De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen 3e Concept Landelijke Tafel Juridische Aspecten van Smart Mobility DITCM INNOVATIONS WWW.DITCM.EU 4-3-2016
De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen Doelstelling van deze handreiking Deelnemende partijen bij C-ITS toepassingen treden regelmatig op in consortia, of andere samenwerkingsverbanden. In het geval dat bij deze C-ITS toepassingen persoonsgegevens worden verwerkt rijst de vraag wie als verantwoordelijke voor de verwerking in de zijn van de Wet Bescherming Persoonsgegevens (WBP) moet worden aangemerkt. De verantwoordelijke in de zin van WBP is degene die het doel en de middelen van de verwerking van de persoonsgegevens bepaald. Uitgangspunt daarbij is dat de burger wiens gegevens worden verwerkt, de betrokkene, niet de dupe mag worden van onduidelijkheid over wie binnen een consortium de verantwoordelijke is. In deze handreiking worden aanbevelingen geformuleerd over hoe te komen tot een goede invulling van de positie van de verantwoordelijke binnen samenwerkingsverbanden bij C-ITS toepassingen. Wettelijk kader Een van de doelen van de Wet Bescherming Persoonsgegevens (WBP) is om de privacy van betrokkenen te beschermen bij de verwerking van hun persoonsgegevens. Bij het aanbieden en gebruiken van toepassingen die persoonsgegevens verwerken, is het daarom van belang te bepalen wie de verantwoordelijke is voor de verwerking daarvan, wie op de verwerking kan worden aangesproken. Als niet helder is op wie deze belangrijke verplichting rust, als er geen verantwoordelijke is, of juist een heel groot aantal mogelijke verantwoordelijken, dan is onvoldoende duidelijk welke organisatie aanspreekbaar is voor de verwerking van persoonsgegevens. Voor de betrokkene is het in zo'n geval niet goed mogelijk om zijn rechten, zoals het recht op inzage, van correctie en/of verwijdering van persoonsgegevens, uit te oefenen. Bovendien rust op de verantwoordelijke een aantal verplichtingen, zoals het informeren van een burger dat over hem persoonsgegevens worden verwerkt. Handreiking In situaties waarin verschillende bedrijven en/of personen bij C-ITS toepassingen betrokken zijn, is het om hiervoor genoemde redenen van belang goed van te voren te bepalen hoe de verantwoordelijkheid in de zin van de WBP is geregeld. Daarbij zijn de volgende interne en externe aandachtspunten van belang: Extern Het is aan de aanbieder van de dienst om naar de gebruiker helder te communiceren hoe de verantwoordelijkheid is geregeld en wie daarop, bijvoorbeeld in het geval van een consortium, aanspreekbaar is. Interne onduidelijkheid over wie als verantwoordelijke optreedt kan niet aan de klant worden tegengeworpen. Intern Bij C-ITS dienstverlening zal de verantwoordelijkheid van de verantwoordelijke mede kunnen blijken uit feiten en omstandigheden zoals contracten, feitelijke zeggenschap en feitelijke zichtbaarheid als verantwoordelijke. Wanneer niet elke partij evenveel zeggenschap heeft, zal ook niet elke partij in een zelfde mate verantwoordelijk zijn.
