Als je hebt vastgesteld dat de Verordening op je verwerkingen van toepassing is, dan moet je er voor zorgen dat deze in overeenstemming met de vereisten uit de Verordening plaatsvinden. Hierbij geldt dat een verwerking van persoonsgegevens altijd aan de eisen van proportionaliteit en subsidiariteit moet voldoen. Voor verwerkingsverantwoordelijken die in het kader van een taak in het publieke belang persoonsgegevens verwerken, geldt bovendien dat je in overeenstemming met de algemene beginselen van behoorlijk bestuur moet handelen.

DE PERSOONSGEGEVENS MOETEN AAN DE VOLGENDE EISEN VOLDOEN OM ALS RECHTMATIG AANGEMERKT TE WORDEN:

Je mag op grond van de Verordening persoonsgegevens slechts verwerken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Je mag dus geen persoonsgegevens verwerken zonder dat hiervoor een doel is bepaald. Gegevens verzamelen omdat deze ‘in de toekomst nog weleens van pas kunnen komen’ is dus niet toegestaan. Wel mag je persoonsgegevens voor meerdere doelen tegelijkertijd verwerken. Je moet dan uiteraard wel de verschillende doeleinden duidelijk hebben bepaald.

Daarnaast moet het doel of moeten de doeleinden uitdrukkelijk omschreven zijn. Dit betekent dat je, voordat je begint met het verzamelen of anderszins verwerken van persoonsgegevens, moet vastleggen waarvoor je deze persoonsgegevens nodig hebt.
Je verwerking is gerechtvaardigd wanneer je het doel van de verwerking kunt baseren op één van de zes rechtsgrondslagen die in de Verordening worden gegeven. Kan je dat niet, dan is het niet toegestaan persoonsgegevens te verwerken. De lijst van rechtsgrondslagen is limitatief, je kunt dus geen andere gronden aanvoeren.

De zes grondslagen zijn niet allemaal even relevant voor alle verwerkingsverantwoordelijken. Welke rechtsgrondslag je kunt gebruiken hangt onder andere af van de vraag of je een publieke of private organisatie bent en met welk doel je de persoonsgegevens wilt verwerken. Er moet minimaal één van de grondslagen van toepassing zijn.

De zes rechtsgrondslagen zijn:

  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden;
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  • verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De grondslagen 2 tot en met 6 zijn ‘noodzakelijkheidsgrondslagen’: alleen wanneer de verwerkingen noodzakelijk zijn voor de in deze grondslagen genoemde doelen dan is de verwerking gerechtvaardigd. In de vraag of een verwerking noodzakelijk is ligt besloten of de verwerking van gegevens 1) proportioneel is en 2) of de verwerking voldoet aan de eis van subsidiariteit.

Allereerst moet de verwerking proportioneel zijn. Dit betreft de vraag naar effectiviteit en evenredigheid. Als je met de verwerking van de gegevens niet het gestelde doel kunt bereiken, of dat is zeer onwaarschijnlijk, dan is deze verwerking niet snel proportioneel. Het tweede element van de  proportionaliteitstoets betreft de evenredigheid. Het legitieme doel dat wordt nagestreefd moet in verhouding staan tot het feit dat daarvoor persoonsgegevens moeten worden verwerkt.

Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende wijze (bijvoorbeeld door géén of minder persoonsgegevens te verwerken) kan worden bereikt. Wanneer je bijvoorbeeld vermoedens heeft dat één specifieke medewerker fraude pleegt, is het niet noodzakelijk om alle werknemers te controleren.

Je hoeft dus niet altijd toestemming te hebben van de betrokkene om uw gegevensverwerking te legitimeren. Als je hard kunt maken dat de verwerking van persoonsgegevens noodzakelijk is voor één van de onder 2 tot en met 6 genoemde doelen, dan heb je geen toestemming te krijgen. Kan je niet hard maken dat je verwerking van persoonsgegevens noodzakelijk is ten behoeve van één van deze doelen, dan zul je terug moeten vallen op de toestemming om de verwerking alsnog te legitimeren. Houd er hierbij wel rekening mee dat ook wanneer je toestemming als grondslag kunt aanvoeren uw verwerking nog steeds moet voldoen aan de eisen van proportionaliteit en subsidiariteit.

We gaan er van uit dat je geen bijzonder persoonsgegevens gaat verwerken. Wanneer je dit gaat doen geldt er aanvullende regelgeving. Voor meer informatie hierover kun je beter telefonisch contact met ons opnemen. Arnold Verwoerd is aangesteld als Functionaris Gegevensbescherming (FG) voor Mega Bite.