Voor de toepassing van deze verordening wordt verstaan onder:
1) "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
(Overweging 14-15-26-27)
De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.
Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand.
Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.
De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
De onderhavige verordening is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen.
Zie ook WP29, 136 Advies 4/2007 over het begrip persoonsgegeven
Vindplaats: ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2007/wp136_nl.pdf
De Wet bescherming persoonsgegevens definieert dit als volgt: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Degene over wie de gegevens worden verwerkt is de betrokkene.
Artikel 1 Onderdeel a persoonsgegeven
Gegevens die betrekking hebben op een persoon en de identificeerbaarheid van een persoon
De informatie moet betrekking hebben op een persoon
Allereerst is voor het begrip «persoonsgegeven» relevant of de gegevens informatie over een persoon bevatten. In veel gevallen, zoals bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht moeten worden besteed aan de context waarin het gegeven wordt vastgelegd en gebruikt. Als gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk) gebruik dat van gegevens wordt gemaakt is dus mede-bepalend voor de beantwoording van de vraag of sprake is van een persoonsgegeven.
De informatie moet leiden tot de identificeerbaarheid van een persoon
De identificeerbaarheid van de persoon is het tweede element dat bepalend is voor de vraag of sprake is van een persoonsgegeven. Uitgangspunt is dat een persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. Twee factoren spelen hierbij een rol: de aard van de gegevens en de mogelijkheden van de verantwoordelijke om de identificatie tot stand te brengen.
a) Aard van de gegevens
Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.
Indirect identificerend
Dit doet zich voor als gegevens niet direct tot identificatie van een bepaald persoon leiden maar via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Dit soort gegevens heten indirect identificerende gegevens. Zij kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon.
Zie ook: telefoonnummers (Registratiekamer 8 juli 1993, 93.A.002), kentekens van auto’s (Registratiekamer 15 oktober 1993, 92.F.008) en postcodes met huisnummers.
b) De mogelijkheden van de verantwoordelijke om identificatie tot stand te brengen.
Dat betekent dat de verantwoordelijke zich in een dergelijk geval zal moeten afvragen of de bewuste gegevens in handen van de ontvanger al dan niet als identificeerbaar zullen moeten worden aangemerkt. Bepalend is wat in de gegeven situatie redelijkerwijs mag worden verwacht. Naarmate een verstrekker over meer mogelijkheden beschikt om de risico’s van identificatie door de ontvanger te voorzien of te beperken, mag van hem in dit opzicht meer zorgvuldigheid worden verwacht. Bij het voortschrijden van informatietechnologie moet rekening worden gehouden met het feit dat waar voorheen wellicht nog sprake is was van een onevenredige inspanning (en dus niet van een persoonsgegeven), deze inspanning geringer wordt met het beschikbaar komen van nieuwe technieken. De desbetreffende gegevens kunnen daardoor onder het bereik van het wetsvoorstel komen te vallen. Het begrip is dus tot op zekere hoogte technologie-onafhankelijk in die zin dat technische ontwikkelingen leiden tot een andere toepassing van hetzelfde begrip, teneinde de ratio van de regelgeving – de bescherming van het individu – te behouden.
Wat dus bij een bepaalde stand van de techniek als anoniem, want redelijkerwijs niet op een persoon herleidbaar gegeven, kan worden beschouwd, kan door technische ontwikkelingen alsnog een persoonsgegeven worden gelet op de toegenomen mogelijkheden tot herleiding. (MvT blz. 45 e.v. en AVG overweging 15)
Objectgegevens
Gegevens die naar hun aard niet op personen betrekking hebben noch – gezien de context waarin ze worden verwerkt – mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, zijn geen persoonsgegevens. Gegevens die uitsluitend voorwerpen aanduiden, bijvoorbeeld gestolen goederen of identiteitsbewijzen, zijn geen persoonsgegevens indien deze geen informatie bevatten met behulp waarvan personen in hun maatschappelijke positie kunnen worden geraakt. Het gaat dan om zuivere objectgegevens.
Hetzelfde geldt voor gegevens die onroerende zaken of andere registergoederen identificeren. Het feit dat deze zaken via een openbaar register zoals de kadastrale registratie tot een individuele natuurlijke persoon kunnen worden herleid, doet hieraan op zichzelf niet af (maakt nog niet dat ze onder de WBP vallen). Het zou anders zijn indien bij een verstrekking van dergelijke objectgegevens (bijvoorbeeld overzichten van panden en erven met aanvullende informatie over de omvang en de aard ervan) een aanvullend gegeven omtrent personen is verbonden, waardoor de zoekbaarheid op personen mogelijk wordt.
Soms wordt aangevoerd dat men wel persoonsgegevens heeft, maar dat de wet niet van toepassing is ‘want we doen er niks mee’. Dan gelden toch de wettelijk regels, want vanaf het moment van verzamelen gelden de zorgvuldigheidseisen, het principe van doelbinding en de informatieplicht.
Indien een tag, die een unieke identificatiecode bevat, wordt gedragen door een persoon, moet die identificatiecode ook worden behandeld als persoonsgegeven.
Een ip-adres is een persoonsgegeven, zie
