Artikel 4 lid lid 7 AVG:
”„Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.”
Toelichting: degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen, zijn bijvoorbeeld de raad van bestuur, de directie, de ondernemer, de burgemeester of minister.
De omvang van de sancties uit de meldplichtdatalekken alsmede de AVG verruimen de verantwoordelijkheidsdomein naar toezichthouders zoals het college van toezicht, raad van commissarissen of de gemeente-raad. De accountant belast met de wettelijke controle of het samenstellen van de jaarrekening zal nagaan in hoeverre er sprake kan zijn van het opleggen van een sancties. Als dit materieel is kan de accountant de jaarrekening niet goedkeuren dan wel samenstellen. Hij zal aandringen op het treffen van een voorziening. Verder zal de accountant het jaarverslag van de verantwoordelijke nagaan en in zijn rapportage melding maken van de mate waarin de verantwoordelijke de gegevensbescherming en privacy op orde heeft.
