Artikel 1 sub d [Definitie verantwoordelijke]

Bij de definitie van het begrip 'verantwoordelijke' is nauw aangesloten bij de omschrijving van artikel 2, onderdeel d, van de richtlijn. In tegenstelling tot de WPR gaat het wetsvoorstel niet meer uit van het begrip 'houder', maar van het begrip 'verantwoordelijke'. 'Houden' is een overgankelijk werkwoord: onder de WPR werd een zekere zaak, te weten, de registratie 'gehouden'. Nu het object van regelgeving niet de zaak 'registratie' maar het proces 'gegevensverwerking' betreft, is taalkundig een overgankelijk werkwoord niet meer op zijn plaats. Het begrip uit artikel 2 van de richtlijn 'voor de verwerking verantwoordelijke' is in dit wetsvoorstel omgezet als 'verantwoordelijke'. De relatie tussen 'houder' en 'registratie' onder de WPR is echter in beginsel dezelfde als die tussen 'verantwoordelijke' en 'gegevensverwerking' onder dit wetsvoorstel. Overeenkomstig artikel 2, onderdeel d, van de richtlijn wordt in de begripsomschrijving niet meer gesproken van de natuurlijke persoon enz. die bevoegd is doel van en middelen voor de verwerking vast te stellen. Indien onbevoegd gegevens worden verwerkt dient immers eveneens een verantwoordelijke te kunnen worden aangewezen en op zijn handelen te kunnen worden aangesproken.
Het begrip 'verantwoordelijke' knoopt in eerste instantie aan bij de vaststelling van het doel van de verwerking. De vraag is wie uiteindelijk bepaalt of er gegevens worden verwerkt en zo ja, welke verwerking, van welke persoonsgegevens en voor welk doel. Tevens is van belang wie beslist over de middelen voor die verwerking: de vraag op welke wijze de gegevensverwerking zal plaatsvinden. De richtlijn gaat ervan uit dat deze bevoegdheden in de regel in dezelfde hand liggen. Is dit niet het geval, dan is er sprake van gezamenlijke verantwoordelijkheid. Met de aldus gegeven omschrijving kan evenwel niet worden volstaan. Op grond van de praktijk van de huidige WPR moet worden aangenomen dat het – gegeven de tekst van de richtlijn – niet altijd eenvoudig zal zijn om in concrete gevallen te bepalen wie verantwoordelijke is en aan de hand van welke criteria dat moet worden vastgesteld. Op grond van de ervaringen in de praktijk en de recent verrichte evaluaties daarom verder worden ingevuld.
Bij de beantwoording van de vraag wie de verantwoordelijke is, dient enerzijds te worden uitgegaan van de formeel-juridische bevoegdheid om doel en middelen van de gegevensverwerking vast te stellen, anderzijds – in aanvulling daarop – van een functionele inhoud van het begrip. Het laatste criterium speelt met name een rol als er verschillende actoren bij de gegevensverwerking betrokken zijn en de juridische bevoegdheid onvoldoende helder is geregeld om te kunnen bepalen wie van de betrokken actoren als verantwoordelijke in de zin van de wet moet worden aangemerkt. In dergelijke situaties zal aan de hand van algemeen in het maatschappelijk verkeer geldende maatstaven moeten worden bezien aan welke natuurlijke persoon, rechtspersoon of bestuursorgaan de betreffende verwerking moet worden toegerekend. Een en ander kan als volgt nader worden toegelicht.
