Het eerste onderwerp waarover veel discussie lijkt te bestaan is het verschil tussen verwerker en verwerkingsverantwoordelijke. Uit een recente uitspraak van het (Europese) Hof van Justitie volgt dat een partij reeds als verwerkingsverantwoordelijke wordt aangemerkt als invloed wordt uitgeoefend op de verwerking van persoonsgegevens. Bij gezamenlijke verantwoordelijkheid hoeft geen sprake te zijn van een gelijkwaardige verantwoordelijkheid ten aanzien van de verwerking van persoonsgegevens. Dit is onder meer de reden waarom wij van oordeel waren en zijn dat een VvE-beheerder en een VvE in veel gevallen gezamenlijke verwerkingsverantwoordelijken zijn.
Het tweede onderwerp waarover niet zozeer veel discussie bestaat, maar wel onduidelijkheid, is in welk geval een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP). Een inbreuk in verband met persoonsgegevens moet gemeld worden binnen 72 uur nadat de verwerkingsverantwoordelijke daarvan kennis heeft genomen, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De vraag wanneer een risico niet waarschijnlijk is, laat zich niet zonder meer beantwoorden. Recent heeft de AP een boete van € 600.000,- opgelegd aan taxidienst Uber vanwege het niet melden van een datalek. Onbevoegden hadden via uitgelekte gebruikersnamen en wachtwoorden, toegang tot onder meer nummers van rijbewijzen, bankgegevens, locatiegegevens van inschrijving, mobiele nummers en e-mailadressen. Een wezenlijk datalek zoals in dit geval, dient dus gemeld te worden bij de AP.
Rijssenbeek Advocaten verzorgt met enige regelmaat AVG-cursussen voor VvE’s en VvE-beheerders. Als u interesse heeft, neem dan contact op met mr. Paul Bekkers of Arzu Ilbay.
