GDPR: 6 rechtmatige manieren om persoonsgegevens te verwerken

Posted by media on 19-apr-2018 9:00:00

image post 19-4

Nu we slechts een paar maanden verwijderd zijn van de datum van de inwerkingtreding van de Algemene Verordening Gegevensbescherming 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (GDPR), moeten bedrijven, freelancers en overheidsinstanties zich aanpassen aan de wettelijke vereisten en principes, en dat is een aanzienlijke uitdaging.

In deze post bekijken we de verschillende principes die de verordening heeft opgesteld voor de rechtmatige verwerking van persoonsgegevens.

Deze post is ook beschikbaar in het Engels.

    Inhoudsopgave

  • GDPR: In welke gevallen is de verwerking van persoonsgegevens toegestaan?
  1. Met de ondubbelzinnige toestemming van een persoon  
  2. Contractuele verplichting
  3. In het legitieme belang van de gegevensbeheerder
  4. In de vitale belangen van de betrokkene
  5. In het algemeen belang
  6. In overeenstemming met wettelijke verplichtingen
  • Conclusie

 

In welke gevallen is de verwerking van persoonsgegevens toegestaan?

De rechtmatigheid van gegevensverwerking wordt geregeld door artikel 6 van de GDPR waarin zes verschillende voorwaarden worden gedefinieerd die de verwerking van gegevens rechtvaardigen:

  1. Met de ondubbelzinnige toestemming van een persoon
  2. Contractuele verplichting
  3. In het legitieme belang van de gegevensbeheerder
  4. In de vitale belangen van de betrokkene
  5. In het algemeen belang
  6. In overeenstemming met wettelijke verplichtingen

Zoals je kunt zien is ondubbelzinnige toestemming daar onderdeel van, maar zeker niet de enige voorwaarde waaronder gegevensverwerking rechtmatig is.


Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet.”

                                                                                                      Overweging 40 - GDPR


 

1. Met de ondubbelzinnige toestemming van een persoon

Volgens de GDPR is het verkrijgen van toestemming van de betrokkene een van de wettige manieren om de persoonsgegevens van inwoners van de Europese Unie te verwerken. Het zijn de kenmerken van deze toestemming die voor de grootste verandering zorgen in deze verordening.

De toestemming beschreven in artikel 4.11 van de verordening bestaat uit een vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige indicatie van de betrokkene dat hij instemt met de verwerking van zijn persoonsgegevens door middel van een verklaring of door een duidelijke bevestigende handeling.

Er is daarom een positieve actie nodig die geen ruimte geeft voor twijfel over de wensen van de betrokkene. Dit betekent dat de mogelijkheid om stilzwijgende toestemming te krijgen voor de verwerking van persoonsgegevens niet langer bestaat. Overweging 32 van de verordening bevestigt duidelijk dat: “stilzwijgendheid, vooraf aangevinkte vakjes of inactiviteit daarom geen toestemming mogen zijn.”

Het grootste probleem dat deze nieuwe wet reguleert is dat eerder verkregen toestemmingen opnieuw moeten worden verzameld op een van deze manieren. Met andere woorden, als toestemming jaren geleden is verkregen door middel van een vooraf aangevinkt vakje, is deze niet langer geldig.

Het is ook belangrijk om te benadrukken dat als we gegevens met betrekking tot gezondheid of minderjarigen willen verwerken, het van essentieel belang is om daar uitdrukkelijke toestemming voor te verkrijgen.

Zoals vermeld is toestemming echter niet de enige wettelijke basis voor de verwerking van persoonsgegevens.

GDPR_individual’s_unambiguous_consent_SIGNATURIT.jpeg


2. Contractuele verplichting

Dit is van toepassing wanneer de verwerking betrekking heeft op de partijen bij een zakelijke, arbeidsrechtelijke of administratieve overeenkomst en vereist is om de overeenkomst te onderhouden of na te komen.

Dit kan bijvoorbeeld de verwerking van de naam, achternaam en foto van een werknemer zijn voor het maken van een visitekaartje.

