25feb, 18
VANDIJK advocaten - De Algemene Verordening Gegevensbescherming/General Data Protection Regulation : Verordening bescherming persoonsgegevens op internet (deel 4) (Mr. Ynke M.M. Ooykaas)

Het jaar 2018 belooft een spannend jaar te worden voor iedereen die met data te maken heeft. Bedrijven hebben tot 25 mei 2018 de tijd te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) of in het Engels General Data Protection Regulation ( GDPR). De AVG is mei 2016 in werking getreden, maar bedrijven hebben nog tot 25 mei 2018 de tijd om aan deze ingrijpende richtlijn te voldoen.

De eerste artikelen over de AVG gingen over het doel, de achtergrond, de definitie van persoonsgegevens en het gebruik en de expliciete toestemming die nodig is voor het verwerken van persoonsgegevens. Dit deel gaat over andere gronden op basis waarvan u persoonsgegevens mag gebruiken. Die gronden zijn:

Een overeenkomst

Wanneer bepaalde gegevens noodzakelijk zijn voor een goede uitvoering van de overeenkomst mag u die gegevens gebruiken. In dat geval mag u alleen de minimaal benodigde informatie vragen. Vraagt u meer gegevens dan strikt noodzakelijk, dan kunt u geen beroep op deze grondslag doen.

Wettelijke plicht

Wanneer nationale of Europese wetgeving het noodzakelijk maken dat u over bepaalde gegevens beschikt, mag u die gegevens vragen. Zo moet een werkgever uw BSN nummer geven aan de Belastingdienst om informatie over uw loon te kunnen uitwisselen. Uw werkgever mag uw BSN nummer echter niet gebruiken om personeelsadministraties te koppelen.

Vitaal belang

Denk hierbij aan situaties waarbij het leven van de persoon of een derde (bijvoorbeeld zijn kind) direct gevaar loopt. Zoals het gebruik van medische gegevens bij een ongeluk, maar ook de voorkoming van een epidemie of bij rampen. Deze situatie zal in de dagelijkse praktijk echter niet  vaak voorkomen.

Publieke taak of algemeen belang

Hiervan is sprake als een bestuursorgaan de persoonsgegevens nodig heeft voor het uitvoeren van een overheidstaak of in het kader van het algemeen belang. Dat ‘’algemeen belang” moet dan wel te herleiden zijn naar een wettelijke regeling.  Bij deze grondslag kan de persoon wiens gegevens worden geregistreerd, geen verwijdering van zijn gegevens te vragen. Wel kunnen onjuiste gegevens worden gecorrigeerd.

Gerechtvaardigd belang

U kunt als gebruiker van persoonsgegevens stellen dat de persoonsgegevens nodig zijn met het oog op het ‘gerechtvaardigd belang’ van uw organisatie waarbij de belangen van de betrokken persoon niet uit gaan boven die van u als gebruiker. Let op: overheidsinstanties kunnen zich niet beroepen op verwerking krachtens een eigen belang.
Bij ‘gerechtvaardigd belang’ is belangrijk in hoeverre de betrokkene mag verwachten dat zijn persoonsgegevens worden gebruikt. Het gaat dan om een afweging van de belangen van u als gebruiker en de belangen van de persoon wiens gegevens u registreert.
Hoe maakt u die afweging? Die kunt u aan de hand van de volgende criteria maken:

  • Zijn de gegevens noodzakelijk of kunt u ook andere gegevens gebruiken die niet zo makkelijk tot een persoon te herleiden zijn.
  • Hoe gevoeliger de gegevens, hoe zwaarder het belang van degene wiens gegevens worden geregistreerd zal wegen.
  • De belangen van kinderen onder de 16 jaar wegen in beginsel altijd zwaarder dan het belang van uw organisatie, tenzij blijkt dat er toestemming is gegeven.
  • Een afhankelijke of onafhankelijke relatie: als de persoon wiens gegevens worden geregistreerd op de een of andere wijze afhankelijk is van uw organisatie, zal het privacybelang van deze betrokkene in het algemeen zwaarder wegen dan uw belang omdat er geen ‘vrije keuze’  aan de kant van de betrokkene mogelijk is.
  • De mogelijkheid tot bezwaar: als u de persoon van wie u de gegevens gaat gebruiken de mogelijkheid heeft gegeven om (bijvoorbeeld binnen 7 dagen na ontvangst van een bericht) bezwaar te maken tegen het gebruik van zijn persoonsgegevens en er wordt geen bezwaar gemaakt, dan weegt het privacybelang weer wat minder zwaar. Het is dus niet zo simpel om te beslissen of de basis waarop u meent gerechtigd te zijn tot de verwerking van persoonsgegevens ook geaccepteerd al worden.

In het volgende deel meer over de verwerking van bijzondere persoonsgegevens zoals lidmaatschap vakbond, afkomst, politieke of religieuze opvattingen, genetische gegevens, biometrische gegevens en gegevens over fysieke/mentale gezondheid, seksueel gedrag en strafrechtelijke persoonsgegevens (zoals bijvoorbeeld ook de weigering tot afgifte van een Verklaring Omtrent Gedrag).

y.ooykaas@vandijkadvocaten.nl

Meer informatie? Neem contact met ons op!