Wanneer mag u persoonsgegevens verwerken?

23 sep 2015 Wanneer mag u persoonsgegevens verwerken?

Persoonsgegevens zijn privacy gevoelig en mogen in de basis ook niet verzameld / verwerkt worden, echter er zijn 6 wettelijke grondslagen op basis waarvan dit wel is toegestaan.

U moet uw gegevensverwerking van persoonsgegevens steeds kunnen baseren op één van die zes in de Wbp genoemde grondslagen. Kunt u dat niet, dan is het verwerken van persoonsgegevens niet toegestaan. Niet alle grondslagen zijn voor iedere verantwoordelijke even relevant. Alleen als u behoort tot de overheid komt uit voor de 5e genoemde grondslag in aanmerking. De overige grondslagen kunnen voor alle verantwoordelijken van belang zijn. Het kan zo zijn dat u uw gegevensverwerking op meerdere grondslagen kunt baseren.

Grondslagen in het kort:

  1. Toestemming
  2. Een overeenkomst
  3. Wettelijke verplichting
  4. Vitaal belang
  5. Publiekrechtelijke taak
  6. Gerechtvaardigd belang

Verwerking van persoonsgegevens grondslag 1: Toestemming

De eerste grondslag voor verwerking van persoonsgegevens is de verwerking op grond van ondubbelzinnige toestemming van de betrokkene. In afwijking van de Wpr (Wet persoonsregistratie) hoeft die toestemming niet langer schriftelijk te zijn. Een schriftelijk bewijs van de toestemming kan uiteraard wel handig zijn. De toestemming moet wel aan een aantal criteria voldoen.

De betrokkene moet zijn wil in vrijheid hebben geuit.

Als de betrokkene onder druk van de omstandigheden heeft ingestemd met verwerking, is van vrije wil geen sprake. Van vrije wil is ook geen sprake als de betrokkene in een afhankelijke positie staat ten opzichte van u en onder druk van die afhankelijkheid met de verwerking heeft ingestemd. Als een werkgever bijvoorbeeld bij een sollicitatie naar strafrechtelijke gegevens van de sollicitant vraagt, kan de werkgever niet zeggen dat hij deze gegevens met toestemming van de betrokkene verwerkt.

De toestemming van de betrokkene moet gericht zijn op bepaalde gegevensverwerking(en).

Als u van de betrokkene een onbepaalde machtiging hebt gekregen om persoonsgegevens te verwerken, niet gericht op bepaalde gegevens en op bepaalde vormen van verwerking, dan is er geen sprake aan rechtsgeldige toestemming.De toestemming moet dus gericht zijn op de door u beoogde verwerking of groep van verwerkingen. U moet de betrokkene vóór het geven van de toestemming zo informeren dat hij begrijpt waarvoor hij toestemming geeft. U mag er dus niet vanuit gaan dat de betrokkene wel weet wat u met de gegevens gaat doen.

De toestemming moet ondubbelzinnig zijn.

U mag geen twijfel hebben over de toestemming van de betrokkene. Die twijfel kunt u voorkomen door uw verzoek om toestemming zo in te richten dat de toestemming ondubbelzinnig blijkt. Hierbij kunt u denken aan het apart bevestigen van de toestemming door het aankruisen van een vakje op een papieren of elektronisch formulier. Twijfelt u of een verkregen toestemming ook van toepassing is op het door u beoogde gebruik van de gegevens, dan moet u nagaan of de betrokkene ook voor dát gebruik toestemming heeft gegeven. De toestemming kan ook blijken uit de gedragingen van de betrokkene. Als de betrokkene bij u als restauranthouder zijn visitekaartje in een daartoe bestemd bakje achterlaat om mailings over nieuwe menu’s te ontvangen, dan blijkt uit die gedraging ondubbelzinnige toestemming voor de verwerking van persoonsgegevens voor dat doel.

U moet er rekening mee houden dat de bewijslast voor het verkrijgen van de ondubbelzinnige toestemming bij u ligt: u moet kunnen bewijzen dat u toestemming hebt verkregen en waarvoor u die hebt verkregen. U zult ook moeten kunnen bewijzen dat die toestemming uit vrije wil is gegeven en dat u de betrokkene voldoende hebt geïnformeerd. Ten slotte moet u er rekening mee houden dat een toestemming altijd kan worden ingetrokken. Die intrekking heeft dan wel alleen betrekking op het verwerken van gegevens ná de intrekking.

