Bron: Autoriteit Persoonsgegevens
Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of hebben jouw gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je onder de nieuwe privacywet nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacytoezichthouder je valt.
De Algemene Verordening Gegevensbescherming (AVG) gaat uit van de zogeheten onestopshop-regel. Onestopshop houdt in dat organisaties die zogeheten grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één privacytoezichthouder zaken hoeven te doen. Dit wordt de ‘leidende toezichthouder’ genoemd (lead supervisory authority).
Grensoverschrijdend
Onder grensoverschrijdende gegevensverwerkingen wordt verstaan dat een organisatie gegevens verwerkt in verschillende EU-lidstaten óf dat de verwerkingen in meerdere lidstaten impact hebben.
Leidende toezichthouder
De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen. De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.
Samenwerking
De leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan hen voor.
Richtlijnen leidende toezichthouder
De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines for identifying a controller or processor’s lead supervisory authority gepubliceerd. Deze richtlijnen geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshop-regel. Download hier de officiële Nederlandse vertaling van de richtlijnen voor leidende toezichthouder.