Moet ik in verband met het gebruik van ActiveCampaign een Functionaris voor de Gegevensbescherming aanstellen onder de nieuwe privacywetgeving?

Er zijn drie specifieke gevallen aan te wijzen wanneer het verplicht is om een Functionaris voor de Gegevensbescherming aan te wijzen¹.

 

• Wanneer de verwerking door een overheidinstantie of overheidsorgaan wordt verricht.
• Wanneer voor de verwerking regelmatige en stelselmatige observatie op grote schaal van betrokkenen is vereist.
• Wanneer er grootschalige verwerking plaatsvindt van bijzondere categorieën van gegevens of strafrechtelijke gegevens.

Overweging nummer 1 en 3 vallen duidelijk af als het gaat om de verwerkingen die plaatsvinden vanuit
ActiveCampaign. Mogelijk vallen de verwerkingen met ActiveCampaign onder het tweede specifieke geval, maar daarvoor moet duidelijk worden wat onder ‘grote schaal’ en ‘regelmatige en stelselmatige observatie’ wordt verstaan.

Onder ‘regelmatige en stelselmatige observatie’ wordt het ‘monitoren van betrokkenen’ verstaan. Dit wordt door ActiveCampaign gedaan. De vraag is alleen of dit ook op grote schaal gebeurt.

 

In de privacywetgeving wordt geen definitie gegeven voor ‘grote schaal’.

 

De WP29² geeft deze definitie ook niet, maar geeft aan dat ‘grote schaal’ door een aantal factoren bepaald wordt. Deze factoren zijn:

• Hoeveel betrokkenen zijn er? Je kunt dit aangeven in verhouding tot de bevolking in een percentage.
• Hoeveel gegevens verwerk je? Verwerk je veel persoonsgegevens of weinig? Verwerk je alleen het hoognodige of doe je ook wat extra?
• Hoe lang bewaar je de gegevens?
• Wat is de geografische reikwijdte van de gegevens?

Wanneer je door middel van een onderbouwing op basis van bovenstaande factoren kunt aantonen dat je geen regelmatige en stelselmatige observatie op grote schaal doet, hoef je geen Functionaris voor de Gegevensbescherming aan te stellen onder de nieuwe privacywetgeving.

Duidelijker dan dit is de avg wetgeving niet. Wat nou precies “grote schaal” is licht aan ieders eigen interpretatie. Zelf vind ik een percentage aan unieke contacten onder de 1% van de bevolkingsgroep waar je het meest actief bent geen grote schaal. Ben je actief in Nederland, dan hoef je bij minder dan 172.000 unieke contacten geen Functionaris voor de Gegevensbescherming aan te stellen. Maar let op, dit is onze interpretatie. Na 25 mei 2018 zullen deze kaders door praktijk situaties in Europa scherper worden is mijn verwachting. Wij zullen dit volgen en en bijhouden op onze blog.

Je zult voor je eigen bedrijf moeten onderbouwen wat “grote schaal” is. Als je bijvoorbeeld veel gegevens over iemand verzameld, dan zul je hier eerder overheen gaan. Een ander voorbeeld is het aantal werknemers wat je hebt. Heb je een eenmanszaak, dan is het aanstellen van een functionaris meteen een verdubbeling van het aantal mensen. Dat is niet proportioneel.

Let op: Sitesmid heeft uiterste zorg aan de betrouwbaarheid en actualiteit van dit blog bericht besteed. Ondanks onze zorgvuldigheid kunnen er -mede door keuzes in de interpretatie van de AVG- mogelijk onjuistheden of onvolledigheden in zitten. Om die reden kun je aan de informatie in dit blog bericht geen rechten ontlenen. Sitesmid accepteert geen aansprakelijkheid voor de inhoud van dit blog bericht.

Wij willen je zo goed mogelijk op weg helpen. Deze informatie kun je gebruiken om veel beter voorbereid een Avg specialist of jurist in te huren. Deze specialist kan meteen beginnen met het beoordelen van je gehele onderneming en deze beoordeling gebruiken om de zaken die niet juist zijn voor jouw situatie te verbeteren. Dit scheelt een hoop tijd dan vanaf nul beginnen. We gaan nog tips delen zodat je toch aan de Avg wetgeving gaat voldoen maar op zo’n manier dat het je onderneming minimaal schaad en je leads/ klanten niet irriteert.

Bronnen: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_fg.pdf
1: Artikel 37(1) AVG
2: WP29 is een onafhankelijk advies- en overlegorgaan van Europese prviacytoezichthouders.