De praktijk wijst uit dat advocaten vaak als verwerkers worden beschouwd : uit hoofde van het dienstverlenend karakter van hun activiteit zou men inderdaad kunnen concluderen dat de verwerking van de door de cliënt ter beschikking gestelde persoonsgegevens deze kwalificatie rechtvaardigt.
Echter, enige nuancering is hier op zijn plaats.
De criteria die de GDPR voorlegt om te bepalen of een dienstverlener (advocaat) al dan niet verwerker is, zijn :
-
bepaalt de dienstverlener het doel van de verwerking, is hij/zij bij deze bepaling betrokken?
-
bepaalt de dienstverlener de middelen die ingezet zullen worden om het doel te bereiken, is hij/zij bij deze bepaling betrokken?
Bij een positief antwoord op deze vragen overstijgt het karakter van de dienstverlening (advocaat) dat van een verwerker, en wordt de dienstverlener (advocaat) zelf een verantwoordelijke voor de verwerking van de persoonsgegevens. In deze hoedanigheid gaan de verantwoordelijkheden en aansprakelijkheden in het kader van de GDPR veel verder.
Het Europese overlegorgaan inzake privacy en databescherming, Working Party 29 of kortweg WP29 genoemd, bepaalt dat wanneer een dienstverlener “een traditionele rol en professionele deskundigheid” heeft, dat meestal betekent dat doel en middelen mee bepaald worden en dus de dienstverlener ook verantwoordelijke is voor de verwerking.
Specifiek met betrekking tot de advocatuur stelt de WP29 dat bijvoorbeeld de vertegenwoordiging van een cliënt in de rechtbank, het bepalen van de strategie die daaraan vooraf gaat alsook het bepalen van de middelen die aangewend zullen worden om de strategie uit te voeren, maken dat de advocaat moet worden gezien als een verantwoordelijke. In zijn adviesfunctie dienen we de advocaat dus te beschouwen als een verantwoordelijke voor de verwerking.
Deze redenering is evenwel niet steeds van toepassing.
De WP29 stelt eveneens dat de advocaat in sommige situaties optreedt als een verwerker in opdracht van de cliënt. Men denke hierbij aan een onderzoek naar de kredietwaardigheid van een contractpartij, of ook, een uitvoerende opdracht in incasso. In deze gevallen is het immers de cliënt die over strategie, doel en middelen beslist.
Is een verwerkersovereenkomst aangewezen, verplicht?
Strikt genomen is dat in het kader van de genoemde afwegingen dus niet steeds absoluut nodig. Wel veronderstelt de vertrouwensrelatie tussen advocaat en cliënt de nodige schriftelijke garanties in verband met de beveiliging van persoonsgegevens. De verwerkersovereenkomst biedt hier dan uiteraard wel een uitkomst.
Deze gedachtegang kan overigens worden doorgetrokken naar andere dienstverlenende beroepen. De betrokkenheid bij de bepaling van doel en middelen is daarbij steeds de bepalende factor.
Een sociaal secretariaat bepaalt zelden of nooit het doel van de verwerking en is bijgevolg een verwerker, zo ook een leasingfirma, schoonmaakbedrijf , IT-leverancier of reisbureau.
Een accountant of fiscaal adviseur daarentegen hebben significante inspraak in de bepaling van de strategie van hun cliënt en zijn dus wel verantwoordelijke voor de verwerking.
Elke verantwoordelijke dient voorafgaand aan de verwerking van persoonsgegevens een schriftelijke garantie te voorzien met alle verwerkers. Dergelijke schriftelijke garantie is onontbeerlijk en het gebrek eraan kan leiden tot forse boetes. Een afzonderlijke verwerkersovereenkomst is dus niet nodig, indien de beveiliging van de verwerking in een bindend document werd vastgelegd, bijvoorbeeld algemene voorwaarden, gegevensbeschermingsbeleid of licentievoorwaarden.
Voor meer vragen kunt u terecht bij : rudi.vandevyvere@alisadvocaten.be