Persoonsgegevens mogen alleen worden verwerkt wanneer dit gebeurt op basis van één van de in de AVG genoemde grondslagen. Waarom geldt deze regel en welke grondslagen zijn er?
In de privacywetgeving wordt de verwerking van een persoonsgegeven gezien als een inbreuk op de privacy van de betreffende persoon (“de betrokkene”). Om deze reden mogen persoonsgegevens alleen worden verwerkt wanneer dat op grond van de privacywet- en regelgeving is toegestaan.
Slechts in heel bepaalde situaties is de privacywetgeving niet van toepassing op de verwerking van persoonsgegevens. Dit is bijvoorbeeld het geval bij persoonlijk en huishoudelijk gebruik van persoonsgegevens door privépersonen. Een voorbeeld daarvan is het privé adressenboek of de privé verjaardagskalender van een gezin.
Is de privacywetgeving van toepassing, dan mogen persoonsgegevens alleen verwerkt worden als het echt niet anders kan. Verder gelden dan strenge regels. Zo mogen dan bijvoorbeeld alleen de écht noodzakelijke persoonsgegevens worden verwerkt. Ook mag de verwerking (waaronder ook het bewaren) niet langer duren dan strikt noodzakelijk is.
Zes grondslagen gegevensverwerking
De AVG (de Algemene verordening gegevensbescherming) noemt zes gronden (redenen) waarop het verwerken van persoonsgegevens is toegestaan (indien en zo lang verder ook is voldaan aan alle andere voorwaarden). Is er geen grondslag van toepassing? Dan is de gegevensverwerking alleen al om die reden niet toegestaan.
Over iedere reden valt heel veel te vertellen. In verband met de leesbaarheid van dit artikel, worden deze slechts kort toegelicht.
1. Toestemming
De betrokkene kan toestemming geven voor de verwerking. De vraag om toestemming moet aan een aantal voorwaarden voldoen:
- de betrokkene moet zo goed mogelijk worden geïnformeerd over de gegevensverwerking. Daarom moet het verzoek om toestemming:
- begrijpelijk en gemakkelijk toegankelijk zijn. De betrokkene moet doorhebben dat om toestemming wordt gevraagd;
- in duidelijke en eenvoudige taal zijn geformuleerd;
- duidelijk gescheiden van eventuele andere zaken worden gedaan. Wordt in een document niet alleen om toestemming gevraagd, maar worden daarin ook andere kwesties besproken? Dan moet een duidelijk onderscheid worden gemaakt tussen de toestemmingsvraag en de andere zaken;
- informatie geven over het intrekken van toestemming: 1.) dat dit in beginsel op ieder moment kan; 2.) hoe dit moet; en 3.) dat dit geen terugwerkende kracht heeft.
- de toestemming moet actief worden gegeven. Een vooraf aangevinkt toestemmingsvakje is bijvoorbeeld onvoldoende.
- de toestemming moet in vrijheid worden gegeven. Hiervoor is onder meer vereist dat er geen negatieve gevolgen zijn aan het weigeren of intrekken van toestemming.
Toestemming kan zelden tot nooit de grondslag zijn voor de verwerking van persoonsgegevens van werknemers door werkgevers. De reden hiervan is dat in die verhouding snel wordt aangenomen dat de toestemming niet in vrijheid is gegeven. Dit heeft te maken met de afhankelijkheidsrelatie die wordt aangenomen tussen de werknemer en de werkgever.
De verwerkingsverantwoordelijke moet kunnen aantonen dat toestemming is gegeven.
Kinderen
Bij kinderen onder de 16 moet de toestemming in de regel door de ouders/andere wettelijk vertegenwoordigers worden gegeven. Dit hoeft niet wanneer de verwerking gebruikelijk is voor kinderen van hun leeftijd. Denk bijvoorbeeld aan de verwerking van persoonsgegevens wanneer een kind van 15 met een eigen bankpasje een betaling doet.
Onder curatele of in mentorschap gestelde personen
Is iemand onder curatele of in mentorschap gesteld? Dan moet toestemming worden gegeven door diens wettelijk vertegenwoordiger.
