Doeleinden, rechtmatig

Uit NORA Online
ISOR:Doeleinden- rechtmatig
Ga naar: navigatie, zoeken
Logo ISOR normen (een hangslot met de tekst ISOR norm)
Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR

Stelling

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG art. 6 lid 1.:

  1. de betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
  7. De rechtsgrond voor de verwerking moet worden vastgesteld bij het recht dat op de verwerkingsverantwoordelijke van toepassing isAVG art. 6 lid 3..

Ook een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijnAVG overweging 44. en daarmee aan de vereisten van /02 voldoen.

Voor de private sector zijn doorgaans de onderdelen a, b, d en f een basis voor verwerking van persoonsgegevens. Ook onderdeel c kan een basis zijn voor verwerking van persoonsgegevens in de private sector wanneer er sprake is van een wettelijke verplichting voor een private partijAVG overweging 46..

Voor de overheid is met name verwerking op basis van een wettelijke verplichting (onderdeel c) en verwerking in het belang van uitvoering van een taak van algemeen belang (onderdeel e) relevant. Deze beide rechtsgrondslagen voor de overheid moetenAVG art. 6 lid 3. worden vastgesteld bij het wettelijke recht dat op de verwerkingsverantwoordelijke van toepassing is. Voorwaarde voor rechtmatige verwerking in het kader van een wettelijke verplichting is dat de verwerking noodzakelijk is om te voldoen aan de wettelijke verplichting. De wettelijke verplichting tot verstrekking van persoonsgegevens is doorgaans zeer precies vastgelegd in sectorspecifieke regelgeving. Dit is echter niet noodzakelijkerwijs het geval. Denkbaar is ook dat verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht. In dat geval heeft de verwerkingsverantwoordelijke een grotere eigen verantwoordelijkheid inzake het beoordelen van de noodzakelijkheid van de verwerking in het licht van het voldoen aan de wettelijke verplichting. Op dit punt verandert het wettelijk kader, zoals dat gold onder de richtlijn en de Wbp, nietAVG overweging 46..

Met betrekking tot de rechtsgrond 'uitvoering van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag' (hierna ook kortweg: publieke taak) moet het doel van de verwerking noodzakelijk zijn voor de vervulling van die taak. Naar zijn aard is de publieke taak dynamisch en veranderlijk door de tijd heen. De grenzen van de publieke taak zijn niet altijd op voorhand scherp te trekken. De publieke taak zelf zal echter altijd moeten blijken uit de sectorspecifieke regelgeving die op de verwerkingsverant¬woordelijke van toepassing is. Niet noodzakelijk is dat in de sectorspecifieke regelgeving ook expliciet is opgenomen dat ten behoeve van de vervulling van de wettelijke taak gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verwerkt mogen worden. Met de wettelijke grondslag voor de publieke taakAVG art. 6 lid 1. is tevens een grondslag gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van persoonsgegevens. Het doel van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd¬verwerking is daarbij naar zijn aard wel gebonden aan de uitoefening van die publieke taak en de ruimte voor gegevensverwerking vindt hierin zijn begrenzing. De publiekrechtelijke taak zelf zal moeten blijken uit de voor de verwerkingsverantwoordelijke relevante wettelijke bepalingenAVG overweging 46..

De publieke taak, noch de gegevensverwerking hoeft uitputtend te zijn geregeld in een wet in formele zin. Voldoende is dat de hoofdlijnen kenbaar zijn uit de wet. Deze lezing strookt ook met het uitgangspunt van het EVRM inzake beperking van grondrechten, waarbij de beperking van het privélevenAVG art. 8 lid 2. voorzienbaar moet zijn bij wet. Het begrip 'voorzienbaar bij wet' wordt hierbij opgevat als een materieel wetsbegrip, dat niet beperkt is tot wetten in formele zinAVG overweging 41.. In de kern gaat het er om dat voor het individu duidelijk moet zijn, dat zijn persoonsgegevens met betrekking tot een specifieke publieke taak worden verwerkt. Dit kan ook, zoals nu in sommige gevallen wordt aangenomen, volgen uit een samenstel van wettelijke regels die tezamen een publieke taak aanduiden. Het begrip publieke taak moet dus breed worden gelezen, mede in het licht van de overwegingen bij de Avg, maar die publieke taak moet wel voldoende duidelijk blijken uit nationaal recht. Avg art. 6 lid 1e is geen zelfstandige rechtsbasis voor gegevensverwerking, gelet op het derde lid van deze bepaling.

Als van het doel van de verwerking de rechtmatigheid wordt vastgesteld en als de verwerking betrekking heeft op het algemeen belang volgens punt e): "noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke", dan kan die rechtsgrond specifieke bepalingen bevatten om de toepassing van de regels van de Avg aan te passen, met inbegrip van de algemene voorwaarden inzake:

  • de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke;
  • de types verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  • de betrokkenen;
  • de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt;
  • de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.;
  • de opslagperioden, en:
  • de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX van de Avg.

Het Nederlands recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doelAVG art. 6..

Gelet op de materiële overeenstemming tussen de Avg en de Wbp kan worden aangenomen dat de bestaande wet- en regelgeving waarmee invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de publieke taak voor wat betreft de rechtsgrondslagen voor verwerking van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in de regel aan de Avg voldoet. Wel zal de formulering in wettelijke bepalingen in sectorale regelgeving, waar deze verwijst naar de Wbp, aangepast moeten wordenUitvoeringswet AVG Mvt paragraaf 4.2.2..

Bij onderdeel f is voor de overheid van belang dat dit onderdeel niet geldt voor overheids-instanties in het kader van de uitoefening van hun taak. Overheidsinstanties zullen bij het uitoefenen van hun taak geen gebruik kunnen maken van de grondslag 'gerechtvaardigd belang', maar zullen voor dit gebruik moeten kunnen aangeven dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Dit geldt niet voor zover de overheidsinstantie 'typisch bedrijfsmatige handelingen' verricht waarbij persoonsgegevens worden verwerkt, zoals bijvoorbeeld de verwerking van persoonsgegevens die noodzakelijk is voor de beveiliging van overheidsgebouwen. Voor handelingen die buiten de uitoefening van de wettelijke taak vallen mag er wel een grondslag worden aangenomen in het gerechtvaardigd belang van de organisatie. De overheid onderscheidt zich hierin niet wezenlijk van een private partij.

Bovenliggende principe(s)

Deze norm realiseert het privacyprincipe Doelbinding gegevensverwerking via de conformiteitsindicator de doeleinden.

Grondslag

Persoonlijke instellingen
Naamruimten

Varianten