Voorbeeld Consortium Zoof, project A58 Het Zoof project op de A58 kent twee varianten. De eerste is de connected variant, via de smartphone van de gebruiker en het telefoonnet. De tweede is de coöperatieve variant via een OBU in de auto. In deze handreiking in het kader van C-ITS wordt alleen de coöperatieve variant besproken. De eerste vraag die in dit kader van belang is is of er sprake is van de verwerking van persoonsgegevens. De gegevens die gevraagd worden zijn: email adres en 'nick' name, een door de deelnemer zelf gekozen naam. Op zich is hieruit nog geen persoon te herleiden, maar door het gebruik van de on board unit en door de geo-informatie over de gereden trajecten zal toch snel sprake zijn van tot de persoon herleidbare en dus persoonsgegevens. Daarmee is de Wet bescherming persoonsgegevens van toepassing. Vervolgens is de vraag wie de verantwoordelijke is. Dit is volgens de wet degene die doel en middelen van de gegevensverzameling bepaald. Gelet op de onderlinge verhoudingen binnen Zoof, waarbij V-tron doel en middelen van de verwerking bepaalt, zal V-tron als verantwoordelijke moeten worden aangemerkt. De verzamelde gegevens zijn het emailadres en zelfgekozen naam en de geo-informatie die gedurende het gebruik van de app wordt verzameld. Met die informatie wordt de dienst gemaakt die vervolgens terug wordt gezonden in de vorm van een verkeersadvies. Naast V-tron zijn nog twee partijen betrokken bij de Zoof app:.tim en Fortress. Deze laatste is bouwer van de app, niet betrokken bij de operationele activiteiten en heeft dan ook geen toegang tot persoonsgegevens. Met de andere partner,.tim, heeft V-tron een bewerkersovereenkomst gesloten omdat zij de tijdelijke opslag van gegevens verzorgen tussen de OBU en de back-office van V-tron. De data uit de OBU gaan via de wegkantsoftware van Viallis en Siemens en het glasvezelnetwerk van Rijkswaterstaat naar de back-office van V-tron. Het glasvezelnet van Rijkswaterstaat is in beheer bij KPN. Al deze partijen verwerken gegevens onder verantwoordelijkheid van V-tron. V-tron zal dus met de andere partijen die betrokken zijn bij de verwerking van persoonsgegevens een verwerkingsovereenkomst moeten sluiten:.tim Viallis en Siemens RWS KPN Omdat zij de gegevens uit de OBU's tijdelijk opslaan. Omdat zij via hun servers toegang hebben tot de persoonsgegevens die via het glasvezelnet gaan. Omdat de persoonsgegevens over hun glasvezelnetwerk worden verzonden. omdat zij het glasvezelnetwerk beheren en daarmee toegang hebben tot de daarover getransporteerde persoonsgegevens.
Toelichting op de handreiking Het begrip verantwoordelijke Definitie De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (art. 1, onder d, Wbp). Het gaat dus om degene die bepaalt welke persoonsgegevens op welke wijze en voor welk doel worden verwerkt. De definitie van het begrip verantwoordelijke is opgebouwd uit drie onderdelen: 1. het personele aspect, ( de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam ), 2. de mogelijkheid van gezamenlijke verantwoordelijkheid ( die, respectievelijk dat, alleen of tezamen met anderen ) en, 3. de wezenlijke aspecten waarmee de voor de verwerking verantwoordelijke van andere partijen kan worden onderscheiden ( het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt ). Bij C-ITS toepassingen kan de verantwoordelijke bijvoorbeeld de partij zijn die de applicatie levert, of de dienstverlener van de C-ITS dienst. De verantwoordelijke moet worden onderscheiden van de bewerker (art. 1, onder e, Wbp), die in opdracht van de verantwoordelijke de persoonsgegevens bewerkt. Bij C-ITS toepassingen kan een bewerker bijvoorbeeld een toeleverende dienstverlener zijn die een veredelingsslag maakt op de oorspronkelijke data. Relevante factoren bij het begrip verantwoordelijke De EU toezichthouders 1, hebben een analyse gemaakt van de hiervoor genoemde drie aspecten. Daarbij is vastgesteld dat, gelet op de grote variëteit aan (rechts)verhoudingen, wie de verantwoordelijke is