 

Download GDPR Gids

 

3. In het legitieme belang van de gegevensbeheerder

Wanneer de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting van de gegevensverwerker zolang dit niet wordt onderdrukt door de belangen of rechten en vrijheden van de betrokkene, rekening houdend met de verwachtingen van de betrokkene op basis van hun relatie met de gegevensbeheerder.

Hoewel de verantwoordelijke voor de verwerking de gegevens mag verwerken zonder toestemming te hebben verkregen op basis van hun legitieme belang, kan de betrokkene zijn rechten en vrijheden ook opleggen door zijn recht op verzet uit te oefenen.

We kunnen in al deze situaties van rechtmatige verwerking vaststellen dat het voldoen aan legitieme belangen de meest onzekere is aangezien dit vele situaties kan omvatten.    

Daarom geven overwegingen 47 tot en met 49 van de GDPR voorbeelden van gevallen waarin de legitieme belangen van de verwerker van toepassing kunnen zijn: fraudepreventie, doorgifte van gegevens binnen een groep bedrijven en de verzending van gegevens om de netwerkbeveiliging te waarborgen.

Een ander voorbeeld is het gebruik van zogenaamde "onboard-camera's" op voertuigen die gebruikt worden voor de opname van beelden als wettelijk bewijs in het geval van een ongeluk.                             

GDPR_legitimate_interest_of_the_data_controller_SIGNATURIT.jpeg

                                                           

4. In de vitale belangen van de betrokkene

In dit geval is de verwerking noodzakelijk om de vitale belangen van de betrokkene of een ander fysiek persoon te beschermen. Overweging 46 geeft voorbeelden van vitale belangen en publieke belangen waarbij gegevens moeten worden verwerkt voor humanitaire doeleinden (bijvoorbeeld om epidemieën onder controle te houden) en humanitaire noodsituaties, met name in het geval van natuurrampen en door de mens veroorzaakte rampen.  


5.
In het algemeen belang

De verwerking is nodig voor het vervullen van een missie die wordt uitgevoerd in het algemeen belang of bij de uitoefening van de openbare bevoegdheden die aan de verwerker zijn verleend.

Scholen kunnen bijvoorbeeld een centraal register voor de vrijgeving van zedendelinquenten verkrijgen. Dat is verplicht voor iedereen die met minderjarigen werkt.

In dit verband bepaalt de GDPR dat, zowel voor de verwezenlijking van openbare belangen als voor wettelijke verplichtingen, de lidstaten meer specifieke bepalingen kunnen handhaven of invoeren om zo hun voorschriften aan de GDPR aan te passen.


6.
In overeenstemming met wettelijke verplichtingen

Het is niet nodig om toestemming te verkrijgen voor de verwerking van persoonsgegevens wanneer dit vereist is voor de gegevensverwerker die de gegevens verzamelt om te voldoen aan de wettelijke verplichtingen.

Een van de wettelijke verplichtingen waaraan elektronische verleners van vertrouwensdiensten zoals Signaturit moeten voldoen is bijvoorbeeld het bewaren van gegevens en documenten voor een periode van 5 jaar in overeenstemming met artikel 25 van Wet 34/2002 van 11 juli over de informatiemaatschappij en e-commerce diensten.


Conclusie

Bedrijven, freelancers en instellingen die persoonsgegevens verwerken moeten de verwerking rechtvaardigen op basis van een van deze zes principes zodat deze als legaal kan worden beschouwd. De identificatie van het principe dat van toepassing is op iedere gegevensverwerkingsactiviteit is een essentieel onderdeel van de aanpassing aan de nieuwe GDPR.

We zien dus dat de nieuwe verordening duidelijk zes gevallen benoemt waarin de verwerking van persoonsgegevens als wettig wordt beschouwd. Dat betekent dat degenen die verantwoordelijk zijn voor gegevensverwerking moeten analyseren of hun verwerking correct wordt uitgevoerd, of dat hun manier nog moet worden aangepast aan de nieuwe voorwaarden die binnenkort zullen worden opgelegd.

Deze post is ook beschikbaar in het Engels.


 Basisgids Algemene Verordening Gegevensbescherming (GDPR)

Topics: GDPR

Blog Inschrijving

Recente Posts