Welke gegevens mogen worden verwerkt en onder welke voorwaarden?

Antwoord

Het soort en de hoeveelheid persoonsgegevens die een onderneming/organisatie mag verwerken, hangt af van de redenen voor de verwerking (gebruikte juridische reden) en het beoogde gebruik van de persoonsgegevens. De onderneming/organisatie moet verschillende belangrijke regels eerbiedigen, waaronder:

• persoonsgegevens moeten op een wettige en transparante manier worden verwerkt, waarbij billijkheid ten opzichte van de personen van wie persoonsgegevens worden verwerkt, moet worden gewaarborgd („wettelijkheid, billijkheid en transparantie”);
• er moeten specifieke doeleinden zijn voor de verwerking van de gegevens en de onderneming/organisatie moet die doeleinden duidelijk maken aan de personen van wie de persoonsgegevens worden verzameld. Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”);
• de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
• de onderneming/organisatie moet verzekeren dat de persoonsgegevens accuraat en actueel zijn, rekening houdend met de doeleinden waarvoor zij worden verwerkt, en zo niet deze corrigeren („accuraatheid”);
• de onderneming/organisatie mag de persoonsgegevens niet verder gebruiken voor andere doeleinden die niet verenigbaar zijn met het oorspronkelijke doel;
• de onderneming/organisatie moet verzekeren dat persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor zij zijn verzameld („opslagbeperking”);
• de onderneming/organisatie moet passende technische en organisatorische waarborgen invoeren die de beveiliging van de persoonsgegevens garanderen, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technologie („integriteit en vertrouwelijkheid”).

Voorbeeld

Uw onderneming/organisatie exploiteert een reisbureau. Wanneer u persoonsgegevens van uw klanten verkrijgt, moet u in duidelijke en eenvoudige taal uitleggen waarom u die gegevens nodig hebt, hoe u deze wenst te gebruiken en hoe lang u ze wenst te bewaren. De verwerking moet zodanig worden toegesneden dat de belangrijkste beginselen inzake gegevensbescherming in acht worden genomen.

Referenties

• Artikel 5, lid 1; overweging 39 van de AVG
• Advies 03/2013 van de Groep gegevensbescherming artikel 29 over doelbinding (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)