Uit de juridische evaluatie blijken als gevolg van de bestaande diversiteit in zeggenschap bij de toepassing van de WPR in de praktijk een aantal problemen. Door zowel bij de invulling van het houderschapsbegrip aan te sluiten bij bestaande (formele) privaatrechtelijke en publiekrechtelijke rechtsverhoudingen, als rekening te houden met feitelijke verhoudingen en maatschappelijke verkeersopvattingen, is een dogmatische onduidelijkheid ontstaan. Het houderschapsbegrip is een koepelterm geworden voor uiteenlopende vormen van zeggenschap en verantwoordelijkheid inzake de gegevensverwerking. Deze onduidelijkheid leidt in de praktijk tot problemen op het punt wie aanspreekbaar is voor de wettelijke verplichtingen van de houder. De geregistreerde loopt het risico de onjuiste persoon of instelling aan te spreken op zijn verplichtingen. Voor een inzage- of correctieverzoek dient hij zich in bepaalde gevallen, eerst op de hoogte te stellen van feitelijke zeggenschapsverhoudingen binnen een orgaan of instelling, bij voorbeeld wanneer het gaat om een registratie die is vrijgesteld van de aanmeldingsplicht. Bovendien biedt het element 'feitelijke macht' de ruimte om het houderschap zo te kiezen dat voor de houder zo groot mogelijke ruimte ontstond om gegevens te gebruiken. De geregistreerde moest onderzoek doen, wie als houder kon worden aangesproken. Met name bij de vrijgestelde registraties werd daardoor afbreuk gedaan aan de rechtspositie van de geregistreerden[.]
Het onderhavige wetsvoorstel beoogt om die reden bij de invulling van het begrip 'verantwoordelijke' nauwer aan te sluiten bij bestaande privaatrechtelijke en publiekrechtelijke rechtsverhoudingen. Deze zijn voor de betrokkene beter kenbaar. Het is wenselijk duidelijk te stellen dat het begrip 'verantwoordelijke' doelt op degene die formeel-juridisch de zeggenschap over de verwerking heeft. Daar het begrip 'zeggenschap' onder de WPR een ruimere dimensie had, is er voor gekozen uit te gaan van degene die bevoegd is doel en middelen vast te stellen. Het begrip 'verantwoordelijke' is in artikel 1, onderdeel d, in deze zin ingevuld. Dat laat onverlet dat het feitelijk beheer over de gegevensverwerking aan een ander kan worden gemandateerd. In de meeste gevallen zal deze ander wat betreft het geheel van de gegevensverwerking hiërarchisch ondergeschikt zijn aan de verantwoordelijke. De handelingen van deze ondergeschikten worden dan volgens de gewone regels van het burgerlijk recht of het staatsrecht aan de verantwoordelijke toegerekend.
Uitgangspunt bij de invulling van het begrip 'verantwoordelijke' is derhalve de bestaande struktuur van het civielrechtelijke en bestuursrechtelijke personen- en organisatierecht. Voor de private sector betekent dit dat de formeel-juridische organisatie van de onderneming doorslaggevend is. In de private sector is of de natuurlijke persoon of de rechtspersoon rechtssubject. Bij eenmanszaken zal de natuurlijke persoon als verantwoordelijke zijn aan te merken.
Het bovenstaande vindt ook toepassing bij concernverhoudingen. Verantwoordelijke is de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt. De feitelijke macht of invloed van een andere rechtspersoon binnen het concern is niet van belang. De ratio is dat de betrokkene in het maatschappelijk verkeer kan weten ten aanzien van wie hij zijn rechten desgewenst kan uitoefenen. De rechtspersoon is de juridische entiteit die daartoe in het recht is geschapen. Dat die door de moeder- of een dochtermaatschappij verrichte gegevensverwerking (mede) ten dienste staan van het concern als zodanig is op zichzelf niet van belang voor het vaststellen van verantwoordelijkheid. Het wetsvoorstel staat evenwel niet in de weg aan een regeling waarbij in de statuten van de betrokken rechtspersonen of via een overeenkomst aan een bepaalde rechtspersoon binnen het concern de bevoegdheid wordt toegekend om doel en middelen van de gegevensverwerkingen binnen het concern te bepalen. De genoemde rechtspersoon – bijvoorbeeld de moedermaatschappij – is dan verantwoordelijke in de zin van het wetsvoorstel voor alle gegevensverwerkingen die binnen het concern plaatsvinden, omdat de juridische zeggenschap krachtens de getroffen regeling bij die rechtspersoon berust. Een dergelijke regeling valt ook binnen de grenzen van een functionele invulling van het begrip 'verantwoordelijke'. Het is in overeenstemming met maatschappelijke verkeersopvattingen om de verantwoordelijkheid voor de gegevensverwerking toe te rekenen aan de rechtspersoon die krachtens een interne regeling binnen het concern als de bevoegde rechtspersoon is aangewezen. Blijft evenwel een regeling als hiervoor bedoeld achterwege, dan is conform de hoofdregel elke rechtspersoon binnen het concern verantwoordelijke voor de gegevensverwerking die binnen die rechtspersoon plaatsvindt.
