Blog

Privacywetgeving: Grondslagen voor de verwerking van persoonsgegevens (AVG)

In een eerder blog heeft Maria u meegenomen in de basisbeginselen van de privacy wetgeving, deze leest u hier. Wilt u meer weten over de wettelijke grondslagen onder de AVG, lees dan verder.

 

Organisaties mogen persoonsgegevens verwerken, maar dit mogen ze enkel doen als ze daarvoor een wettelijke grondslag hebben. Deze 6 wettelijke grondslagen zijn:

  1. U heeft toestemming van de persoon om wie het gaat;
  2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren;
  3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent;
  4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen;
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
  6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigd belang te behartigen.

Een gemaakte keuze voor het gebruik van een van deze grondslagen moet uiteraard onderbouwd kunnen worden. In deze blog gaan we kort in op de betekenis van deze 6 grondslagen.

 

1. Toestemming
Voor rechtmatige verwerking van persoonsgegevens, dienen de betrokkenen hun toestemming te geven. Aan deze toestemming zijn een aantal voorwaarden verbonden, namelijk:

  • De toestemming moet vrijelijk en niet onder druk gegeven zijn, ondubbelzinnig zijn middels een duidelijke actieve handeling en niet impliciet; voor de persoon die de toestemming heeft gegeven moet net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven;
  • De toestemming dient te zijn gegeven op basis van volledige en correcte informatie vanuit de organisatie over het doel van verwerking, om welke persoonsgegevens het gaat en over het recht van de betreffende persoon om de toestemming weer in te trekken;
  • De toestemming moet specifiek zijn voor een specifieke verwerking en een specifiek doel en niet algemeen;
  • De toestemming dient aantoonbaar te zijn gegeven en het moet aantoonbaar een link zijn tussen de toestemming en de verwerking;
  • De toestemming voor de verwerking van gegevens van kinderen jonger dan 16 jaar moet door een van de ouders en/of verzorgers worden gegeven.

Hoe zit het met de verwerking van persoonsgegevens voor persoonlijk gebruik?
Verwerking van persoonsgegevens voor persoonlijk gebruik is altijd toegestaan. U kunt dan denken aan een verjaardagskalender of een bestand/agenda met adressen van familie en vrienden.

2. Uitvoering van een overeenkomst
Om een overeenkomst na te komen kan het noodzakelijk zijn om persoonsgegevens te verwerken. Dit kan bijvoorbeeld het geval zijn bij de levering van een product. De leverancier heeft bepaalde persoonsgegevens nodig om het product bij de juiste persoon af te kunnen leveren, zoals de NAW-gegevens en voor de betaling van het product zijn de bankgegevens nodig. Het is dan een gerechtvaardigde verwerking om deze gegevens te verzamelen. De leverancier mag geen persoonsgegevens verwerken die niet noodzakelijk zijn voor het uitvoeren van de overeenkomst. Bijvoorbeeld wanneer u bij een online verkoop naast de verkoop ook het koopgedrag van uw klant wilt volgen. Dan heeft u een rechtsgeldige toestemming of een andere grondslag nodig.

3. Wettelijke verplichting
In bepaalde gevallen is er een wettelijke verplichting tot het verwerken van persoonsgegevens. Denk hierbij aan een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken of het verstrekken van gegevens voor de uitvoering van de belastingwetgeving. Op het moment dat er een wettelijke verplichting is, is de verwerking rechtmatig.

 

4. Vitale belangen
Een organisatie mag persoonsgegevens verwerken wanneer de verwerking noodzakelijk is voor de bescherming van vitale belangen. Een vitaal belang komt voor wanneer een belang essentieel is voor iemands leven of gezondheid en er geen toestemming gevraagd kan worden aan die persoon. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand niet aanspreekbaar (bewusteloos) of mentaal niet in staat is om toestemming te geven.

 

5. Algemeen belang of uitoefening van openbaar gezag
Het uitoefenen van een publieke taak voor het algemeen belang of openbaar gezag, is een grondslag om gegevens te mogen verwerken. Het gaat hierbij om wettelijke taken, dat wil zeggen de organisatie moet bij wet zijn aangewezen. De verwerking van persoonsgegevens moet noodzakelijk zijn om de publieke taak goed te kunnen vervullen. Een voorbeeld is een gemeente die cameratoezicht op openbare plaatsen inzet voor de openbare veiligheid.

 

6. Gerechtvaardigd belang
De laatste grondslag is gerechtvaardigd belang. De Autoriteit Persoonsgegevens heeft aangegeven dat er sprake is van gerechtvaardigd belang wanneer een verwerking aantoonbaar noodzakelijk is om bedrijfsactiviteiten te kunnen verrichten. Daarvoor gelden 3 voorwaarden:

  1. Er moet sprake zijn van een daadwerkelijk gerechtvaardigd belang. Niet elk belang kwalificeert zich als een gerechtvaardigd belang. Een puur commercieel belang en het volgen van de gedragingen van werknemers of klanten zonder legitieme reden zijn geen gerechtvaardigde belangen;
  2. De verwerking is noodzakelijk om dit belang te behartigen. Daarbij dient het doel van de verwerking in verhouding te staan tot de inbreuk op privacy (proportionaliteit) en het doel kan niet op een andere wijze bereikt worden (subsidiariteit);
  3. Er moet een afweging gemaakt zijn tussen uw belangen en die van de betrokkenen. Weegt de inbreuk op de privacy van de betrokkene op tegen de belangen van de organisatie? Het is in ieder geval altijd belangrijk om maatregelen te treffen die het minst nadelig zijn voor de betrokkene persoon.

 

Voldoet uw organisatie aan een van de zes wettelijke grondslagen? Dan mag u de persoonsgegevens verwerken. Vergeet in dit geval niet goed te documenteren vanuit welke grondslag u deze gegevens verzameld.

Heeft u vragen over de verantwoording van de verwerking van persoonsgegevens? Neem dan contact op met Maria van Bladel-Oltean, onze advocate met specialisatie op het gebied van privacy (+31 (0)6 10 82 56 56 of vanbladel@wedo-legal.nl).

Meer blog

Tip van de Autoriteit Persoonsgegevens: vermeld de grondslag

Heeft u een grondslag voor uw verwerking? Dan is het aan te raden dat u de grondslag vermeldt op de volgende plekken:

  1. In een privacyverklaring. Zo weten de mensen van wie de gegevens worden verwerkt waarom dit mag. Op deze wijze voldoet u aan de informatieplicht die de verwerkers op grond van AVG hebben.
  2. In een privacybeleid (indien aanwezig). Zo voldoet u aan de verantwoordingsplicht.
  3. In het verwerkingsregister. Dat is een document dat u als organisatie bijhoudt om overzicht te geven aan de verwerking van de persoonsgegevens.
Kennis van Media Industrie ICT Retail Vastgoed Leisure Zakelijke dienstverleners Kennis van Media Industrie ICT Retail Vastgoed Leisure Zakelijke dienstverleners Kennis van Media Industrie ICT Retail Vastgoed Leisure Zakelijke dienstverleners

WeDo Legal

Nieuwsbrief

Altijd op de hoogte van de laatste ontwikkelingen en trends met onze nieuwsbrief.
Aanmelden

Contact

info@wedo-legal.nl
Maak een afspraak

Linkedin-in
Menu
Menu