Op 25 mei 2018 trad de Algemene verordening gegevensbescherming (hierna: AVG) in werking. De AVG is ook bekend onder de Engelse naam, General Data Protection Regulation (hierna: GDPR). De AVG is geen nieuwe privacywetgeving, maar betreft een ‘update’ van de Gegevensbeschermingsrichtlijn. De Gegevensbeschermingsrichtlijn is destijds in ons Nederlandse wetssysteem geïmplementeerd in de Wet bescherming persoonsgegevens. Ook bij de inwerkingtreding van de AVG-wetgeving vond er een implementatie plaats, namelijk in de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG). Die implementatie vindt plaats omdat de Europese wetgever op bepaalde plekken aan lidstaten beslissingsruimte heeft gegeven om een specifieke invulling aan de regels te geven. Een voorbeeld hiervan is de leeftijd waarop individuen hun rechten uit de AVG mogen uitoefenen (en niet de wettelijk vertegenwoordiger). Die leeftijdgrens verschilt per lidstaat. In Nederland ligt de grens op zestien jaar. (3)
Toepassingsgebied AVG
De AVG is van toepassing als het om I) verwerking van II) persoonsgegevens gaat, waarvan III) de verwerking niet plaatsvindt ten behoeve van een zuiver persoonlijke of huishoudelijke activiteit.
I. Verwerken
Onder ‘verwerken’ vallen kortweg alle handelingen met betrekking tot persoonsgegevens, bijvoorbeeld opvragen, verwijderen, opslaan, verstrekken en kopiëren.(4) Uit een toelichting van de Europese Commissie blijkt dat het enkel plaatsen van een foto van iemand op een website al onder de reikwijdte van het verwerkingsbegrip valt. (5)
II. Persoonsgegevens
Met ‘persoonsgegeven’ wordt alle informatie bedoeld waarmee een betrokkene direct of indirect kan worden geïdentificeerd. Voorbeelden hiervan zijn een naam, locatiegegevens, een identificatienummer of een of meer elementen die kenmerkend zijn voor de economische of sociale identiteit van de betrokkene.(6) ‘Informatie’ is een ruim begrip. Zo kunnen ook foto’s en video’s persoonsgegevens bevatten. De informatie hoeft ook niet feitelijk juist te zijn om onder de definitie te vallen. De informatie moet wel een natuurlijk persoon betreffen.(7)
Met een persoonsgegeven kan een betrokkene zoals gezegd direct als indirect worden geïdentificeerd.(8) ‘Geïdentificeerd’ betekent dat uit de informatie rechtstreeks de identiteit van de persoon blijkt.(9) Bij ‘Identificeerbaar’ gaat het erom dat de persoon nog niet geïdentificeerd is, maar dat dit wel mogelijk is. Een persoon is identificeerbaar als er voldoende elementen beschikbaar zijn waarmee de persoon direct of indirect geïdentificeerd kan worden. Identificeerbaarheid valt uiteen in een directe vorm van identificeerbaarheid en een indirecte vorm van identificeerbaarheid. Bij de eerste vorm maakt de informatie het op zichzelf mogelijk om de betrokkene te identificeren. Bij de tweede vorm zijn er meerdere stappen nodig om de betrokkene te identificeren. De AVG noemt dat bij identificatie rekening gehouden moet worden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij ter identificatie worden gebruikt, rekening houdend met objectieve factoren, zoals tijd, kosten en de beschikbare technologie ten tijde van verwerking.(10) Identificatie mag echter niet dusdanig moeite kosten dat zij in de praktijk ondoenlijk is, doordat zij bijvoorbeeld een excessieve inspanning inhoudt. Voor identificatie hoeft niet alle informatie bij dezelfde persoon te liggen.(11)
Bijzondere categorieën persoonsgegevens
Art. 9 AVG biedt een bepaalde groep persoonsgegevens, namelijk de bijzondere categorieën persoonsgegevens, specifieke bescherming als gevolg van hun gevoelige aard. Dit zijn gegevens waaruit ras, etnische afkomst of politieke opvatting blijkt. Het gaat verder om genetische en biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon of om ‘gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid’. (12) | themadossier Biometrische gegevens
Voor deze groep gegevens geldt een verwerkingsverbod, tenzij er een beroep kan worden gedaan op 9(2) AVG. Een voorbeeld is de uitzondering waarin verwerking noodzakelijk is ten behoeve van een zwaarwegend algemeen belang. Zo kan de verwerking van een bijzonder persoonsgegeven toch rechtmatig zijn, indien dit bijvoorbeeld dient ter bescherming van het recht op de vrijheid van meningsuiting.(13)
III. Uitzondering huishoudelijke activiteit
Voor verwerkingen van persoonsgegevens in het kader van een zuiver persoonlijke of huishoudelijke activiteit is de AVG niet van toepassing.(14) Onder deze activiteiten kan ook het gebruik van online social media-activiteiten vallen. De uitzondering moet strikt worden uitgelegd.(15): De activiteit mag geen enkel verband houden met een beroeps- of handelsactiviteit.(16) De verwerking van persoonsgegevens die bestaat in de openbaarmaking op internet waardoor die gegevens voor een onbepaald aantal personen toegankelijk worden gemaakt valt niet onder de uitzondering.(17) De uitzondering is ook niet van toepassing wanneer het gaat om verwerkers en verantwoordelijkheden die gegevens verwerken met het oog om middelen te verschaffen.(18)
