#Onbezorgd Online – De AVG: in 10 weken van TO DO naar DONE

WEEK 2: GRONDEN VOOR HET VERZAMELEN VAN PERSOONSGEGEVENS

Eerder lieten we al weten dat het begrip persoonsgegevens in het kader van de AVG ruim geïnterpreteerd moet worden. Niet enkel een combinatie van een naam, adresgegevens en/of telefoonnummer worden beschouwd als persoonsgegevens, maar ook computergegevens zoals IP adressen zijn persoonsgegevens. In een recente rechtspraak van het Hof van Justitie bleek dat zelfs examenantwoorden en de opmerkingen van de examinator bij deze antwoorden gekwalificeerd moeten worden als persoonsgegevens.

 

Er wordt onderscheid gemaakt tussen drie typen persoonsgegevens: gewone gegevens, bijzondere gegevens en strafrechtelijke gegevens. Deze blog heeft betrekking op de gewone gegevens. Als het gaat om gewone persoonsgegevens is het verwerken daarvan niet zonder meer toegestaan. Hiervoor moet altijd een wettelijke grondslag aanwezig zijn. De wet biedt zes grondslagen voor de verwerking van gewone persoonsgegevens. Is er geen wettelijke grondslag aanwezig? Dan mag je de persoonsgegevens dus ook niet verwerken!

 

Grondslag 1: Toestemming van de betrokkene

De AVG omschrijft “toestemming van de betrokkene” als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de betrokkene via een verklaring of een ondubbelzinnige actieve handeling de verwerking van de persoonsgegevens aanvaardt. Hierin zijn een aantal kernwoorden van belang:

-      Vrije wilsuiting – dat betekent dat er daadwerkelijk een keuze moet zijn. Er is géén sprake van een vrije wilsuiting als de betrokkene geen keuze heeft, zich gedwongen voelt om toestemming te geven of als er negatieve gevolgen verbonden zitten aan het geven (of het intrekken) van toestemming. Let op: er is ook géén sprake van een vrije wilsuiting als de toestemming in de algemene voorwaarden zit “verstopt”, of als er sprake is van een automatisch aangevinkt vakje waarin wordt gevraagd om toestemming. Daarnaast heeft de vrije wilsuiting uitsluitend betrekking op de doel waarvoor deze is verstrekt en mag deze niet worden beschouwd als een vrije wilsuiting voor alle doeleinden.

-      Specifiek – de toestemming kan alleen worden verkregen voor een aangegeven, bepaald en legitiem doel. Op deze manier kunnen de persoonsgegevens uitsluitend worden aangewend voor de opgegeven specifieke doeleinden. Als je de persoonsgegevens vervolgens voor een ander doel wil gaan verwerken, dan moet er opnieuw toestemming worden gevraagd aan de betrokkene.

-      Geïnformeerd – de betrokkene moet vóórdat er toestemming kan worden gegeven voor de verwerking van de persoonsgegevens op een heldere wijze geïnformeerd worden over de essentiële onderdelen van de gegevensverwerking, zodat er een geïnformeerde keuze kan worden gemaakt. Het gaat daarbij onder meer om de naam van de partij die de gegevens verwerkt, de doeleinden van de verwerking, welke persoonsgegevens worden verwerkt en de rechten van de betrokkene. De wijze waarop de betrokkene geïnformeerd moet worden is vormvrij en kan dus mondeling of schriftelijk plaatsvinden.

-      Ondubbelzinnige wilsuiting – dat betekent dat de toestemming moet worden gegeven via een actieve handeling of verklaring, bijvoorbeeld door het (zelf!) aanvinken van een vakje, door een code in te voeren of door een bepaalde beweging te maken met een (slimme) camera.

Daarbij is het van belang dat de toestemming te allen tijde mag worden ingetrokken, waarna de persoonsgegevens niet langer verwerkt mogen worden.

 

N.B. Betrokkenen jonger dan 16 jaar kunnen geen geldige toestemming verlenen. In dat geval moet toestemming worden verkregen van de wettelijke vertegenwoordiger.

 

Grondslag 2: Vitale belangen

Er is sprake van een vitaal belang als dit essentieel is voor het leven of de gezondheid van de betrokkene, maar als je de betrokkene niet om toestemming kan vragen. Dit is aan de orde als er acuut gevaar dreigt en iemand mentaal niet in staat is om toestemming te geven. Het redden van een leven is een rechtmatige grondslag voor het verwerken van persoonsgegevens.

 

Grondslag 3: Wettelijke verplichting

Als organisatie kan je je alleen beroepen op deze grondslag als de verwerking van de persoonsgegevens noodzakelijk is om aan een wettelijke verplichting te voldoen. Een voorbeeld hiervan is het verstrekken van gegevens aan de Belastingdienst voor de uitvoering van de Belastingwet. Dat het verwerken van persoonsgegevens noodzakelijk is om te voldoen aan de wettelijke verplichting hoeft echter niet zo expliciet vermeld te staan in de wet. Een verplichting in de wet kan namelijk ruim geformuleerd zijn. Het is dan aan de organisatie om te bepalen of het verwerken van de persoonsgegevens noodzakelijk is voor het voldoen aan de wettelijke verplichting.

