data Protection Board, de overkoepelende organisatie van de nationale toezichthouders, zoals de Nederlandse Autoriteit Persoonsgegevens) richtlijnen gepubliceerd die ‘enkel’ gaan over het territoriaal toepassingsgebied van de AVG. Dit document bestaat uit maar liefst 31 pagina’s met daarin 25 voorbeelden verwerkt. Laat u in geval van vragen of twijfels altijd adviseren.
*) vanwege de leesbaarheid van dit artikel is voor deze beknopte omschrijving gekozen.
Heeft u vragen naar aanleiding van dit artikel of bent u benieuwd of u de AVG goed naleeft binnen uw organisatie? Neem dan gerust contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
