10
Feb
2017

De grondslagen voor verwerking van persoonsgegevens

In de Wet bescherming persoonsgegevens werden diverse grondslagen genoemd voor het verwerken van persoonsgegevens. Deze staan in artikel 8 van de Wbp. Ook de in 2018 geldende Europese Privacyverordening kent deze grondslagen voor de verwerking van persoonsgegevens. Hieronder gaan we in op die grondslagen, op grond waarvan er rechtmatig persoonsgegevens kunnen worden verwerkt.

Volgens de Europese Privacyverordening (artikel 6) is verwerking van persoonsgegevens alleen rechtmatig, wanneer tenminste een van de hieronder genoemde voorwaarden van toepassing is:

  1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meerdere specifieke doeleinden. Wat hierbij van belang is, dat de betrokkene deze toestemming kan intrekken. Opt-out is dus mogelijk.
  2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen. Denk hier bijvoorbeeld aan verwerking van persoonsgegevens in verband met een arbeidsrelatie of een huurovereenkomst. Opt-out is niet mogelijk.
  3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, die op de verantwoordelijke rust. Bijvoorbeeld in geval van de plicht tot loonaangifte of een bewaarplicht, verwerking is dan noodzakelijk voor de nakoming van deze verplichting. Opt-out is niet mogelijk.
  4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Het redden van een leven is een rechtmatige grondslag voor het verwerken van persoonsgegevens. Opt-out is niet mogelijk.
  5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Een voorbeeld is verwerking van persoonsgegevens bij een APK-bedrijf. De betrokkene kan bezwaar maken tegen deze verwerking op grond van artikel 21 van de Europese Privacyverordening / artikel 40 van de Wbp.
  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Privacybelang moet bij deze grondslag dus worden afgewogen tegenover belangen van de verantwoordelijke of derden. De verordening verwijst hier dus nog uitdrukkelijk naar situaties, waarbij betrokkene een kind is.

Toestemming

Als we kijken naar punt A (de toestemming van betrokkene), moet er voldaan zijn aan de volgende vereisten:

  • De toestemming moet worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring.
  • Uit de verklaring blijkt dat de betrokkene:
    • vrijelijk (freely given);
    • specifiek;
    • geïnformeerd en;
    • ondubbelzinnig met de verwerking van de persoonsgegevens instemt.

De verordening noemt een aantal voorbeelden van een dergelijke verklaring:

  • het klikken op een vakje bij een bezoek aan een website;
  • het selecteren van technische instellingen voor diensten van de informatiemaatschappij.

Het gebruik van reeds vooraf aangekruiste aanvinkvakjes bij een verzoek om toestemming mag bijvoorbeeld niet als een dergelijke verklaring worden opgevat.

Toestemming wordt veelal gebruikt als basis-grondslag, maar dat is eigenlijk onwenselijk. Toestemming is nodig in twee gevallen: als de wet toestemming eist (bijvoorbeeld voor het sturen van een marketing e-mail) of als je gegevensverwerking indruist tegen de redelijke verwachtingen, die een betrokkene mag hebben ten aanzien van zijn privacy. Toestemming vragen betekent dus feitelijk dat je de andere grondslagen niet kunt gebruiken en je dus extra goed moet uitleggen waarom verwerking toch nodig is. Wij adviseren daarom eerst te kijken naar de mogelijkheden om de gewenste verwerking op andere grondslagen te baseren.

Wilt u als verantwoordelijke persoonsgegevens gaan verwerken, neem dan goed in overweging of deze verwerking gebaseerd is op de grondslagen genoemd in de Wet bescherming persoonsgegevens en in de Europese Privacyverordening. Wilt u meer weten over dit onderwerp, neemt u dan gerust contact met ons op.