Niet zomaar. Je mag enkel persoonsgegevens verwerken als er daar een juridische basis voor bestaat. In het privacy vakjargon heet dit een “verwerkingsgrond”. Gelukkig zijn er best wel wat van die verwerkingsgronden. We sommen ze hier op, en geven wat toelichting bij de meest voorkomende.
Verwerkingsgronden?
Minstens één van de volgende verwerkingsgronden moet aanwezig wanneer je persoonsgegevens wil verwerken:
- Toestemming van de betrokkene;
- Noodzakelijkheid voor de overeenkomst waarbij de betrokkene partij is;
- Noodzakelijkheid om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke;
- Noodzakelijkheid om de vitale belangen van de betrokkene of van een andere persoon te beschermen;
- Noodzakelijkheid voor het vervullen van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat is opgedragen aan de verwerkingsverantwoordelijke;
- Legitiem belang.
Toestemming
Het lijkt niet meer dan logisch: de verwerking van persoonsgegevens kan steunen op het feit dat de betrokken persoon zijn toestemming hiertoe verleent. Maar is het zo eenvoudig?
De persoon die toestemming geeft, moet ten eerste begrijpen waarvoor hij precies toestemming geeft. De toestemming moet met andere woorden geïnformeerd zijn. Dit komt erop neer dat de verwerkingsverantwoordelijke de betrokkene op voorhand volledige, heldere en in een begrijpelijke taal geformuleerde informatie moet verschaffen.
Ten tweede moet de toestemming specifiek zijn, wat betekent dat de betrokkene zijn toestemming geeft om diens gegevens te verwerken voor een welbepaald doel. De verwerkingsverantwoordelijke zal dus moeten uiteenzetten voor welke doelen de gegevens zullen worden verzameld. Een gegevensverwerking voor meerdere doeleinden zal pas geldig zijn wanneer de betrokkene zijn toestemming heeft gegeven voor elk van die doeleinden.
Ten derde moet het gaan om een vrije toestemming. De betrokkene moet daadwerkelijk de keuze hebben om te weigeren of te accepteren.
De toestemming moet ten slotte ook ondubbelzinnig zijn. Dat veronderstelt dat de betrokkene een duidelijke positieve handeling moet stellen die elke twijfel over zijn wil om toe te stemmen wegneemt. Zo’n positieve handeling kan een schriftelijke of een mondelinge verklaring zijn, maar ook een bepaalde handeling zoals het aanvinken van een vakje op een website.
Bij een vooraf aangevinkt selectievakje is er bijvoorbeeld geen sprake van een actieve handeling, waardoor de toestemming niet geldig gegeven zal zijn.
Noodzakelijk voor de overeenkomst
Je kan de persoonsgegevens van een medecontractant verwerken voor zover dat nodig is om de overeenkomst te kunnen uitvoeren. Belangrijk is dus dat de betrokkene zelf partij is bij de overeenkomst! Is dat niet het geval, dan zal je op een andere verwerkingsgrond beroep moeten doen (bv. toestemming of legitiem belang). Deze verwerkingsgrond moet je strikt toepassen, want het maakt enkel de verwerking geldig van de persoonsgegevens die echt noodzakelijk zijn voor de normale uitvoering van de overeenkomst. Dit zal afhangen van overeenkomst tot overeenkomst.
Wanneer, bij wijze van voorbeeld, een klant online goederen koopt, zal de verkoper enkel die gegevens mogen verwerken die noodzakelijk zijn om de goederen te leveren en om de betaling te garanderen. In dit geval zullen dat zijn: de naam van de klant, zijn adres en bankkaartgegevens.
Zelfs wanneer er op zich nog geen overeenkomst gesloten is, kan men zich voor bepaalde verwerkingen al tijdens de precontractuele fase beroepen op deze verwerkingsgrond. Dit geldt onder de voorwaarde dat de betrokkene zelf, op eigen initiatief dus, verzoekt om al bepaalde maatregelen te nemen.
Een voorbeeld is wanneer een potentiële klant een offerte vraagt voor het verlenen van een dienst. Dan zullen de persoonsgegevens verwerkt mogen worden die daartoe noodzakelijk zijn. De verwerkingsverantwoordelijke zal dus niet op eigen initiatief tijdens de precontractuele fase gegevens van de potentiële klant mogen verwerken voor direct marketing doeleinden.
Legitiem belang
Het is erg populair om zich te beroepen op het legitiem belang. Nochtans is het niet zo evident om deze verwerkingsgrond in te roepen: er moeten immers drie voorwaarden vervuld zijn!
Ten eerste moet jij als verwerkingsverantwoordelijke, of een derde persoon, een gerechtvaardigd belang hebben. Met andere woorden: een goede reden. Dat belang mag niet louter hypothetisch zijn, het moet gaan om een duidelijk, bestaand en actueel belang. Jouw belang moet bovendien gerechtvaardigd zijn: dit betekent dat je het moet nastreven op een manier die in overeenstemming is met zowel de regels omtrent gegevensbescherming als andere relevante regelgeving.
Voorbeelden van gerechtvaardigd belang: gegevensverwerking ter voorkoming van fraude, om de netwerk- en informatiebeveiliging van een onderneming haar IT-systemen te waarborgen, of onder bepaalde voorwaarden voor directmarketingdoeleinden.
Ten tweede moet de verwerking van persoonsgegevens echt noodzakelijk zijn voor de realisatie van dit gerechtvaardigd belang. En hier wringt vaak het schoentje. Zijn er minder vergaande manieren om je gerechtvaardigd belang te bereiken, dan is er geen sprake van noodzaak en zal je niet op deze rechtsgrond van legitiem belang kunnen terugvallen.
Ten derde moet er steeds een belangenafweging worden gemaakt: je moet jouw belang (of dat van derden) dus in de weegschaal leggen tegenover het belang van de betrokkene. Een belangrijke vuistregel hierbij is om na te gaan of de betrokkene jouw verwerking van persoonsgegevens kan verwachten.
In deze afweging zal je bovendien rekening moeten houden met het “gewicht” van je gerechtvaardigd belang als verwerkingsverantwoordelijke enerzijds en de impact van de verwerking op de rechten en vrijheden van de betrokkene anderzijds.
Je kan deze rechtsgrond dus pas inroepen als de belangen van de betrokkene niet zwaarder doorwegen dan de jouwe.
Wanneer je bv. gegevens publiek gaat maken (ze toegankelijk maakt voor een groot aantal personen) of wanneer je een grote hoeveelheid persoonsgegevens verwerkt, dan zou de impact op de rechten van de betrokkene wel eens zeg zwaar kunnen zijn. Door echter bijkomende maatregelen te nemen, kan je de impact dan weer wel reduceren.
Conclusie?
Het is helemaal niet zo dat we persoonsgegevens kunnen verwerken omdat we het zelf wel nuttig vinden en we van mening zijn dat we daar toch geen verkeerde intentie mee hebben. Integendeel: elke verwerking van persoonsgegevens verdient en vereist een grondige reflectie: is er wel een rechtsgrond aanwezig? En welke is dat dan?
Het antwoord is niet steeds eenvoudig. Heb je daar advies over nodig, kan je ons steeds contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, Duygu Öztürk CIPP/E, Privacy Chair deJuristen en Kris Seyen, Partner deJuristen
