Rechtmatigheid van verwerkingen

Iedere verwerking van een persoonsgegeven moet rechtmatig zijn. Dit klinkt als een open deur, maar leidt er in de praktijk toe dat telkens bekeken moet worden wat de wettelijke grondslag voor een verwerking is. De AVG kent zes van zulke grondslagen:

 

• Toestemming van de betrokkene

• Noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene (of om de totstandkoming van die overeenkomst mogelijk te maken);

• Noodzakelijk om een wettelijke plicht te voldoen

• Noodzakelijk in verband met de vitale belangen van de betrokkene

• Noodzakelijk voor het vervullen van een taak van algemeen belang

• Noodzakelijk in verband met de gerechtvaardigde belangen van de verwerkende organisatie

 

De twee grondslagen die de meeste onduidelijkheid en vragen oproepen, zijn de toestemming en het gerechtvaardigde eigen belangen van de organisatie.

 

Toestemming

 

Bij klanten, relaties of bijvoorbeeld leden van een vereniging kan uitdrukkelijk gegeven toestemming op zich als grondslag voor verwerking van hun persoonsgegevens worden gebruikt. Bij het verwerken van bijzondere persoonsgegevens zoals bijvoorbeeld gezondheidsgegevens van leden van een sportvereniging zal ‘toestemming’ vaak zelfs de enige mogelijke grondslag zijn.

 

Echter, in het arbeidsrecht is ‘toestemming’ een zeer wankele basis. Dit komt door de gezagsverhouding tussen werkgever en werknemer. Deze maakt dat een werknemer niet zonder meer in volledige vrijheid instemming kan geven.

 

Bovendien kan een gegeven toestemming op elk moment weer worden ingetrokken. Organisaties doen er dan ook goed aan hun verwerkingen van persoonsgegevens zoveel als mogelijk te baseren op een andere juridische grondslag dan instemming te baseren. ‘Toestemming’ dient dus in feite gezien te worden als een ‘vluchtstrook’ die je alleen gebruikt als geen van de andere vijf mogelijke grondslagen gebruikt kan worden en je als organisatie toch meent een gerechtvaardigd doel te hebben bij de beoogde verwerking van persoonsgegevens.

 

Gerechtvaardigd eigen belangen

 

Een organisatie mag ook persoonsgegevens verwerken indien dat noodzakelijk is in verband met zijn eigen belangen. Dit eigen belang én de noodzakelijkheid moeten dan wel telkens goed gemotiveerd worden.

 

Bij werknemers kun je bijvoorbeeld denken aan het houden van toezicht op het werk en bijhouden en evalueren van het functioneren van de werknemers. Algemeen aanvaard is dat werkgevers hierbij een noodzakelijk gerechtvaardigd belang hebben. Wel is hierbij een belangrijke rol weggelegd voor de vraag of de inbreuk op de privacy van de betrokkene proportioneel is en of de betrokkene de inbreuk in redelijkheid kon verwachten (‘reasonable expectation of privacy’). Bijvoorbeeld: minimaal cameratoezicht dat duidelijk is kenbaar gemaakt aan werknemers en klanten zal eerder rechtmatig zijn dan heimelijk cameratoezicht dat alle aanwezigen in het bedrijf continu volgt en overal filmt. Bij werknemers is het personeelshandboek een erg goed instrument om het personeel te informeren over wat men wel en niet kan verwachten op het gebied van (inbreuken op hun) privacy op het werk.

 

Onze privacyrechtadvocaten