mede zal worden bepaald door de feitelijke omstandigheden en andere feiten. Bij die feiten valt te denken aan contractuele verhoudingen, daadwerkelijke zeggenschap van een partij en zichtbaarheid voor de betrokkenen. Om als verantwoordelijke te kunnen worden aangemerkt zal dus sprake moeten zijn van een van de genoemde factoren. In het recent verschenen CBP rapport over wifi-tracking is een opsomming opgenomen van praktische indicaties als het erom gaat wie als verantwoordelijke moet worden aangemerkt. Het gaat om de volgende indicaties voor verantwoordelijkheid: - het bepalen van de doeleinden voor de gegevensverwerking; - het bepalen van de middelen die aangewend worden voor de verwerking; - het bepalen welke gegevens worden verwerkt; - het bepalen van de bewaartermijnen; - zeggenschap over de toegang tot de gegevens; 1 Artikel 29 Werkgroep, Advies 1/2010 over de begrippen voor de verwerking verantwoordelijke en verwerker
- zeggenschap over de informatie die wordt verstrekt aan de betrokkene; - zeggenschap over het verstrekken van gegevens aan derden en/of naar partijen in landen buiten de EU; - de contractuele afspraken over gegevensverwerking tussen partijen. 2 Contractuele afspraken zijn dus niet doorslaggevend. Uiteraard is uit (contractuele) afspraken tussen partijen af te leiden hoe de verantwoordelijkheden voor gegevensverwerking zijn verdeeld over de partijen. Echter van de juridische verdeling van verantwoordelijkheden die partijen zelf voor ogen hadden mag de betrokkene niet de dupe worden. De Memorie van Toelichting van de WBP geeft aan dat er bij de beantwoording van de vraag wie de verantwoordelijke is, enerzijds dient te worden uitgegaan van de formeel-juridische bevoegdheid om doel en middelen van de gegevensverwerking vast te stellen, anderzijds in aanvulling daarop van de functionele inhoud van het begrip. Overeenkomsten zijn wel een goed aanknopingspunt om te beginnen wanneer de verantwoordelijkheid voor gegevensverwerking moet worden vastgesteld. De Bij onderneming dienstverlening of zoals instantie C-ITS is uiteindelijk zal verantwoordelijkheid voor van de verwerking van gegevens verantwoordelijke en verplichtingen mede blijken die uit voortvloeien feiten en omstandigheden uit de wetgeving zoals voor contracten, gegevensbescherming. feitelijke zeggenschap en feitelijke zichtbaarheid als verantwoordelijke. Deze grondslag voor de verantwoordelijkheid kan dus een breed scala van partijen opleveren die de rol van voor de verwerking verantwoordelijke kunnen vervullen. Daarbij is een onderneming of instantie zelf als verantwoordelijke voor de verwerking te beschouwen, en niet een specifieke persoon binnen de onderneming of de instantie. Gezamenlijke verantwoordelijkheid De Wbp en de richtlijn gaan ervan uit dat de zeggenschap en bevoegdheden ten aanzien van de belangrijkste aspecten van dataverwerking meestal bij dezelfde natuurlijke of rechtspersoon of anderszins liggen. Is dit niet het geval, dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. In toenemende mate echter wordt echter rekening gehouden met situaties waarin verschillende partijen als voor de verwerking verantwoordelijke optreden. Deze gezamenlijke verantwoordelijkheid dient op dezelfde wijze te worden beoordeeld als de individuele verantwoordelijkheid. Daarbij dient een inhoudelijke en functionele benadering te worden gevolgd, en met name te worden bezien of de wezenlijke aspecten van de middelen door meer dan een partij worden vastgesteld. Het kan voorkomen dat, in gevallen dat van gezamenlijke verantwoordelijkheid sprake is, partijen niet altijd een even grote rol en inbreng hebben. In die gevallen kan sprake zijn van verschillende vormen van gezamenlijke verantwoordelijkheid: 2 Verwijzing rapport Cbp over Wifi-tracking