Let op: deze grondslag is niet van toepassing als het gaat om een zeer algemene taak, zoals het handhaven van de openbare orde.

 

Grondslag 4: Overeenkomst

Een vierde grondslag voor de verwerking van persoonsgegevens betreft de uitvoering van een overeenkomst. Het gaat dan niet om een overeenkomst met het doel om gegevens te verwerken, maar een overeenkomst die gesloten is voor een ander doel. Je mag dan alleen persoonsgegevens verwerken die noodzakelijk zijn voor de uitvoering van die overeenkomst. Ter illustratie: als een persoon een product heeft besteld in een webshop, dan dient de webshop de adresgegevens te verwerken om het product bij de persoon te bezorgen en daarmee de overeenkomst uit te voeren. Let wel: Als de webshop dan vervolgens ook de gegevens van de persoon wil gebruiken voor een marktonderzoek, dan moet hiervoor (aparte!) geldige toestemming zijn verkregen. Dit laatste is namelijk niet noodzakelijk voor een goede uitvoering van de overeenkomst.

 

Grondslag 5: Algemeen belang

Deze grondslag is uitsluitend bedoeld voor organisaties die een publieke taak uitoefenen voor het algemeen belang of openbaar gezag en heeft betrekking op taken die in de wet zijn vastgelegd en die relevant zijn voor de organisatie. De verwerking van persoonsgegevens is dan van belang om de publieke taak goed te kunnen vervullen. Alle organisaties met een algemeen belang kunnen een beroep doen op deze grondslag.

 

Grondslag 6: Gerechtvaardigd belang

Voor een rechtsgeldig beroep op deze grondslag voor de gegevensverwerking moet worden voldaan aan drie voorwaarden:

-      Je hebt een gerechtvaardigd belang – een dergelijk belang moet rechtmatig zijn en voldoende duidelijk zijn verwoord. Hiervan is sprake als de verwerking van de persoonsgegevens aantoonbaar noodzakelijk is voor het verrichten van jouw bedrijfsactiviteiten. Een goed voorbeeld hiervan is het voeren van een personeelsadministratie.

-      De verwerking van de persoonsgegevens is noodzakelijk om dit gerechtvaardigde belang te behartigen – om dit te bepalen moet de verwerking worden getoetst aan de eisen van proportionaliteit en subsidiariteit. Kort gezegd houdt dit in dat je moet toetsen of het doel van de gegevensverwerking in verhouding staat tot de inbreuk die wordt gemaakt op de personen van wie de gegevens worden verwerkt en moet nagaan of het doel niet op een minder ingrijpende manier kan worden bereikt.

-      Je hebt een afweging gemaakt tussen jouw belangen en die van de betrokkene – de verwerking is daarbij alleen toegestaan als jouw belangen zwaarder wegen dan die van de betrokkene van wie de gegevens worden verwerkt. Ook is het van belang dat daarbij maatregelen worden genomen om ervoor te zorgen dat de rechten en vrijheden van deze personen zoveel mogelijk worden gewaarborgd. Dit betekent onder meer dat je de gegevens niet langer mag bewaren dan nodig is voor het doel van de verwerking.

 

ACTIE

Als organisatie heb je onder de AVG een vergaande verantwoordingsplicht. Dat houdt in dat je goed moet kunnen onderbouwen dat je je op een bepaalde grondslag mag baseren. De bewijslast dat een geldige toestemming is verkregen, of dat er sprake was van een andere geldige grondslag, ligt dan ook bij de organisatie. Deze bewijsplicht en verantwoordingsplicht geldt zolang de gegevensverwerking plaatsvindt. Er is geen voorgeschreven wijze om aan deze verplichting te voldoen. Enkel van belang is dat je kan verantwoorden dat je op basis van het bovenstaande een geldige toestemming hebt verkregen of een andere geldige grondslag hebt voor de gegevensverwerking. De wijze waarop dit per organisatie wordt vastgelegd is uiteraard afhankelijk van de bedrijfsvoering. Het bijhouden van een register hiervoor behoort tot één van de mogelijkheden. Ook is het verstandig om systemen of programma’s te gebruiken waarvan de data is opgeslagen in Europa, zodat de AVG ook op deze systemen of programma’s van toepassing is.

 

In onze blog van volgende week geven we nadere uitleg over de verwerking van bijzondere persoonsgegevens, de eventuele verplichting tot het uitvoeren van een Data Protection Impact Assessment (DPIA) en het aanstellen van een functionaris voor de gegevensbescherming. Houd in de tussentijd ook steeds onze social media kanalen in de gaten voor verdere informatie.

 

Tot volgende week!