De European Data Protection Board (EDPB: Europees orgaan dat waakt over de consistente toepassing van gegevensbeschermingsregels in de hele Europese Unie) heeft in september 2020 een reeks richtlijnen uitgevaardigd over het begrip verwerkingsverantwoordelijke in de GDPR/AVG.

Bij het spreken over gezamenlijke verwerkingsverantwoordelijken noemde de EDPB het voorbeeld van een online boekingsplatform. Voor de EDPB is het duidelijk dat alle deelnemers aan dit platform gezamenlijke verwerkingsverantwoordelijken zijn. Dus als een retailer op het platform de GDPR/AVG schendt, kan de platformbeheerder ook aansprakelijk worden gesteld voor de overtreding door deze retailer.

Hoe de aansprakelijkheid wordt verdeeld, zal van geval tot geval moeten worden bepaald.

Uiteraard maken de marktplaats/platformoperators zich zorgen over deze richtlijn. Ze gaven meestal heel veel euro’s/ponden/dollars uit aan GDPR-compliance, dus ze willen niet beboet worden omdat een lokale modewinkel/hotel/designwinkel/… op hun platform niet de juiste inspanningen heeft gedaan rond de GDPR/AVG .

Platformoperators worden nog nerveuzer wanneer ze de EDPB-richtlijn verbinden met de Google Spanje-beslissing van het Europese Hof, wat kan impliceren dat wanneer de platformoperator inbreuk op gegevensbeschermingswetten kan voorkomen, ze dit moeten doen, hetzij door platform participanten te overtuigen om naleving van hun verplichtingen op het gebied van gegevensbescherming aan te tonen, of door de onwillige platformdeelnemer te verwijderen.

Samengevat: als marktplaats- en platformexploitanten zichzelf willen beschermen tegen GDPR/AVG-claims en boetes, moeten ze platformdeelnemers om bewijs van GDPR/AVG-naleving vragen en kunnen ze zelfs zo ver gaan dat ze elke detailhandelaar weigeren die de GDPR/AVG niet correct heeft ingevoerd.