- 'gemeenschappelijke verantwoordelijkheid', - 'afzonderlijke verantwoordelijkheid' - 'gezamenlijke verantwoordelijkheid'. Dit onderscheid, gemaakt in de Memorie van Toelichting bij de WBP, kan helpen bij het bepalen van de verantwoordelijkheidsverdeling in een consortium. Bij een gemeenschappelijke verantwoordelijkheid is er sprake van een verantwoordelijke voor de verwerking van persoonsgegevens in het gehele proces. Deze kan door de betrokkene worden aangesproken. De andere deelnemers kunnen in dat geval als verwerkers worden aangemerkt. Deze vorm met een verantwoordelijke schept voor de betrokkene het meest duidelijkheid. In het tweede geval zijn er afzonderlijke verantwoordelijkheden voor deelverwerkingen. De betrokkene kan dan slechts de deelverantwoordelijke aanspreken in wiens deel van het proces is de verwerking heeft plaatsgevonden. Omdat onduidelijkheid over de verdeling niet kan worden tegengeworpen aan de betrokkene stelt deze vorm binnen een consortium heel hoge eisen aan de transparantie van de verwerkingen. In het derde geval zijn de verwerkingen zodanig geïntegreerd dat er sprake is van een gezamenlijke verantwoordelijkheid. Daarbij is ieder van de verwerkers hoofdelijk aansprakelijk voor de goede verwerking van de gegevens ten aanzien van de betrokkene. Deze kan ieder van de consortiumleden aanspreken voor de gehele verwerking van persoonsgegevens in het proces. Als partijen de verantwoordelijkheidsverdeling niet vooraf hebben vastgesteld, dan zal uit feiten en omstandigheden moeten worden afgeleid in welke mate welke deelnemer verantwoordelijk is voor de verwerking van persoonsgegevens. Wanneer niet elke partij evenveel zeggenschap heeft, is ook niet elke partij in een zelfde mate verantwoordelijk. Dat geldt ook voor de aansprakelijkheid, zeker niet in alle gevallen kan worden aangenomen dat er sprake is van een gezamenlijke en hoofdelijke aansprakelijkheid. Het is zeer wel mogelijk dat in complexe systemen de toegang tot persoonsgegevens en de uitoefening van andere rechten van betrokkenen op verschillende niveaus door verschillende partijen, als afzonderlijke verantwoordelijken, wordt gewaarborgd. Interne onduidelijkheid over wie als verantwoordelijke optreedt kan niet worden tegengeworpen aan de klant. Verantwoordelijke bij geolocatiediensten Dit noopt dienstaanbieders binnen C-ITS om de verantwoordelijkheid voor de klant helder vast te stellen. In 'advies 13/2011' 3 over geolocatiediensten op slimme mobiele apparaten erkent WP29 de complexiteit bij het vaststellen van de verantwoordelijke bij diensten die geo-locatiegegevens verwerken. Hier kunnen verschillende service providers betrokken zijn die een heel verschillende rol kunnen hebben. 1. Om te beginnen de telecomprovider die de verbinding met het slimme apparaat 3 Artikel 29 Werkgroep, 'advies 13/2011 over geolocatiediensten op slimme mobiele apparaten'
verzorgt. Zijn rol als verantwoordelijke wordt geregeld in de specifieke regelgeving voor telecomproviders (e-richtlijn). 2. Vervolgens de serviceprovider die de dienst levert aan de betrokkene. Dit zal in het algemeen ook degene zijn die alleen of tezamen met anderen doel en middelen van de verwerking vaststelt. Als hij dit samen met een andere serviceprovider doet valt die ook onder deze categorie. 3. Dan zijn er de dienstverleners die wel in het kader van de te leveren dienst persoonsgegevens verwerken, maar die niet doel en middelen bepalen. Zij zijn 'verwerker' in de zin van de WBP. Te denken valt aan een partij die het ketensignaal dat persoonsgegevens bevat veredeld. 4. Tenslotte zijn er de dienstverleners die wel een belangrijke rol spelen bij het tot stand komen van de dienst, maar die zelf geen gegevens verwerken. Te denken valt aan een dataleverancier. De verantwoordelijke zit gelet op de wettekst in beginsel onder 2, de service provider die de dienst levert. Hoewel ook andere dienstverleners functioneel een verantwoordelijkheid kunnen hebben is de aanbieder van de dienst de eerst aangewezene om hierover naar de betrokkene duidelijkheid te scheppen. Het is aan de aanbieder van de dienst om naar de gebruiker helderheid te scheppen over hoe de verantwoordelijkheid is geregeld, en wie daarop aanspreekbaar is.