Wanneer mogen persoonsgegevens worden verwerkt?

Antwoord

Uw onderneming/organisatie mag alleen in de volgende omstandigheden persoonsgegevens verwerken:

• Wanneer de betrokkenen daarmee hebben ingestemd;
• Wanneer er een contractuele verplichting bestaat (een overeenkomst tussen uw onderneming/organisatie en een klant);
• Om aan een wettelijke verplichting te voldoen (vastgesteld in EU- of nationale wetgeving).
• Wanneer de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang (vastgelegd in EU- of nationale wetgeving);
• Om de vitale belangen van een persoon te beschermen;
• Voor de gerechtvaardigde belangen van uw onderneming/organisatie, maar pas nadat is gecontroleerd of de grondrechten en fundamentele vrijheden van de persoon van wie de gegevens worden verwerkt niet ernstig worden aangetast. Als de rechten van de betrokkene zwaarder wegen dan het belang van uw onderneming/organisatie, mogen de gegevens niet worden verwerkt op basis van een gerechtvaardigd belang. De beoordeling of het gerechtvaardigd belang van uw onderneming/organisatie voor het verwerken van de gegevens zwaarder weegt dan die van de betrokkenen, dient te worden gemaakt rekening houdend met de afzonderlijke omstandigheden in elke zaak.

Voorbeelden

Toestemming

Uw onderneming/organisatie biedt een muziekapp aan en vraagt aan de gebruikers ervan toestemming om hun muzikale voorkeuren te verwerken, zodat op hun smaak toegesneden liedjes en eventuele concerten kunnen worden voorgesteld.

Contractuele verplichting

Uw onderneming/organisatie verkoopt goederen online. Uw onderneming/organisatie mag gegevens verwerken die nodig zijn om, vóór de ondertekening van het contract en op verzoek van de betrokkene, nodig zijn voor de ondertekening en de uitvoering van dat contract. Zo mag uw onderneming/organisatie de naam, het afleveradres, het kredietkaartnummer (indien betaling per kaart) enz. verwerken.

Wettelijke verplichting

Uw onderneming/organisatie heeft werknemers. Voor socialezekerheidsdoeleinden verplicht de wet uw onderneming/organisatie ertoe om aan de bevoegde autoriteit persoonsgegevens (bijvoorbeeld het weekinkomen van uw werknemers) te verstrekken.

Algemeen belang

Voorbeeld: een beroepsvereniging, zoals een orde van advocaten of een vereniging van medische beroepsbeoefenaren die daartoe officieel bevoegd is, mag tuchtprocedures instellen tegen sommige van haar leden.

Vitale belangen van een persoon

Een ziekenhuis behandelt een slachtoffer van een ernstig verkeersongeval. Het ziekenhuis heeft geen toestemming nodig van het slachtoffer om zijn identiteitsbewijs te zoeken om te controleren of het slachtoffer in de database van het ziekenhuis staat om zijn of haar medische voorgeschiedenis te vinden of om contact op te nemen met zijn of haar naaste familie.

Het gerechtvaardigd belang van uw onderneming/organisatie

Uw onderneming/organisatie verzekert haar netwerkbeveiliging door toezicht te houden op het gebruik van de IT-apparaten van haar medewerkers. Verwerking van persoonsgegevens door uw onderneming/organisatie voor dat doel zal slechts rechtmatig zijn indien wordt gekozen voor de minst ingrijpende methode met betrekking tot de privacy en het recht op gegevensbescherming van de werknemers van uw onderneming/organisatie, bijvoorbeeld door de toegankelijkheid van bepaalde websites te beperken. (Let op dat dit niet mogelijk is in EU-lidstaten waar nationale wetgeving strengere regels voor verwerking oplegt in het kader van een arbeidsverhouding.)

Referenties

• Artikel 6; overweging 40, 41, 42, 43, 44, 45, 46, 47, 48, 49 van de AVG
• Advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip „gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E