In de publieke sector geldt het krachtens het geldende staats- en bestuursrecht bevoegde bestuursorgaan als de verantwoordelijke. Deze bevoegdheid is te vinden in de Grondwet en in de bestuursrechtelijke wetgeving. Daarbij komt in de eerste plaats de Awb in beeld. Met het begrip 'bestuursorgaan' in dit wetsvoorstel is bedoeld aan te sluiten bij de in de Awb geregelde betekenis van dit begrip. Het begrip sluit in aanvulling daarop eveneens aan bij de algemene inrichtings- en beheersbevoegdheden, bij voorbeeld de hiërarchische bevelsbevoegdheid ten opzichte van het ambtelijk apparaat. Binnen de overheid zullen als verantwoordelijke te kwalificeren zijn: de afzonderlijke ministers op rijksniveau, het college van gedeputeerde staten en de commissaris van de Koningin op provinciaal niveau en het college van burgemeesters en wethouders en de burgemeester op gemeentelijk niveau. Bij zelfstandige bestuursorganen op rijksniveau en funktionele commissies op provinciaal en gemeentelijk niveau zal het orgaan, belast met de taken en uitoefening van bevoegdheden waarvoor de gegevens worden verwerkt, als verantwoordelijke zijn aan te merken. Bij instellingen met een zodanige zelfstandigheid dat zij vergelijkbaar zijn met zelfstandige bestuursorganen zoals het Centraal bureau voor de statistiek, zal de verantwoordelijkheid volgen uit het instellingsbesluit van deze instellingen.
Met een aldus in te vullen begrip 'verantwoordelijke' zal in elk geval een deel van de bestaande onduidelijkheid bij de WPR worden weggenomen. De Registratiekamer heeft er evenwel terecht op gewezen dat dit niet geldt voor alle gevallen. In situaties waarin meerdere natuurlijke personen, rechtspersonen of bestuursorganen betrokken zijn bij een keten van gegevensverwerkingen en in verband met de aard van die betrokkenheid in aanmerking komen om als verantwoordelijke in de zin van de wet te worden aangeduid, bestaat behoefte aan een aanvullend criterium. Problemen kunnen zich met name voordoen als de juridische zeggenschap over de verwerking onvoldoende duidelijk is, dan wel geen regeling voorhanden is op grond waarvan een bepaalde persoon of instantie daadwerkelijk door de betrokkene kan worden aangesproken. Burgers mogen daarvan niet de dupe worden. In zodanige situaties behoort aan het begrip 'verantwoordelijke' een functionele invulling te worden gegeven. Aan de hand van in het maatschappelijk verkeer geldende maatstaven moet in dergelijke gevallen worden bezien aan welke natuurlijke persoon, rechtspersoon of bestuursorgaan de betreffende verwerking moet worden toegerekend.
