De rol van de leidende toezichthouder

Organisaties die grensoverschrijdende verwerkingen uitvoeren, krijgen met één privacytoezichthouder te maken. Dat is de leidende toezichthouder. Op deze pagina leest u wat de regels zijn voor wie de leidende toezichthouder is. En hoe u zelf bepaalt wie voor uw organisatie de leidende toezichthouder is.

Op deze pagina

Regels leidende toezichthouder

De hoofdregel is dat de leidende toezichthouder de privacytoezichthouder is in de lidstaat waarin de hoofdvestiging van een organisatie is gevestigd.

Van deze hoofdregel wordt afgeweken als in een andere vestiging de beslissingen worden genomen over de doelen en middelen van de verwerking van persoonsgegevens. En die andere vestiging ook gemachtigd is om die beslissingen uit te voeren. 

In dat geval is de toezichthouder van de EU-lidstaat waar die andere vestiging staat de leidende toezichthouder.

Eén vestiging

Heeft een organisatie één vestiging in de EU (maar zijn de gegevensverwerkingen wel grensoverschrijdend)? Dan is de toezichthouder in het land waar de organisatie is gevestigd de leidende toezichthouder.

Meerdere vestigingen

Heeft een organisatie meerdere vestigingen in de EU? Dan wordt de plaats waar de centrale administratie van de organisatie zich bevindt als de hoofdvestiging gezien. Dit kan in de praktijk samenvallen met de vestiging die de organisatie zelf aanwijst als hoofdkantoor.

Maar worden de beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging genomen? Dan zien de toezichthouders die andere vestiging als de hoofdvestiging zoals bedoeld in de Algemene verordening gegevensbescherming (AVG).

Meerdere toezichthouders

Voert een organisatie verschillende grensoverschrijdende gegevensverwerkingen uit? En worden de beslissingen daarover in verschillende vestigingen genomen? Dan kunnen er meerdere leidende toezichthouders zijn.

Dit zijn de toezichthouders in de landen waar de beslissingen over de verschillende grensoverschrijdende gegevensverwerkingen worden genomen.

Guidelines leidende toezichthouder 

De Europese privacytoezichthouders hebben Guidelines for identifying a controller or processor’s lead supervisory authority gepubliceerd. Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshop-regel. 

Uw leidende toezichthouder

Wilt u als organisatie weten wie uw leidende toezichthouder is? Het stroomschema Bepaal wie uw leidende toezichthouder is helpt u op weg.

Tip: Om voordeel te hebben van het eenloketmechanisme, is het handig om de besluitvorming over de verwerking van persoonsgegevens te centraliseren op één locatie.

Uitzonderingen leidende toezichthouder

In de AVG staan 2 uitzonderingen op de regel van de leidende toezichthouder. Die houden in dat de toezichthouder van een ander land bevoegd is om onderzoek te doen naar een organisatie. Ook al is de hoofdvesting van deze organisatie niet in dit land gevestigd.

Het gaat om de volgende 2 situaties:

  1. Het is een lokale zaak, waarbij bijvoorbeeld alleen de inwoners van één bepaald land getroffen zijn.
  2. Het gaat om een spoedsituatie. Dat houdt in dat er dringend moet worden opgetreden om de rechten en vrijheden van de betrokkenen te beschermen. In dat geval kan een niet-leidende toezichthouder toch ingrijpen, bijvoorbeeld door een verwerkingsverbod op te leggen.

Een toezichthouder mag niet zomaar een beroep doen op zo’n uitzondering. De toezichthouder moet altijd eerst met de leidende toezichthouder overleggen en vragen of die de zaak wil onderzoeken. Als die besluit dat niet te doen, kan de niet-leidende toezichthouder zelf een onderzoek starten.

Als een toezichthouder zich wil beroepen op een spoedsituatie, moet de toezichthouder dit zo snel mogelijk voorleggen aan de rest van de Europese toezichthouders (verenigd in de EDPB).