Artikel 6 van de AVG noemt zes ‘rechtsgronden’ voor de verwerking van persoonsgegevens. Ten minste één van deze moet van toepassing zijn om gegevens rechtmatig te kunnen verwerken. Zonder een wettelijke basis voldoen de organisatie en de verwerking niet aan de beginselen van rechtmatigheid en verantwoordingsplicht van artikel 5.
Als een organisatie niet kan aantonen dat een van de zes grondslagen van toepassing is, dan is de verwerking van die gegevens onrechtmatig….
Het is dus heel belangrijk!
Om toestemming als wettelijke basis te gebruiken, moeten betrokkenen (dat zijn u en ik) ermee instemmen dat hun persoonlijke gegevens worden verwerkt. Ze moeten een vrije keuze hebben over het al dan niet geven van hun toestemming.
Gegevens kunnen worden verwerkt als de gegevens nodig zijn om een contract met de betrokkene uit te voeren. Het is aanvaardbaar om de gegevens te verwerken voordat het contract wordt aangegaan (bijvoorbeeld het verstrekken van een verzekeringsofferte), op voorwaarde dat de informatie door de betrokkene is opgevraagd.
Als de verwerking van persoonsgegevens vereist is vanwege een wettelijke verplichting, wordt dit beschouwd als een wettelijke basis op voorwaarde dat:
Het recht van het individu op wissing, gegevensportabiliteit en het recht om bezwaar te maken, is niet van toepassing wanneer wettelijke verplichting wordt bepaald als de basis voor verwerking
Als de gegevensverwerking in het vitale belang van de betrokkene is, dan is dit een wettelijke basis. Deze basis is waarschijnlijk alleen van toepassing in medische noodsituaties waarin de verwerking van medische gegevens vereist is om het leven van een persoon of het leven van een andere persoon te beschermen, maar het individu niet in staat is om toestemming te geven.
Als het mogelijk is om de vitale belangen van de persoon op een alternatieve en minder ingrijpende manier te beschermen, dan is deze basis niet van toepassing.
U kunt deze basis niet gebruiken voor verwerking van gezondheidsgegevens- of andere bijzondere categorien van persoonsgegevens (zie artikel 9 van de AVG) als de persoon in staat is om zijn toestemming te geven, zelfs als hij weigert zijn toestemming te geven.
Als de verwerking van persoonsgegevens noodzakelijk is ‘in de uitoefening van een officiële taak’ of om een specifieke taak in het algemeen belang uit te voeren die in de wet is vastgelegd, dan mag dat.
Gerechtvaardigd belang is misschien wel de meest flexibele wettelijke basis, maar organisaties die dit gebruiken, moeten kunnen aantonen dat het belang om de gegevens van een persoon te verwerken niet strijdig zijn met de redelijke verwachtingen van het individu dat u dit doet.
Als gerechtvaardigd belang als basis wordt gebruikt, moet een driedelige afwegingstoets worden toegepast om dit te rechtvaardigen. Bij het uitvoeren van de afwegingstest moet rekening worden gehouden met het volgende:
Alleen wanneer kan worden aangetoond dat er een evenwicht is tussen de belangen van de betrokkene en de organisatie, kan gerechtvaardigd belang worden beschouwd als een wettelijke basis voor verwerking.
Zodra een organisatie een wettelijke basis heeft vastgesteld, moet dit worden vastgelegd in de privacyverklaring.
De vastgestelde rechtsgrondslag is rechtstreeks van invloed op de rechten die een persoon met betrekking tot de gegevens kan uitoefenen. Onderstaande tabel geeft aan welke rechten kunnen worden uitgeoefend volgens de toegepaste wettelijke grondslag.
Individuele Rechten | |||
Recht op gegevenswissing | Recht op overdraagbaarheid | Recht van bezwaar | |
Toestemming | ✓ | ✓ | ⤫ |
Contract | ✓ | ✓ | ⤫ |
Wettelijke verplichting | ⤫ | ⤫ | ⤫ |
Vitaal belang | ✓ | ⤫ | ⤫ |
Publieke taak | ⤫ | ⤫ | ✓ |
Gerechtvaardigd belang | ✓ | ⤫ | ✓ |
Het aanwijzen van de juiste wettelijke basis voor verwerking van elk van uw datasets en de categorieën gegevens die ze bevatten, is niet eenvoudig. Verschillende gegevensbeschermingsautoriteit bieden hier informatie over. Bijvoorbeeld, de Autoriteit Persoonsgegevens legt uit hoe omgegaan moet worden met gerechtvaardigd belang. Ook biedt de Engelse ICO een interactieve begeleidingstool, maar het nemen van de juiste beslissing vereist een grondig begrip van de vereisten van de verordening en de manier waarop de gegevens zullen worden gebruikt. We raden u aan dat een voldoende gekwalificeerde externe functionaris voor gegevensbescherming (DPO) u helpt bij het nemen van deze beslissing, waarschijnlijk als onderdeel van een effectbeoordeling van uw bredere gegevenslandschap. Voor verdere hulp kunt u contact met ons opnemen
Vul hieronder uw gegevens in en wij nemen zo spoedig mogelijk contact met u op