2. Noodzakelijk voor de uitvoering van een overeenkomst
Soms is het niet mogelijk om een overeenkomst uit te voeren wanneer bepaalde persoonsgegevens niet worden verstrekt. Denk bijvoorbeeld aan een tuinman. Indien hij niet weet op welk adres hij moet zijn, kan de tuinman de tuin niet onderhouden.
3. Noodzakelijk omdat het wettelijk is verplicht
In sommige gevallen bepaalt de wet dat de verwerkingsverantwoordelijke bepaalde persoonsgegevens moet verwerken. Een voorbeeld hiervan is de verplichting van werkgevers om bepaalde persoonsgegevens van werknemers aan de Belastingdienst te verstrekken.
4. Noodzakelijk om vitale belangen te beschermen
Het kan noodzakelijk zijn om bepaalde persoonsgegevens te verwerken om vitale belangen van de betrokkene of een derde te beschermen. Een vitaal belang is iets dat essentieel is voor het leven of de gezondheid van iemand. Is het in zo’n situatie niet mogelijk om toestemming te vragen voor de verwerking van persoonsgegevens en kan de verwerking niet op een andere rechtsgrond worden gebaseerd? Dan mag dat alsnog. Denk bijvoorbeeld aan iemand die bewusteloos raakt bij een auto-ongeluk en die acute medische hulp nodig heeft.
5. Noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen
Soms kunnen taken van algemeen belang en taken van openbaar gezag alleen worden uitgeoefend indien daarbij bepaalde persoonsgegevens worden verwerkt. In die gevallen is die verwerking toegestaan.
6. Noodzakelijk om uw gerechtvaardigde belang te behartigen
Heeft een verwerkingsverantwoordelijke een gerechtvaardigd belang? En is het voor de behartiging van dat gerechtvaardigd belang noodzakelijk dat bepaalde persoonsgegevens worden verwerkt? Dan moet een afweging worden gemaakt tussen dit gerechtvaardigd belang en het belang van de betrokkene(n) dat zijn/hun persoonsgegevens niet worden verwerkt.
Wat een gerechtvaardigd belang is, is niet in de wetgeving beschreven. Het moet wel gaan om een belang waarvan in het algemeen wordt gevonden dat dit moet worden beschermd. Denk bijvoorbeeld aan het belang om een gerechtelijke procedure te kunnen voeren en om de vordering waarom het gaat, aan te tonen. Volgens de Autoriteit Persoonsgegevens (de privacytoezichthouder) zijn bijvoorbeeld geen gerechtvaardigde belangen: puur commerciële belang en winstmaximalisatie.
Vervolgens moet dit gerechtvaardigde belang worden afgewogen tegen het belang van de betrokkene dat diens persoonsgegevens niet worden verwerkt. Gaat het om kinderen? Dan wordt extra gewicht toegekend aan hun belang bij het niet verwerken van hun persoonsgegevens. Is de uitkomst dat het gerechtvaardigd belang van de verwerkingsverantwoordelijk zwaarder weegt dan het belang van de betrokkene? Dan mogen de betreffende persoonsgegevens worden verwerkt.
Welke grondslag?
De verwerkingsverantwoordelijke moet zelf bepalen welke grondslag voor de verwerking van toepassing is. Dat zal soms heel eenvoudig zijn. In andere gevallen zal dat een stuk moeilijker zijn.
Wanneer moet de grondslag zijn bepaald?
De grondslag moet zijn aangewezen voor dat begonnen wordt met de gegevensverwerking.
Register van verwerkingen
De verwerkingsgrondslag moet worden opgenomen in het register van verwerkingen.
Waarom is het belangrijk aan deze voorwaarde te voldoen?
De privacy en daarmee het belang van de naleving van de privacywetgeving wordt zo belangrijk gevonden, dat op het niet naleven van deze wetgeving veelal sancties staan. Dat geldt ook ten aanzien van de grondslagen. Er kunnen boetes worden opgelegd (die hoog kunnen oplopen) en er kunnen andere maatregelen worden getroffen.
Vragen? Neem vrijblijvend contact met ons op
Heeft u vragen met betrekking tot de grondslagen of wil u weten of de manier waarop u om toestemming vraagt aan de voorwaarden voldoet? Wij helpen u graag. Dat geldt ook indien u wil weten wat u (verder) moet doen om aan de eisen van de privacywet- en -regelgeving te voldoen. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.