De Registratiekamer wijst erop dat wat betreft de functionele inhoud van belang is of de verantwoordelijke voor zichzelf persoonsgegevens verwerkt of doet verwerken. Doet hij dit ten behoeve van een ander, dan is hij 'bewerker'. Wij zijn het hiermee eens. In de wettekst is de definitie van de richtlijn evenwel gehandhaafd. De verdere rechtsontwikkeling op Europees gebied, bij voorbeeld naar aanleiding van jurisprudentie van het Europese Hof van Justitie, kan daardoor gemakkelijker worden gevolgd. Iemand die voor zichzelf verwerkt of doet verwerken, is verantwoordelijke. Hieraan doet niet af dat hij daarmee derden van dienst wil zijn. Van belang is dat hij zelf bepaalt welke soort gegevens hij verwerkt, hoe lang en met welke middelen. Degene daarentegen die krachtens een contract dat blijkens zijn aard betrekking heeft op de gegevensverwerking ten behoeve van een derde, waarbij de wederpartij bepaalt welke gegevens, waartoe, hoelang enz. worden verwerkt, moet worden aangemerkt als bewerker.

Een belangrijke nuancering is voorts dat in bepaalde situaties ook sprake kan zijn van gezamenlijke of gedeelde verantwoordelijkheid. De richtlijn houdt hier rekening mee. Het Europees Parlement heeft door een amendement in de definitie van 'voor de verwerking verantwoordelijke' door de toevoeging daarin van de zinsnede 'alleen of te zamen met anderen' de mogelijkheid van een regeling voor samenwerkende verantwoordelijken getroffen. Deze clausule is overgenomen in het wetsvoorstel. Ten aanzien van een geheel van gegevensverwerkingen is het mogelijk dat meerdere personen of instanties, dus een pluraliteit van verantwoordelijken, als zodanig worden aangemerkt. Daarbij kunnen drie vormen van verantwoordelijkheid onderscheiden worden.

1. Aan de verwerkingen nemen verschillende organisaties deel, er is echter één gemeenschappelijke verantwoordelijke. Deze is aansprakelijk voor de verwerkingen als geheel. Daarnaast zijn de deelnemende organisaties aansprakelijk voor de aangeleverde gegevens. De verantwoordelijke is voor de inhoud daarvan slechts verantwoordelijk naar de mate waarop hij daarover juridische zeggenschap heeft. Te denken valt aan de gegevensverwerking van een ziekenhuis, waarbij de leiding van het ziekenhuis als verantwoordelijke wordt aangemerkt, terwijl de deelnemende medici verantwoordelijk zijn voor de juistheid van de opgenomen gegevens. De betrokkene kan in rechte slechts de ziekenhuisdirectie aanspreken. Heeft de betrokkene schade geleden door een fout van één van de deelnemende medici dan heeft de ziekenhuisdirectie op hem een recht van regres. De betrokkene kan dit evenwel niet worden tegengeworpen.
2. Verschillende verwerkingen zijn min of meer geïntegreerd zonder dat een gemeenschappelijke verantwoordelijke aanwezig is. Er is sprake van afzonderlijke verantwoordelijkheid per (deel-)verwerking. De betrokkene kan slechts één van de afzonderlijke verantwoordelijken aanspreken. Te denken valt aan persoonsgegevens die via Internet kunnen worden geconsulteerd. In gevallen waarin geen verantwoordelijke kan worden geïdentificeerd, gelden de gewone regels van het Wetboek van Strafrecht voor de strafbare verspreiding van bepaalde vormen van informatie voor daders en medeplichtigen. Bij persoonsgegevens kan het daarbij bij voorbeeld gaan om smaad en belediging.
3. Verschillende verwerkingen zijn geïntegreerd zonder dat een gemeenschappelijke verantwoordelijke aanwezig is. Er is sprake van gezamenlijke verantwoordelijkheid. Elk van de verantwoordelijken is aansprakelijk voor het geheel van de gegevensverwerkingen.