Kortom: u mag gegevens op grond van de ondubbelzinnige toestemming van de betrokkene verwerken, mits u toestemming hebt gekregen voor een bepaalde verwerking van bepaalde gegevens, de toestemming uit vrije wil is geuit, u de betrokkene hebt geïnformeerd over de gang van zaken rond de verwerking en u geen twijfel hebt over de inhoud en reikwijdte van de toestemming.

Verwerking van persoonsgegevens grondslag 2: Een overeenkomst

De tweede grondslag voor verwerking van persoonsgegevens is de verwerking die noodzakelijk is voor de uitvoering van een overeenkomst.

Als u met iemand een overeenkomst hebt gesloten, mag u de persoonsgegevens van diegene verwerken voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren. Zo mag de uitgever van een krant de persoonsgegevens van abonnees verwerken omdat dat noodzakelijk is om de krant te kunnen bezorgen. De overeenkomst hoeft niet gericht te zijn op het verwerken van persoonsgegevens, maar die verwerking moet wel een noodzakelijk uitvloeisel daarvan zijn. U kunt uw verwerking op deze grondslag baseren wanneer u de overeenkomst niet goed kunt uitvoeren zonder de persoonsgegevens.

Ook als u geen partij bent bij de overeenkomst,maar het voor de uitvoering van een overeenkomst tussen twee andere partijen wel noodzakelijk is dat ú persoonsgegevens verwerkt, is die verwerking toegestaan.De betrokkene zelf moet wel partij zijn bij de overeenkomst.Voorbeeld: in het vorige voorbeeld mag de bank van de uitgever van de krant de persoonsgegevens van een abonnee verwerken voor het afwikkelen van de betaling.

U mag op basis van deze grondslag ook gegevens verwerken in de fase vóór het sluiten van de overeenkomst.

Ook in de zogenoemde precontractuele fase kan het verwerken van persoonsgegevens noodzakelijk zijn. U kunt uw gegevensverwerking in de precontractuele fase op deze grondslag baseren als:

  • De betrokkene verzoekt om de handelingen (waarbij persoonsgegevens worden verwerkt); en
  • De handelingen noodzakelijk zijn om de overeenkomst te kunnen sluiten

Een voorbeeld hiervan is de betrokkene die aan een bank een offerte vraagt voor het aangaan van een hypothecaire lening. De verwerking van persoonsgegevens  is noodzakelijk om de overeenkomst te kunnen sluiten en de betrokkene heeft daarom verzocht.

Verwerking van persoonsgegevens grondslag 3: Wettelijke verplichting

De verwerking is noodzakelijk ter uitvoering van een wettelijke plicht van de verantwoordelijke. Om uw gegevensverwerking op de derde grondslag van de Wbp te kunnen baseren moet de verwerking noodzakelijk zijn voor de uitvoering van een wettelijke plicht.

Het moet redelijkerwijs niet goed mogelijk zijn de wettelijke plicht uit te voeren zonder het verwerken van persoonsgegevens.

Er moet een evident verband bestaan tussen het verwerken van persoonsgegevens en de wettelijke plicht.De plicht hoeft niet te gelden op grond van een “echte”wet,maar kan ook gelden op grond van bijvoorbeeld een gemeentelijke verordening. Deze grondslag kan alleen van toepassing zijn, als u als verantwoordelijke zelf onderworpen bent aan deze plicht.

Een voorbeeld van een gegevensverwerking op deze grondslag is de wettelijk verplichte persoonsregistratie van werknemers op grond van de Wet stimulering arbeidsdeelname minderheden. Een ander voorbeeld is de informatieplicht op grond van de Organisatiewet sociale verzekeringen 1997.

Grondslag 4: Vitaal belang

Het verwerken van persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. Als het voor een vitaal belang van de betrokkene noodzakelijk is zijn of haar persoonsgegevens te verwerken, is die verwerking op de vierde grondslag van de Wbp toegestaan. U moet hierbij met name denken aan een dringende medische noodzaak. Het verdient overigens altijd de voorkeur om toestemming van de betrokkene te vragen. Alleen als dat niet meer mogelijk is, bijvoorbeeld omdat de betrokkene buiten bewustzijn is, mag u op deze vierde grondslag persoonsgegevens verwerken.

