Op het moment dat je persoonsgegevens verwerkt, maak je inbreuk op de privacy van betrokkenen. Je mag dan ook alleen gegevens verwerken als dit niet anders kan; je moet een ‘grondslag’ hebben. De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, hierna ‘AP’, heeft recent meer duidelijkheid gegeven over één van deze grondslagen: het gerechtvaardigd belang.
De grondslagen
Er zijn zes grondslagen opgenomen in de Algemene verordening gegevensbescherming. Dat zijn in het kort: toestemming van de betrokkene, uitvoering van een overeenkomst, wettelijke verplichting, ter bescherming van vitale belangen, het uitoefenen van een taak van algemeen belang of openbaar gezag en het behartigen van gerechtvaardigde belangen.
Je bepaalt zelf welke grondslag van toepassing is. Overigens geldt dit alleen voor ‘gewone’ persoonsgegevens. Voor bijzondere (bijv. gegevens over ras, gezondheid) en strafrechtelijke persoonsgegevens gelden strengere eisen.
Stel, de betrokkene geeft geen toestemming of toestemming vragen is niet logisch, er is geen contract, er zijn geen vitale belangen van derden in het geding, jij of een derde hoeft niet te voldoen aan een wettelijke verplichting en geen taak van algemeen belang te vervullen of openbaar gezag uit te oefenen. Er blijft dan nog maar één grondslag over: het gerechtvaardigd belang.
Voorwaarden ‘gerechtvaardigd belang’
Het ‘gerechtvaardigd belang’ is nogal een vage norm. Dit toetsingskader is af te leiden uit art. 6, eerste lid, onder f, van de AVG.
De grondslag van art. 6, eerste lid, onder f, van de AVG is immers:
“Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
Volgens het Hof van Justitie, de Europese rechter, zijn er drie voorwaarden waaraan voldaan moet zijn:
- Het belang dat jij of een derde hebt is gerechtvaardigd.
- De verwerking in dit concrete geval is noodzakelijk, is de inbreuk noodzakelijk om het doel te bereiken en zijn er niet manieren die minder nadelig zijn voor betrokkenen om dit doel te bereiken?
- De belangen van verwerkingsverantwoordelijke of de derde wegen zwaarder dan het belang van degene van wie persoonsgegevens worden verwerkt.
De Autoriteit Persoonsgegevens heeft recent meer duidelijkheid gegeven over deze drie voorwaarden.
We zoomen even in op het stukje ‘gerechtvaardigd’. Je moet je op een (geschreven of ongeschreven) rechtsbeginsel kunnen beroepen. Voorbeelden die de autoriteit noemt: een veilig en gezond leven te hebben of eigendommen te beschermen in een dreigende situatie, te procederen en/of een rechtsvordering in te stellen, uit te oefenen of te onderbouwen, bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten, zorgplichten na te komen voor werknemers en/of klanten (volledige lijst te vinden via deze link).
Echter, de AP geeft aan dat het enkel dienen van zuiver commerciële belangen, winstmaximalisatie en het zonder gerechtvaardigd belang volgen van het gedrag van werknemers géén gerechtvaardigd belang is! Dit is opvallend, aangezien in andere lidstaten door de toezichthoudende instantie is bepaald dat in deze gevallen wel sprake is van een gerechtvaardigd belang.
Het is dus even de vraag of de AP dit standpunt in de loop der tijd niet gaat wijzigen. Voor nu geldt dat zuiver commerciële belangen géén gerechtvaardigd belang opleveren.
Heb je vragen over het bovenstaande? Neem dan contact op!
06 48 77 82 50
M.saes@gca.nl