De aansprakelijkheid is gerelateerd aan de omvang van de verantwoordelijkheid. In de eerst genoemde samenwerkingsconstructie is de verantwoordelijke in beginsel aansprakelijk voor de verwerkingen als geheel. Is echter sprake van een afzonderlijke verantwoordelijkheid voor deelverwerkingen, dan is elke verantwoordelijke in beginsel aansprakelijk voor zijn deel. Bij gezamenlijke verantwoordelijkheid zijn alle in het samenwerkingsverband participerende personen c.q. instellingen hoofdelijk aansprakelijk. Uit de artikelen 6:6 e.v.BW vloeit voort dat iedere verantwoordelijke tegenover de betrokkene voor het geheel aansprakelijk is. Dit laat onverlet de mogelijkheid van regres wanneer bij voorbeeld de schuld bij één van de andere verantwoordelijken ligt.

De derde vorm biedt rechtspersonen die samenwerken in een concernverband, de mogelijkheid geïntegreerde cliëntregistraties gezamenlijk te voeren en als een geheel van verwerkingen met verscheidene, doch samenhangende doeleinden aan te melden. Een dergelijke melding staat los van de vraag of het gebruik van de aldus in een geïntegreerd systeem opgenomen gegevens, voor elk van de samenhangende doeleinden, verenigbaar is met het doel waarvoor de daarin opgenomen gegevens oorspronkelijk zijn verkregen. De vraag van de inhoudelijke normering, wordt immers niet beantwoord met de keuze voor één of meer (gezamenlijke) verantwoordelijken. Verwezen zij op dit punt naar de toelichting op artikel 27, eerste lid.
Het feit dat er meer, al dan niet gezamenlijk optredende, verantwoordelijken zijn, laat de mogelijkheid onverlet dat, wanneer zij bij voorbeeld in concernverband optreden, zij een regeling treffen voor een gemeenschappelijke klachtenbehandeling, waar expertise op het gebied van de bescherming van persoonsgegevens kan worden geconcentreerd. Een dergelijke gemeenschappelijke organisatie treedt dan telkens op namens de desbetreffende verantwoordelijke. Voorts is denkbaar dat binnen het concern een regeling wordt getroffen waarbij de bevoegdheid om doel en middelen van de gegevensverwerking te bepalen, aan een bepaalde rechtspersoon binnen het concern wordt toegekend. Hiervoor is reeds op die mogelijkheid ingegaan.
Met behulp van de hiervoor verwoorde uitgangspunten dient het begrip 'verantwoordelijke' zich verder uit te kristalliseren. Met het oog daarop kan hier nog worden ingegaan op een aantal praktijkvragen die zich reeds hebben voorgedaan.
Een van deze vragen heeft betrekking op de gang van zaken in het betalingsverkeer. Banken zijn verantwoordelijke met betrekking tot de financiële gegevens die zij voor hun cliënten verwerken (bijvoorbeeld het overmaken van een geldsom van de ene rekening naar een andere). Dit geldt ook voor gegevens die cliënten bij financiële transacties in het berichtenveld laten opnemen (bijvoorbeeld dat een betaling de contributie van een derde voor een politieke partij betreft). De verantwoordelijkheid voor de juistheid van deze gegevens, bestaat in deze context daaruit, dat de banken de gegevens verwerken in overeenstemming met de gegevens die de cliënt heeft aangeboden. In het voorontwerp van het wetsvoorstel werd op dit punt een ander standpunt ingenomen. Naar aanleiding van het advies van de Registratiekamer, is daarop teruggekomen. Wat betreft de vraag naar de zorgplicht van de bank als verantwoordelijke voor de juistheid van de gegevens, geldt dat deze niet verder reikt dan de juridische mogelijkheden en de reguliere bancaire praktijk om deze te beïnvloeden. Wat betreft de gegevens in het berichtenveld betekent dit dat de bank verantwoordelijk is dat de daarin opgenomen gegevens in overeenstemming zijn met de gegevens die door degene die de betalingsopdracht gaf, zijn aangeleverd.