Grondslag  5. Publiekrechtelijke taak

Het verwerken van gegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.
U mag persoonsgegevens verwerken op basis van de vijfde grondslag als het verwerken van gegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt.

U kunt op deze grondslag dus persoonsgegevens verwerken als u zelf bestuursorgaan bent en de verwerking noodzakelijk is voor de goede vervulling van uw eigen publiekrechtelijke taak.Maar ook als niet-bestuursorgaan kunt u persoonsgegevens op deze grondslag verwerken, mits dat noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan u de gegevens verstrekt.

Met een publiekrechtelijke taak wordt bedoeld een taak die bij of krachtens de wet is opgedragen. Het gaat dus om taken die specifiek bij een bestuursorgaan zijn neergelegd.U kunt hierbij denken aan de taak van bestuursorganen om bezwaarschriften te behandelen. Voor een goede vervulling van die taak zal het bestuursorgaan veelal persoonsgegevens moeten verwerken.

De betrokkene kan tegen een verwerking op basis van deze grondslag verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.

Grondslag 6. Gerechtvaardigd belang

Het verwerken van persoonsgegevens is noodzakelijk voor de behartiging van een gerechtvaardigd belang. U mag op basis van de zesde grondslag persoonsgegevens verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren.

U moet een gerechtvaardigd belang hebben.

Als u uw activiteiten niet goed kunt uitoefenen zonder het verwerken van persoonsgegevens, dan hebt u een gerechtvaardigd belang in de zin van de Wbp. U hebt geen gerechtvaardigd belang als u alvast vooruitlopend op een nog onbekend belang in de toekomst gegevens gaat verwerken, omdat die gegevens misschien ooit van pas zullen komen.
Een gerechtvaardigd belang om persoonsgegevens te verwerken, is bijvoorbeeld een goede bedrijfsvoering.Het gaat daarbij niet alleen om externe activiteiten, maar ook om uw interne organisatie. Het gerechtvaardigd belang is ook niet beperkt tot uw kernactiviteiten, zoals bijvoorbeeld het verkopen van producten. Het kan ook betrekking hebben op activiteiten die daarmee nauw verweven zijn, zoals het sturen van reclame over nieuwe producten.Ook dan hebt u een gerechtvaardigd belang. U moet het verwerken van persoonsgegevens wel kunnen rechtvaardigen ten aanzien van een individuele persoon. U mag dus niet al uw werknemers afluisteren om te achterhalen of bedrijfsgeheimen aan derden worden verstrekt,wanneer slechts bepaalde werknemers een risico vormen.

De gegevensverwerking moet verder noodzakelijk zijn voor uw gerechtvaardigd belang.

Dat betekent dat u zich moet afvragen of u (i) met minder gegevens of (ii) via een minder ingrijpende weg hetzelfde resultaat kunt bereiken. Zo moet u in het hiervoor genoemde voorbeeld nagaan of u kunt volstaan met het steekproefsgewijs afluisteren van de desbetreffende werknemers.

De belangen of de fundamentele rechten van de betrokkene mogen in het concrete geval niet prevaleren.

Bij iedere verwerking zult u uitdrukkelijk een afweging moeten maken tussen uw gerechtvaardigde belang en het belang van de betrokkene om gevrijwaard te blijven van inbreuken op (onder meer) zijn privacy. In die afweging spelen de gevoeligheid van de door u verwerkte gegevens en de maatregelen die u hebt genomen ter bescherming van de privacy van de betrokkene een rol. Hoe minder gevoelig de gegevens voor de betrokkene zijn en hoe meer beveiligingsmaatregelen u bijvoorbeeld neemt, hoe eerder het verwerken van persoonsgegevens is toegestaan. Wanneer een onderneming bijvoorbeeld haar klantenbestand gebruikt om die klanten informatie toe te sturen over een nieuw product, kan die verwerking worden gebaseerd op deze grondslag.Het “vermarkten” van nieuwe producten is een gerechtvaardigd belang van de onderneming dat in de regel opweegt tegen de geringe inbreuk op de persoonlijke levenssfeer van de klanten. Tegen een verwerking op basis van deze zesde grondslag kan de betrokkene verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.

Bron: cbpweb.nl

3452 Totaal 1 Vandaag

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *