Beslissing 22/2020 van de Gegevensbeschermingsautoriteit behandelt een dossier na aangifte door een onderneming van een gegevenslek.
Bij deze gelegenheid heeft de GBA ook zijn mening gegeven over een niet ondertekende verwerkersovereenkomst.
Noodzakelijke ondertekende verwerkersovereenkomst
Dat gegevenslek was gebeurd was in het kader van een samenwerking met een Indisch verwerker.
Bijgevolg waren de persoonsgegevens van 32.153 klanten voor meer dan 2 maanden zichtbaar en toegankelijk op het internet.
De Belgische onderneming had de verwerker aangesteld middels een Master IT Service Agreement afgesloten voor de inwerkingtreding van de AVG.
In dit geval eist artikel 28 van de AVG een verwerkersovereenkomst (vaak genoemd “DPA” voor Data Protection Agreement).
Er was reeds een project van verwerkersovereenkomst conform de AVG opgesteld.
Jammer genoeg was die op het moment van inwerkingtreding van de verordening echter nog niet ondertekend.
Er was dus strikt genomen gebrek aan een DPA.
Niet ondertekende verwerkersovereenkomst: Heeft de Belgische onderneming een inbreuk gepleegd?
Onderzoek van Inspectiedienst
De Inspectiedienst oordeelde dat een niet ondertekende verwerkersovereenkomst op zich strikt gezien een inbreuk uitmaakt op artikel 28 van de AVG.
Beslissing
De Geschillenkamer merkte eveneens op dat van een dergelijke onderneming wel verwacht mocht worden dat zij zich met de AVG tijdig in orde zou stellen.
De verwerking van persoonsgegevens gebeurt immers op grote schaal en is een kernactiviteit.
Eigenlijk had de ondertekende DPA dus uiterlijk op datum van inwerkingtreding van de AVG, zijnde 25 mei 2018, plaats moeten vinden.
Uiteindelijk besloot de Geschillenkamer niet tot een schending van artikel 28. Op het moment van de inwerkingtreding van de AVG bestond al een wilsovereenstemming tussen partijen op een niet ondertekende DPA.
Die wilsovereenstemming betrof de inhoud van de niet ondeterkende verwerkersovereenkomst die al door de Belgische onderneming was opgesteld en vervolgens door de verwerker werd ondertekend.
Er was dus geen gebrek aan een DPA.
Conclusie bij gebrek aan een verwerkersovereenkomst
Uiteraard moet men deze wilsovereenstemming kunnen aantonen.
Het is duidelijk eenvoudiger om een handtekening te kunnen claimen voor 25 mei 2018!
In het geval van dit besluit het contract kort na de inwerkingtreding van de AVG werd ondertekend.
Hoewel kan dit echter als precedent dienen voor bedrijven die niet de tijd hebben gehad om alle verwerkersovereenkomsten te formaliseren voor de inwerkingtreding van de AVG.
Ons advies:
Zelfs zo er op het eerste gezicht duidelijk sprake zou lijken te zijn van een inbreuk op een bepaling van de AVG, blijkt uit deze beslissing nogmaals dat alle feitelijke elementen van een zaak door de Gegevensbeschermingsautoriteit in acht genomen worden om een uiteindelijk oordeel te vellen.
Aarzel dus niet om raad in te winnen met het oog op een analyse van de concrete en feitelijke situatie van uw onderneming in geval van discussies over de naleving van de AVG.