Hetzelfde geldt voor de aanbieder van een telecommunicatiedienst waarbij elektronische post of voicemail op de markt wordt aangeboden. Zolang de gegevens zijn opgeslagen en daardoor feitelijke macht daarover kan worden uitgeoefend, is de dienstaanbieder verantwoordelijk. Wat betreft de juistheid van de gegevens beperkt zich deze verantwoordelijkheid tot de zorg te waarborgen dat de gegevens in overeenstemming zijn met de gegevens zoals deze zijn aangeleverd door degene die van deze dienst gebruik maakt. Dienstaanbieders zijn daarentegen wel onbeperkt als verantwoordelijke aan te merken, ook wat betreft hun inhoud, voor de gegevens die noodzakelijk zijn om dat berichtenverkeer tot stand te brengen (de z.g. dienstgegevens) en vervolgens bij gebruik van het dienstaanbod de rekening te kunnen presenteren (de z.g. verkeersgegevens).
Wat betreft de opdrachtgever van een betaling of de gebruiker van E-mailservice, geldt dat deze voor de inhoud van de boodschap zelf als verantwoordelijke dient te worden aangemerkt. Er is dan sprake van 'geschaalde' verantwoordelijkheid (zie blz. 24 van het rapport 'Chipcards en privacy' van september 1995 'Achtergrondstudies en verkenningen' nr 6 van de Registratiekamer). Gaat het om persoonlijk of huishoudelijk gebruik, dan is daarop het wetsvoorstel niet van toepassing. Dit zal vaak het geval zijn. Wanneer echter sprake is van boodschappen waar ten behoeve van zakelijk gebruik door meerdere personen persoonsgegevens worden overgedragen via elektronische post of als onderdeel van een betalingsopdracht, dan is de afzender separaat als verantwoordelijke, naast degene die de gegevens overdraagt en daartoe enige tijd vastlegt, aan te merken, ieder voor de volle omvang van dat deel waarover zijn bevoegdheid zich uitstrekt.
Wanneer het gaat om de inhoud van de gegevens, ligt het in de rede dat het recht op kennisneming dus ook tegenover de verantwoordelijke die de persoonsgegevens heeft aangeleverd, wordt uitgeoefend. Deze is immers verantwoordelijk voor de inhoudelijke juistheid van de gegevens. De bank of de Internet service provider die persoonsgegevens op het berichtenveld van een betalingsopdracht verwerkt onderscheidenlijk de persoonsgegevens in het E-mailbericht verwerkt, heeft niet de bevoegdheid de gegevens te wijzigen. Dat laat onverlet dat er ook een recht op kennisneming bestaat tegenover de verantwoordelijke die de persoonsgegevens verwerkt in die zin dat hij verantwoordelijk is voor de verwerking van de gegevens precies zoals zij zijn aangeleverd. De betrokkene heeft het recht na te gaan of de op hem betrekking hebbende gegevens in deze laatste zin 'juist' door de verantwoordelijke worden verwerkt, uiteraard voor zover deze juridisch en technisch toegang heeft tot de desbetreffende gegevens. Dit leidt er overigens niet toe dat de betrokkene aan een bank of een Internet service provider ongericht kan vragen na te gaan of over hem gegevens in enig bericht zijn opgenomen. Dat zou onder omstandigheden neerkomen op misbruik van recht, daar dit een volstrekt onevenredige inspanning van de verantwoordelijke zou vergen om, althans met de thans ter beschikking staande technische middelen, alle berichten hierop na te gaan.
