GDPR (8) Rechtsgrond voor het verwerken van persoonsgegevens

20 september 2017

Bij het opstellen van het register van verwerkingen van persoonsgegevens kan de verantwoordelijke best ook telkens de rechtsgrond vastleggen, ook al is dat geen verplicht onderdeel van het register. Voor een legaal gebruik van de gegevens moet er immers een specifiek doeleinde en een aantoonbare rechtsgrond zijn voor de verwerking. Bovendien moet de verwerking de regels van proportionaliteit en subsidiariteit volgen, ze moet met andere woorden noodzakelijk zijn en in verhouding tot het doel.

De GDPR voorziet meerdere mogelijke rechtsgronden, die niet in alle gevallen van toepassing zijn. Het is belangrijk goed na te denken welke grond je hebt vooraleer aan een verwerking te beginnen. Dit proces moet gedocumenteerd worden en kan een belangrijke rol spelen bij betwistingen of klachten achteraf.

De duidelijkste en meest specifieke instructies geeft de GDPR omtrent toestemming van de betrokkene als rechtsgrond, maar deze behandelen we uitgebreid in de volgende aflevering.

Daarnaast kunnen nog andere rechtsgronden ingeroepen worden. De gegevens kunnen nodig zijn voor de uitvoering of de voorbereiding van een contract. Voor de samenwerking tussen klanten en leveranciers zijn allerlei persoonsgegevens noodzakelijk. In de eerste plaats contactgegevens, maar in de B2C-wereld  komen daar bijvoorbeeld betaalgegevens en financiële informatie bij. Voor zover de verwerkte informatie aantoonbaar noodzakelijk is om het contract tot stand te brengen of de overeengekomen dienstverlening uit te voeren, volstaat deze rechtsgrond als rechtvaardiging.

Een wettelijke verplichting kan eveneens de grondslag vormen voor het verwerken van persoonsgegevens. Het kan gaan om Europese of landelijke wetgeving die bedrijven verplicht informatie door te geven aan de overheid. Dat is het geval voor bijvoorbeeld  banken, verzekeringsmaatschappijen, luchtvaartmaatschappijen enz.

Vervolgens kan het algemeen belang een rechtsgrond zijn, bijvoorbeeld als de overheid organisatorische afspraken maakt met bedrijven om belastingen te administreren. Deze rechtsgrond laat ook toe om gegevens te verzamelen voor wetenschappelijke of historische doeleinden. Taken van de publieke autoriteiten vallen eveneens onder het algemeen belang.

Verder voorziet de wet dat je in zaken van levensbelang (als het letterlijk over leven of dood gaat) persoonsgegevens van de betrokkene of van een andere natuurlijke persoon mag gebruiken. Je moet wel handelen in het belang van een individuele persoon, met voldoende gezond verstand.

Tenslotte blijft nog het gewettigd belang van de verantwoordelijke of van een derde partij over. Dit is niet van toepassing op publieke autoriteiten. Wanneer je deze rechtsgrond inroept, moet je dit altijd verduidelijken en moet je je belangen goed afwegen tegen het recht op privacy van de betrokkenen. Zowel in het eigen register als in de privacyverklaringen die je opstelt als toelichting voor de betrokkenen moet je dit duidelijk uitleggen en aantonen. Louter economisch belang is niet langer voldoende als verantwoording. En de verwerking moet wel degelijk noodzakelijk zijn. Dit is in elk geval de zwakste rechtsgrond uit het rijtje. De GDPR vraagt expliciet extra aandacht voor de verwerking van gegevens over kinderen (tot de leeftijd van 16 jaar). Daarvoor is toestemming van de ouders nodig, wat niet zo gemakkelijk te organiseren is.

Als het gaat om de verwerking van speciale categorieën van persoonsgegevens gelden nog striktere regels. Dergelijke verwerking is verboden, behalve in bepaalde gevallen, die door de GDPR worden opgesomd.

We overlopen ze kort:

  • Indien de betrokkene expliciet zijn toestemming heeft gegeven
  • Als het gaat om gegevens die reeds publiek beschikbaar zijn omdat ze manifest door de betrokkene zelf openbaar gemaakt zijn
  • Op grond van tewerkstellingswetgeving (allerhande gegevens moeten verwerkt worden in het kader van sociale zekerheid, wettelijke verplichtingen en contractuele overeenkomsten)
  • In zaken van levensbelang, als de betrokkene niet in staat is zijn toestemming te geven (hier gaat het vaak precies over het gebruiken of doorgeven van medische gegevens)
  • Voor vzw’s of organisaties voor een goed doel, voor zover het gaat om wettig gebruik van gegevens over leden, vroegere leden of personen met wie ze regelmatig contact hebben
  • Voor verenigingen, vakbonden of politieke en religieuze organisaties (met politieke, filosofische of religieuze doeleinden)
  • Gegevens over misdrijven of strafrechtelijke zaken kunnen enkel verwerkt worden door publieke autoriteiten of in gevallen die door de wetgeving (EU of landelijk) zijn voorzien. Elk land kan daarbij zijn eigen beperkingen opleggen. Strafrecht is trouwens een nationale materie en wordt niet geregeld door de GDPR
  • Indien de gegevens noodzakelijk zijn in het kader van rechtszaken
  • In een aantal gevallen omwille van het algemeen belang:
    • bij substantieel algemeen belang, en gedekt door EU of landelijke wetgeving, die ook de rechten van het individu beschermt
    • in het kader van de gezondheidszorg (diagnoses door medische professionals; gegevens voor de organisatie van gezondheidszorg of sociale zekerheid,; assessments van de gezondheid van werknemers; onderzoek van geneesmiddelen)
    • gegevens nodig voor wetenschappelijk of historisch onderzoek of archivering, waarbij je de nodige beschermingsmaatregelen moet nemen (de resultaten van onderzoek kunnen bijvoorbeeld geanonimiseerd of gepseudonimiseerd worden).

Er is steeds een gewichtige reden nodig om persoonsgegevens te verwerken. In de volgende afleveringen verdiepen we ons nog verder in de toestemming van de betrokkene en in het gewettigd belang van de verantwoordelijke als rechtsgrond.

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING