We leven in een innovatieve en creatieve wereld. De wereld om ons heen verandert snel. De Innovatieve Meesters van Elferink & Kortier Advocaten houden de ontwikkelingen op onze vakgebieden voor u bij in deze databank.
Persoonsgegevens verwerken; is het altijd slim om toestemming te vragen?
Waarschijnlijk ingegeven door de onrust en onduidelijkheid die de inwerkingtreding van de Europese Algemene Verordening Gegevensbescherming (AVG) met zich mee heeft gebracht, ging men van de weeromstuit extreem voorzichtig om met het thema privacy. Op zich zelf is dat natuurlijk te prijzen. Men kan echter ook te voorzichtig zijn. De AVG is er – anders dan men wel eens lijkt te denken – niet om het verwerken van persoonsgegevens onmogelijk te maken. De AVG reguleert de verwerking van persoonsgegevens juist. Zij geeft slechts de kaders waarbinnen dat plaats dient te vinden.
Toegestane verwerkingen
Om persoonsgegevens te mogen verwerken moet de zogenaamde verwerkingsverantwoordelijke (zie onze blog voor een uitleg van die term) - kort gezegd - een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel voor die verwerking hebben. De wet stelt dat er uitsluitend sprake is van een rechtmatige verwerking indien er daarnaast sprake is van een zogenaamde wettelijke grondslag. In artikel 6 van de AVG zijn zes limitatieve grondslagen opgesomd. Met andere woorden: de verwerkingsverantwoordelijke moet een van deze grondslagen kunnen kiezen. Als dat niet het geval is mag hij de persoonsgegevens – ook al heeft hij een doel – niet verwerken. De zes grondslagen zijn:
a) ondubbelzinnige toestemming van de betrokkene;
b) de noodzaak om een overeenkomst met de betrokkene uit te voeren;
c) de noodzaak om te voldoen aan een wettelijke verplichting;
d) de noodzaak om een vitaal belang van de betrokkene te beschermen;
e) de noodzaak om een taak van algemeen belang of uitoefening van openbaar gezag te vervullen (voor overheids- of andere publiekrechtelijke organisaties), en;
f) de noodzaak voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, waarvoor het belang van de betrokkene op bescherming van diens persoonlijke levenssfeer dient te wijken (‘belangenafweging’).
Toestemming
In de praktijk merken wij dat men snel geneigd is om toestemming te vragen voor de verwerking van persoonsgegevens. Toestemming betreft de eerste grondslag in artikel 6 AVG. Daarmee ontstaat – ten onrechte – mogelijk de indruk dat toestemming de belangrijkste en meest voor de hand liggende grondslag is. Dat is zeker niet het geval. Wanneer verwerkingsverantwoordelijken uit een van de andere grondslagen kunnen kiezen, en derhalve toestemming niet noodzakelijk is, raden wij aan om ook geen toestemming te vragen.
Toestemming kan – bijvoorbeeld – worden ingetrokken door betrokkenen. Dat kan moeilijkheden met zich mee brengen als continuering van de verwerking toch noodzakelijk is en achteraf blijkt dat een andere grondslag meer voor de hand had gelegen. Denk daarbij bijvoorbeeld aan een wettelijke verplichting om persoonsgegevens te verwerken (grondslag C in bovenstaand lijstje). Als u toestemming vraagt voor een verwerking die u wettelijk verplicht bent om uit te voeren (bijv. salarisadministratie), dan wekt u ten onrechte de indruk dat de betrokkene die toestemming ook kan onthouden en dus dat die verwerking geen doorgang hoeft te vinden. De wettelijke verplichting vertelt u echter anders. Ook als het voor uw bedrijf belangrijk is dat een bepaalde verwerking plaatsvindt, bijvoorbeeld het vastleggen van gegevens van uw klanten in uw CRM-systeem, is het lastig als u daarvoor eerst toestemming heeft gevraagd en de klant deze toestemming intrekt. U kunt immers belang houden bij continuering van deze cliëntenadministratie. Deze verwerking had u onder omstandigheden op grondslag G kunnen baseren (daarover hierna meer). Als u dat na intrekking van de toestemming alsnog doet, heeft u richting de klant iets uit te leggen. Waarom was dat immers niet in eerste instantie de gekozen grondslag?
Bovendien hebben betrokkenen een aantal rechten onder de AVG. Denk daarbij aan het recht op verwijdering van persoonsgegevens of het recht op dataportabiliteit. Een aantal van die rechten kan (onder andere) uitgeoefend worden in het geval de grondslag voor de verwerking toestemming is geweest. Het uitoefenen van die rechten gaat echter niet zonder meer op als de verwerking is gebaseerd op een van de andere grondslagen. Een verwijderingsverzoek gaat vanzelfsprekend niet op als de verwerkingsverantwoordelijke wettelijk verplicht is om te verwerken (denk daarbij bijvoorbeeld aan de wettelijke verplichting voor werkgevers om een kopie van een identiteitsbewijs van hun werknemers op te slaan) maar mogelijk wel in het geval de verwerking is gebaseerd op toestemming.
Hoe zou het dan anders kunnen?
De voor de praktijk belangrijkste grondslag is de laatste in het rijtje met grondslagen uit artikel 6 AVG (grondslag G). Als de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, mogen persoonsgegevens ook worden verwerkt. Die verwerking kan dus geschieden zonder toestemming van betrokkene.
Aan deze laatste grondslag heeft de wetgever echter een belangenafweging verbonden. De grondslag gaat namelijk niet op als de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene, zwaarder wegen dan de belangen van de verwerkingsverantwoordelijke of de desbetreffende derde (in het bijzonder als de betrokkene een kind is). Als de verwerking wordt gebaseerd op deze grondslag, dient men af te wegen of de persoonsgegevensverwerking noodzakelijk is voor het belang van bijvoorbeeld de verwerkingsverantwoordelijke zelf. De impact die de verwerking vervolgens heeft op de betrokkene mag niet zodanig zijn dat die betrokkene onevenredig in haar (privacy)belangen wordt geschaad. Als dat laatste het geval is dient de afweging in het voordeel van de betrokkene uit te vallen en mag de verwerking dus niet op deze grondslag plaatsvinden. In dat geval zal de verwerkingsverantwoordelijke waarschijnlijk zijn toevlucht moeten zoeken in de grondslag A; toestemming. In dat geval ontkomt men dus uiteindelijk niet aan het vragen van toestemming. Daar is dan ook niets mis mee. Houd er echter rekening mee dat toestemming in principe pas een voor de hand liggende grondslag is, als de andere grondslagen zijn uitgeput.
Bovenstaande kan voor verwerkingsverantwoordelijken in de praktijk complex zijn. Niet iedere situatie is immers zwart wit en de belangenafweging in de laatste grondslag (noodzakelijk voor gerechtvaardigd belang) kan lastig zijn. Elferink & Kortier Advocaten helpt u graag verder.