Nico Mookhoek is auteur, functionaris gegevensbescherming en geeft advies over privacy kwesties. In zijn blogs gaat hij in op juridische aspecten van privacy en geeft inzicht in de praktische vraagstukken die spelen in dit rechtsgebied. In dit blog gaat Nico Mookhoek in op Verdere verwerking van persoonsgegevens en wanneer dit is toegestaan onder de AVG.
Persoonsgegevens mogen alleen worden verwerkt als daarvoor een specifiek en welomschreven doel is. Deze doelbinding is één van de zeven AVG-beginselen. Onder "Verdere verwerking" wordt verstaan doet persoonsgegevens voor andere doeleinden worden verwerkt dan de doelen waarvoor ze in eerste instantie zijn verzameld. Dit kan verwerking door een en dezelfde verwerkingsverantwoordelijke zijn, maar kan ook de basis zijn voor verstrekking van gegevens aan een andere verwerkingsverantwoordelijke. Een afzonderlijke grondslag voor de verdere verwerking is dan niet noodzakelijk, de grondslag die gebruikt is voor de oorspronkelijke verwerking geldt ook voor deze verstrekking. De ontvanger moet wel een eigen grondslag hebben om de ontvangen gegevens te verwerken.
Om te beoordelen of gegevens verder verwerkt mogen worden, is de doelbinding doorslaggevend.
Doelbinding kent twee pijlers:
Persoonsgegevens moeten worden verzameld voor 'gespecificeerde, expliciete en legitieme' doeleinden
Ze mogen niet 'verder worden verwerkt op een wijze die onverenigbaar is' met die doeleinden.
Verdere verwerking voor een ander doel betekent dus niet altijd dat die verwerking niet mogelijk is. Per geval moet worden beoordeeld of er sprake is van onverenigbaarheid met het oorspronkelijke doel. Als er geen onverenigbaarheid is, mogen de gegevens voor het nieuwe doel worden verwerkt.
Art. 6 lid 4 AVG geeft een aantal criteria waarmee de verenigbaarheid kan worden beoordeeld. Uit een uitspraak van het HvJ (1) blijkt dat bij die beoordeling een afweging gemaakt moet worden tussen enerzijds de behoefte aan voorspelbaarheid en rechtszekerheid met de betrekking tot de doeleinden en anderzijds een zekere mate van flexibiliteit voor de verwerkingsverantwoordelijke.
Bij de beoordeling of verdere verwerking mogelijk is, moeten per casus de relevante omstandigheden in ogenschouw worden genomen. De volgende factoren wegen daarbij mee.
Allereerst is van belang of er een koppeling is tussen de oorspronkelijke doeleinden en de doeleinden van de voorgenomen verdere verwerking. En wat is de aard van die koppeling? Hoe verhouden het oorspronkelijke en nieuwe doel zich?
Ten tweede speelt het kader waar binnen de gegevens zijn verzameld een rol. Doorslaggevend zijn de redelijke verwachtingen van de betrokkenen over het verdere gebruik ervan. Vuistregel daarvoor is: zou de betrokkenen vreemd op kijken als hij/ zij kennisneemt van de nieuwe verwerking?
De aard van de persoonsgegevens is de derde factor die meespeelt bij de afweging of een verdere verwerking mogelijk is. Welke soort gegevens is men voornemens om verder te verwerken? Is er sprake van bijzondere gegevens?
Als vierde factor voor de afweging geldt de impact die de verwerking heeft voor betrokkenen. Wat zijn de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen? Daarbij speelt de omvang van de belangen die betrokkenen speelt ook een rol: hoe groter de belangen des te meer er rekening gehouden dient te worden met wat de betrokkene redelijkerwijs mag verwachten.
Als laatste worden de waarborgen die de beheerder heeft aangenomen om een eerlijke verwerking te waarborgen en om onredelijke impact op de betrokkenen te voorkomen.
In een aantal gevallen is de verenigbaarheidstoets niet noodzakelijk.
De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (doelbinding). Verder verwerking voor dit doel is altijd toegestaan.
Bij een verdere verwerking waartoe de verwerkingsverantwoordelijke wettelijk verplicht is, hoeft de verenigbaarheidstoets ook niet uitgevoerd te worden. Een voorbeeld daarvan is de plicht om gegevens over personeelsleden door te geven aan de belastingdienst.
Hetzelfde geldt als de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of voor een taak in het kader van de uitoefening van het openbaar gezag.
Deze twee vormen van verdere verwerking waarvoor de verenigbaarheid niet hoeft te worden getoetst, moeten wel een grondslag hebben in wetgeving. Daarbij hoeft niet voor elke verwerking specifieke verwerking wetgeving te zijn. Volstaan kan worden met wetgeving die als basis dient voor de verschillende verwerkingen.
Een voorbeeld daarvan is de verwerking van persoonsgegevens in het kader van de nationale veiligheid. Volgens de Mvt vallen verder verwerken onder het regime van Wpg/Wjsg of de Wet op de inlichtingen en veiligheidsdiensten (Wiv). In die gevallen hoeft er dus ook niet getoetst te worden op de verenigbaarheid.
Als laatste kan verdere verwerking zonder de verenigbaarheidstoets uit te voeren, als de betrokkene toestemming heeft gegeven voor de verdere verwerking.
Het begrip verdere verwerking kent dus door de open formulering en de verenigbaarheidstoets die uitgevoerd moet worden, een aantal juridische risico’s.
Steeds vaker wordt er daarom voor gekozen om de grondslag vast te leggen in wetgeving. Een voorbeeld daarvan is de Wet gegevensverwerking door samenwerkingsverbanden (Wgs) die nu ter goedkeuring bij de Eerste Kamer ligt.
HvJ EU 20 oktober 2022 ECLI:EU:C:2022-805