Grondslag vereist
Een organisatie mag alleen persoonsgegevens verwerken als daar een grondslag voor is. De grondslagen zijn:
Toestemming van betrokkene (art. 6 lid 1 sub a AVG)
Noodzakelijk uitvoering overeenkomst (art. 6 lid 1 sub b AVG)
Noodzakelijk voldoen wettelijke verplichting (art. 6 lid 1 sub c AVG)
Noodzakelijk vitaal belang betrokkene (art. 6 lid 1 sub d AVG)
Noodzakelijk vervulling taak algemeen belang of uitoefening openbaar gezag (art. 6 lid 1 sub e AVG)
Noodzakelijk voor behartiging gerechtvaardigd belang (art. 6 lid 1 sub f AVG)
Rechten en verplichtingen
Rechten van betrokkenen I
Themadossier Rechten van betrokkenen
De AVG bepaalt de rechten voor betrokkenen. De betrokkene is de persoon van wie persoonsgegevens worden verwerkt. (19). De rechten van de betrokkene zijn:
Recht op inzage (art. 15 AVG): Het recht om onder meer een kopie te ontvangen van de verwerkte persoonsgegevens;
Recht op vergetelheid (art. 17 AVG): het recht om ‘vergeten’ te worden, ofwel het wissen van de persoonsgegevens;
Recht op rectificatie (art. 16 AVG): Het recht om de persoonsgegevens te laten wijzigen;
Het recht op dataportabiliteit (art. 20 AVG). Het recht om persoonsgegevens over te laten dragen aan een andere partij;
Het recht op beperking van de verwerking (art. 18 AVG): Het recht om minder gegevens te laten verwerken;
Het recht om niet te worden te worden onderworpen aan geautomatiseerde individuele besluitvorming en profilering (art. 22 AVG). Oftewel: het recht op een menselijke blik bij besluiten;
Het recht om bezwaar te maken tegen de gegevensverwerking (art. 21 AVG);
Het recht op informatie (art. 13 en 14 AVG): Het recht op heldere informatie over wat een organisatie met persoonsgegevens gaat doen en waarom. Duidelijk gemaakt moet worden welke persoonsgegevens er worden verwerkt, waarom dat gebeurd (welk doel) en met wie gegevens worden gedeeld of doorverkocht aan andere organisaties en welke organisaties dat precies zijn. (20)
Verhouding verwerkingsverantwoordelijke en verwerker
De verwerkingsverantwoordelijke is verantwoordelijk voor de persoonsgegevensverwerking van betrokkenen. Dit is de organisatie (of andere entiteit) die het doel en de middelen voor de persoonsgegevensverwerking vaststelt.(21) Een verwerker is de organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.(22) Een bekend voorbeeld is het uitbesteden van de salarisadministratie. De organisatie legt deze werkzaamheden bij een extern bedrijf neer, een activiteit waar persoonsgegevensverwerking bij komt kijken. De organisatie is dan de verwerkingsverantwoordelijke, het externe bedrijf de verwerker. Er kan ook sprake zijn van gezamenlijke verwerkingsverantwoordelijkheid.(23) Dan stellen beide organisaties de doelen en middelen vast. Dit zal het geval zijn wanneer het externe bedrijf die de salarisadministratie doet de verstrekte gegevens ook voor een eigen doel verwerkt.(24) Het kan in de praktijk lastig zijn om precies te bepalen wie de verwerker is en wie de verwerkingsverantwoordelijke. Deze voorbeeldlijst helpt daarbij.
Plichten verwerkingsverantwoordelijke en verwerker
Zowel de verwerkingsverantwoordelijke als de verwerker hebben plichten ten aanzien van de naleving van de rechten van betrokkenen. De partijen moeten bijvoorbeeld een verwerkersovereenkomst afsluiten met elkaar.(25) | Lees meer: Themadossier AVG| Verantwoordingsplicht.
Wanneer de verwerker en/of verantwoordelijke zich niet aan de regels uit de AVG houdt, hebben betrokkenen met betrekking tot de schade die zij als gevolg van de AVG-schending hebben geleden recht op schadevergoeding.(26)
Voetnoten
(1) Ov. 11 AVG
(2) Richtlijn 95/46/EG.
(3) art. 5 UAVG.
(4) Art. 4 (2) AVG.
(5) Europese Commissie, ‘Wat is gegevensverwerking?’, https://ec.europa.eu/info/law/lawtopic/data-protection/reform/what-constitutes-data-processing_nl
(6) Art. 4(1) AVG.
(7) Kranenborg, Verhey 2019, §5.
(8) Art. 4 (1) AVG
(9) HvJ EU 19 oktober 2016, C-582/14.
(10) Ov. 26 AVG.
(11) HvJ EU 29 juli 2019, C-40/17, §56.
(12) Ov. 51 AVG; Art. 9 AVG.
(13) Art.9(2)(g) AVG
(14) Art. 2(2)(c) AVG.
(15) Kranenborg, Verhey 2019, §5.
(16) Kranenborg, Verhey 2019, §5.
(17) HvJ EU 6 november 2003, C-101/01, r.o. 47.
(18) Ov. 51 AVG.
(19) art. 4 (1) AVG.
(20) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen
(21) art. 4 sub 7 AVG.
(22) art. 4 sub 8 AVG.
(23) art. 26 AVG.
(24) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving
(25) art. 28 lid 3 AVG.
(26) art. 82 AVG.