GDPR: Gegevenscontrollers, gegevensverwerkers en gegevensverwerkingsovereenkomsten
Geschreven door Laurens Aalbers op 4 Minute read
Voordat u uw verplichtingen met betrekking tot de AVG kent, is het eerst belangrijk om te begrijpen of u een gegevensbeheerder of een gegevensverwerker bent.
Dit is omdat controllers veel meer te doen hebben als het gaat om naleving van de GDPR. Onder de GPDR zullen verwerkers hun eigen directe verplichtingen hebben, maar dit zijn er veel minder dan voor controllers. Momenteel moeten controllers de verwerkers contractueel verplichten om gegevens op een bepaalde manier te verwerken, maar de GDPR geeft nu expliciet aan wat er precies in dat contract moet staan.
Wat is een gegevenscontroller en wat is een gegevensverwerker?
Dus hoe weet je nu of je een controller of een verwerker bent?
Het komt allemaal neer op besluitvorming. Je vervult de controllerrol als je bepaalt:
- Waarom gegevens moeten worden verwerkt
- Hoe het moet worden verwerkt om het beoogde doel te bereiken, of beide.
Verwerkers daarentegen, beslissen nooit waarom ze gegevens verwerken, ze laten dit over aan de controller die ze geïnstrueerd heeft. Verwerkers kunnen beperkte beslissingen nemen over de manier waarop gegevens worden verwerkt voor de door de controller vastgestelde doeleinden, maar dit kunnen alleen "niet-essentiële" beslissingen zijn.
Dit betekent dat essentiële beslissingen altijd aan de controller dienen te worden overgelaten, inclusief beslissingen over welke gegevens verwerkt moeten worden om het doel van de controller of het economische model van het nagestreefde doel te bereiken.
Het belangrijkste om in gedachten te houden is dat de rollen worden toegewezen op basis van feiten.
Het is niet mogelijk om een contract af te sluiten waarin bijvoorbeeld staat: "X zal de controller zijn, Y zal de verwerker zijn" en er op deze manier zeker van te zijn dat de rolverdeling staat. Als Y in feite beslissingen heeft genomen over welke gegevens verwerkt moeten worden voor de doeleinden van X, zal Y eindigen in de rol van medecontroller naast X. Als Y besluit gegevens voor eigen doeleinden te verwerken, dan zullen zij voor dat nieuwe doel de enige controller zijn.
Wie is wie in affiliate marketing?
In affiliate marketing is de adverteerder altijd een controller, omdat alleen de adverteerder kan beslissen 'waarom' gegevens verwerkt worden; alleen de adverteerder kan bijvoorbeeld beslissen: "Laten we wat marketing online doen en commissie op CPA-basis uitbetalen".
Maar hoe zit het met netwerken en publishers? Zijn het verwerkers of gezamenlijke controllers met de adverteerder?
Awins positie is dat Awin samen met de adverteerder en de publishers een gezamenlijke controller is. Er is in feite sprake van een drieledige controller-relatie. Dit is, omdat Awin het economische model heeft gekozen en zowel Awin als publishers bepalen welke gegevens te verwerken om de affiliate marketingcampagne van de adverteerder te kunnen leveren.
Dit heeft te maken met de manier waarop transacties worden gemeten, geraadpleegd en gerapporteerd.
Hoe zijn we tot deze conclusie gekomen?
We denken dat deze conclusie de enige is die nauwkeurig weergeeft hoe het in de praktijk werkt.
Als, laten we zeggen, Awin of publishers zouden proberen om te werken binnen de beperkingen van een gegevensverwerkersrol, dan zouden ze elke nieuwe verwerking van gegevens elke keer op voorhand door de betreffende adverteerder goedgekeurd moeten krijgen. Zij kunnen deze beslissingen niet zelf nemen.
Vanuit het oogpunt van een publisher is er ook de vraag wanneer ze zouden starten met de verwerking namens de controller-adverteerder. Publishers zijn al controllers van reeds verwerkte data om hun eigen websitegebruikers te verwerven; alleen zij hebben het aparte doel bepaald "Laten we wat traffic krijgen, zodat ze de advertenties kunnen zien die we plaatsen".
Als publishers verwerkers voor adverteerders zouden zijn, op welk moment in de 'journey' van de consument naar, rondom en van de publisherwebsite verandert dan de rol? Dit zou dan per advertentie verschillen, veel minder per publisher of per publishermodel.
Wat betekent dit voor publishers?
Het voordeel hiervan is dat Awin het publishers niet verplicht om gegevensverwerkingsovereenkomsten aan te gaan.
We voegen echter nieuwe voorwaarden toe aan onze standaard publisherovereenkomst, zodat we duidelijk zijn over welke medecontroller verantwoordelijk is voor wat. Deze voorwaarden hebben bijvoorbeeld betrekking op de manier waarop Awin en publishers zullen omgaan met vragen van consumenten over gegevens of hoe zij zullen omgaan met een datalek, mocht dit gebeuren.
Door deze verantwoordelijkheden duidelijk te maken, helpt het publishers en Awin te vrijwaren van aansprakelijkheid voor elkaars schendingen van de GDPR.
Het betekent bovendien dat publishers als controller meer van de verplichtingen van de GDPR zullen moeten naleven. Het is echter zo dat publishers dit al moeten doen wanneer zij gegevens voor eigen doeleinden verwerken. Het gevolg hiervan is dat zij deze verplichtingen nu ook zullen moeten toepassen op de gegevens die worden verwerkt om een consument door te verwijzen naar een adverteerder.
Het belangrijkste voordeel is dat op het Awin netwerk, zolang het wordt gedaan in overeenstemming met de GDPR en relevante overeenkomsten of voorwaarden, publishers in staat zijn om zelf te beslissen hoe ze gegevens verwerken bij het doorzetten van traffic naar adverteerders.