De rechtmatige verwerking van persoonsgegevens

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten bedient? Dan verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt uitgelegd onder welke voorwaarden de verwerking van persoonsgegevens rechtmatig wordt geacht.

Rechtsgronden

Persoonsgegevens mogen niet zomaar worden verwerkt. Voor iedere verwerking dient een (rechtmatige) grondslag te zijn; een rechtsgrond. Bestaat deze niet, dan mogen de persoonsgegevens niet worden verwerkt. Deze verplichting bestond al onder de Wet bescherming persoonsgegevens (Wbp) en geldt (vrijwel) onveranderd onder de AVG. Er zijn zes gronden die hieronder kort zullen worden toegelicht.

1. de betrokkene heeft toestemming gegeven voor de verwerking. De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven:
   
   Vrij: dit betekent dat de betrokkene niet mag worden gedwongen gegevens te moeten verstrekken om van een bepaalde dienst gebruik te mogen maken;Geïnformeerd: de betrokkene moet worden geïnformeerd over de verstrekking (middels een privacyverklaring) en daarin moet onder andere worden aangegeven voor welke doeleinden de gegevens worden verwerkt;Specifiek: de toestemming moet gelden voor alle verwerkingen die hetzelfde verwerkingsdoeleinde of dezelfde verwerkingsdoeleinden dienen (zie voor de uitleg van dit begrip hieronder). Heeft een verwerking meerdere doeleinden, dan dient de betrokkene zijn toestemming van elk daarvan verlenen;

   Ondubbelzinnig: de betrokkene moet op een actieve wijze toestemming geven. Bijvoorbeeld door het klikken op een vakje, het selecteren van bepaalde instellingen of een andere verklaring.

   Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt daarom niet als toestemming.

   De verwerkingsverantwoordelijke dient aan te kunnen tonen dat de betrokkene toestemming heeft gegeven. De betrokkene heeft overigens het recht zijn/haar toestemming te allen tijde in te trekken. De verwerking van persoonsgegevens die op de toestemming berust, dient dan direct te worden gestopt.

2. de verwerking is noodzakelijk voor de uitvoering van een (te sluiten) overeenkomst.Het dient bij deze grondslag te gaan om een rechtmatige (voorgenomen) overeenkomst waarbij de betrokkene partij is. Daarnaast is het van belang dat de persoonsgegevens die worden verwerkt, noodzakelijk zijn om de afspraken die zijn gemaakt in de overeenkomst na te kunnen komen. Denk bijvoorbeeld aan de afspraak tussen een werkgever en een werknemer, waarbij de eerstgenoemde zich verplicht tot het betalen van salaris. Om dat te kunnen doen, heeft de werkgever het bankrekeningnummer van de werknemer nodig. Deze gegevens mogen dus worden verwerkt op basis van voornoemde grondslag.
3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.Voor deze grondslag is het van belang dat voor de verwerkingsverantwoordelijke een wettelijke plicht bestaat om gegevens te verwerken. Voorbeelden hiervan zijn terug te vinden in de werkgevers-werknemers relatie. Een werkgever is bijvoorbeeld verplicht op grond van de wet een kopie van het identiteitsbewijs van de werknemer te bewaren. Ook is een werkgever verplicht bepaalde gegevens van een werknemer te verstrekken aan de Belastingdienst. Deze (en andere) verplichtingen zijn vastgelegd in verschillende wetgeving en om aan deze verplichtingen te voldoen is het noodzakelijk de betreffende persoonsgegevens te verwerken.
4. de verwerking is noodzakelijk ter bescherming van vitale belangen.De verwerking van persoonsgegevens is rechtmatig indien het noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of van een ander natuurlijke persoon essentieel is. Dit doet zich over het algemeen voor als zich een acuut gevaar voordoet en de verwerking niet op basis van een andere grondslag kan worden gebaseerd. In de toelichting op de Wbp wordt een dergelijke situatie als volgt omschreven:“Gedacht kan worden aan het geval van een grootschalige ramp waarbij terstond maatregelen in de sfeer van de hulpverlening moeten worden getroffen. Het is dan ondoenlijk eerst alle betrokkenen te informeren en toestemming te vragen alvorens de hulpverlening te starten. Hetzelfde geldt voor hulpverlening aan bewoners van een in brand staand huis.”
5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag.Deze grondslag heeft betrekking op overheidsinstanties die, op basis van wetgeving, persoonsgegevens verwerken. Denk bijvoorbeeld aan de belastingdienst, de Autoriteit Financiële Markten en de politie.
6. de verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen.Bij deze laatste grondslag gaat het (over het algemeen) over het gerechtvaardigd belang van de verwerkingsverantwoordelijke. Een gerechtvaardigd belang kan aanwezig zijn indien sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Dus bijvoorbeeld in een werkgevers-werknemersrelatie of wanneer de betrokkene een klant is van de verwerkingsverantwoordelijke. Voorbeelden van een gerechtvaardigd belang zijn fraudevoorkoming, direct marketing of netwerk- en informatiebeveiliging.De grondslag bevat, in tegenstelling tot de andere grondslagen, de verplichting voor de verwerkingsverantwoordelijke tot het afwegen van zijn gerechtvaardigde belangen tegenover de belangen of de grondrechten en de fundamentele vrijheden van de betrokkenen. Wegen de belangen van de betrokkene zwaarder, dan is de verwerking niet toegestaan op basis van deze grondslag. Dit kan zo zijn in het geval waarin de betrokkene redelijkerwijs geen verdere verwerking verwacht. Bijvoorbeeld als de betalingsgegevens van een rekeninghouder door een bank worden verstrekt aan een commerciële partij.

Rechtsgronden, gerechtvaardigde belangen, verwerkingsdoeleinden en verwerkingen

In de praktijk blijkt soms verwarring te bestaan met betrekking tot verschillende begrippen die verband houden met de verwerking van persoonsgegevens. Er dient onderscheid te worden gemaakt tussen een rechtsgrond, een gerechtvaardigd belang, een doeleinde en een verwerking.

Er bestaan zes rechtsgronden die zijn vastgelegd in de wet. Deze rechtsgronden zijn voor iedere verwerkingsverantwoordelijke van belang. Zoals hiervoor besproken dient altijd een grond aanwezig te zijn, anders mogen gegevens niet worden verwerkt.

Een gerechtvaardigd belang is één van de rechtsgronden en houdt verband met een individuele verwerkingsverantwoordelijke. Een voorbeeld is het waarborgen van de beveiliging van een gebouw.

Een verwerkingsdoeleinde is specifieker en hangt samen met de verwerking van persoonsgegevens. Teneinde een gebouw te beveiligen (gerechtvaardigd belang) krijgt al het personeel een persoonlijke toegangspas (verwerkingsdoeleinde).

Daarnaast worden gegevens verwerkt. Dit is het verzamelen van de persoonsgegevens en het uiteindelijk (digitaal) plaatsen van de persoonsgegevens ‘op’ een toegangspas. Het gaat in dit geval dus om de specifieke verwerkingshandelingen die worden verricht om een verwerkingsdoeleinde te bereiken.

Tot slot

Heeft u vragen over het (rechtmatig) verwerken van persoonsgegevens en/of de AVG? Wij beantwoorden deze graag. Neem contact op onze sectie Privacyrecht.