Het bovenstaande maakt ook duidelijk in hoeverre de eigenaar of bezitter van een faxapparaat of een personal computer als verantwoordelijke in de zin van dit wetsvoorstel moet worden aangemerkt. Gaat het om de simpele overdracht van persoonsgegevens dan ontbreekt feitelijk de mogelijkheid de gegevens voor enig doel te gebruiken, en is er daarom geen sprake van verwerking in de zin van het wetsvoorstel. Zodra daarentegen op enig randapparaat, ongeacht of dit een computer is, een fax, een antwoordapparaat of wat dies meer zij, persoonsgegevens met het oog op raadpleging op een door de mens nader te bepalen tijdstip, worden vastgelegd, is het wetsvoorstel van toepassing zodra het niet gaat om louter persoonlijk of huishoudelijk gebruik. Zie de toelichting op artikel 2, tweede lid, onder a. De technische ontwikkelingen leiden tot een convergentie van de verschillende apparatuur. Een technologieonafhankelijke benadering eist de regelgeving niet te preciseren naar wat nu nog naar verschillende functie wordt onderscheiden. Het ligt overigens wel in het voornemen dergelijke apparaten in beginsel vrij te stellen van een aanmeldingsplicht.
Papieren documenten die gedrukt zijn op een faxapparaat of met behulp van een personal computer, vallen, indien zij persoonsgegevens bevatten, onder de voorschriften die van toepassing zijn op de niet-geautomatiseerde verwerking van persoonsgegevens. De wettelijke bepalingen zijn slechts van toepassing indien deze papieren bestemd zijn om in een bestand te worden opgenomen. Wanneer in een personal computer een kopie wordt bewaard van het verzonden document, zijn de bepalingen weer wel van toepassing.
Iemand die persoonsgegevens heeft vastgelegd en gebruikt, bijvoorbeeld door deze ter raadpleging aan te bieden, ook al zijn deze anoniem door een derde via Internet aangeleverd, is aanspreekbaar op naleving van dit wetsvoorstel en kan zich niet verschuilen achter het adagium 'geen boodschap aan de boodschap'. Zodra opslag met het oog op raadpleging plaatsvindt, bijvoorbeeld in de vorm van een 'cache-service', is er sprake van verwerking.
De verantwoordelijke moet worden onderscheiden van de eigenaar van de voorwerpen waarop de persoonsgegevens zijn vastgelegd. Wanneer om redenen van vermogensrecht deze voorwerpen niet (meer) onder de beheersmacht van de verantwoordelijke vallen, bijvoorbeeld omdat zij worden vervreemd wegens faillissement, rust toch op de verantwoordelijke de plicht te zorgen voor de juiste omgang met de daarop vastgelegde gegevens. Een eventueel civielrechtelijk of strafrechtelijk beslag waarbij de beheersmacht over de materiële voorwerpen wordt opgeschort, ontslaat de verantwoordelijke niet van de verplichtingen die op hem rusten ten aanzien van de op deze voorwerpen vastgelegde persoonsgegevens. In het geval de persoonsgegevens zelf, naast de voorwerpen waarop zij zijn vastgelegd, een vermogenswaarde vertegenwoordigen, dan is mogelijk dat het beslag zich mede uitstrekt tot deze gegevens. Artikel 8, onder c, laat gegevensverwerking toe indien dit noodzakelijk is om een wettelijke verplichting na te komen. Deze bepaling stelt de verantwoordelijke in staat zijn verplichtingen na te komen die voortvloeien uit het beslag.
Artikel 1, onder d, van de richtlijn laat de mogelijkheid open dat een bijzondere wet bepaalt wie de verantwoordelijke is dan wel volgens welke criteria deze wordt aangewezen. Dit ligt met name in de rede indien het doel en de middelen voor de verwerking worden vastgesteld bij wet (zie artikel 2, onderdeel d, tweede volzin, van de richtlijn). Zo zal in de Kadasterwet de Raad van Bestuur van het Kadaster als verantwoordelijke worden aangewezen. Uitgangspunt is steeds dat geen persoonsgegevens geautomatiseerd worden verwerkt, waarvoor niet iemand aanspreekbaar is en dat deze laatste ook zonder nader onderzoek door de betrokkene kan worden gekend.

[MvT, pagina 55-61]