Uitleg bij artikel 6 AVG
De Algemene Verordening Gegevensbescherming vereist dat de verwerkingsverantwoordelijke een legitieme verwerkingsgrondslag heeft. Artikel 6 noemt exhaustief zes grondslagen; dat wil zeggen dat er een keuze moet worden gemaakt uit een van de zes grondslagen. Een verantwoordelijke mag niet meerdere grondslagen of alle grondslagen aanwijzen: het moet er een zijn per verwerkingsproces. Deze moet vooraf, dat wil zeggen voordat wordt aangevangen met de gegevensverwerking, worden vastgesteld en de verantwoordelijke moet kunnen beargumenteren waarom deze grondslag van toepassing is. Het is dus niet aan het datasubject of de Autoriteit Persoonsgegevens om aan te tonen dat dit niet het geval is. Van de zes zijn er twee die met name door publieke organisaties zullen worden ingeroepen (grond c en e), drie die met name door burgers en private organisaties zullen worden ingeroepen (grond a, b en f) en een die slechts in uitzonderlijke gevallen een rol zal spelen (grond c).
Lid 1 geeft de zes verwerkingsgronden.
Grond a ziet op toestemming; artikel 4 sub 11 geeft daarvan de definitie. Artikel 7 en 8 geven nadere regels voor deze grondslag. Toestemming moet expliciet en geïnformeerd zijn gegeven door het datasubject.
Grond b ziet op een contractuele relatie, waaruit gegevensverwerking noodzakelijkerwijs volgt. Bij grond a gaat het bijvoorbeeld om de buurman die vraagt: vindt u het goed als ik een foto van uw keuken maak? Bij grond b gaat het om een contract met een keukenspeciaalzaak om een op maat gemaakte keuken te vervaardigen en te monteren. Het datasubject geeft in dat geval geen expliciete toestemming voor het verwerken van persoonsgegevens, met het volgt logischerwijs uit het feit dat er een keuken op maat moet worden gemaakt dat er gegevens over de woonomgeving van de persoon in kwestie zullen moeten worden verwerkt. De contractuele overeenkomst impliceert dus toestemming voor de verwerking.
Grond c gaat om het voldoen aan een wettelijke verplichting. Een wettelijke verplichting om gegevens te verwerken zal vaak rusten op een overheidsinstantie die bijvoorbeeld de wettelijke plicht heeft bepaalde gegevens over burgers of de maatschappij te verzamelen. Het kan echter ook gaan om bijvoorbeeld de plicht voor bedrijven om hun administratie 8 jaar lang te bewaren.
Grond d gaat slechts in uitzonderlijke gevallen op. Het gaat om het geval dat de vitale belangen van het datasubject of een andere burger alleen kunnen worden beschermd door het verwerken van persoonsgegevens. Stel de buurman valt bewusteloos neer, dan mag je natuurlijk zijn naam en adres doorgeven aan de ambulance. Ook mag je in zo’n geval doorgeven dat de buurman de enige verzorger is voor zijn dementerende moeder, die dus zolang de buurman in het ziekenhuis ligt zal moeten worden verzorgd door een ander.
Grond e gaat om het verwerken van persoonsgegevens voor een publiek belang. Denk daarbij bijvoorbeeld aan wetenschappelijk onderzoek, archiveren voor historische doeleinden of het geven van onderwijs. Deze grond zal doorgaans worden gebruikt door overheidsorganisaties of publieke instellingen, maar het kan ook gaan om geprivatiseerde organisaties die publieke belangen behartigen, zoals bijvoorbeeld de NS, of scholen.
Grond f gaat om een belangenafweging. Daarbij moeten de belangen die zijn gemoeid met de verwerking van gegevens – zoals van degene die de gegevens verwerkt als van eventuele anderen – moeten worden afgewogen tegen de belangen van degene waarover de gegevens gaan. Europees gezien bestaat er onenigheid over de vraag hoe snel op deze grond een beroep mag worden gedaan. Sommigen vinden dat het een ultimum remedium is, andere vinden dat het een volwaardige of juist zelfs eerste ijkpunt kan zijn. In ieder geval is duidelijk dat deze grondslag niet door overheidsinstellingen mag worden gebruikt als zij hun publieke taken en functies uitoefenen (maar mogelijkerwijs weer wel als het gaat om het aanschaffen van kantoormeubilair of dergelijks).
Lid 2 geeft aan dat lidstaten, zoals Nederland, nadere regels mag stellen voor het geval er een beroep wordt gedaan op grondslag c of e uit het vorige lid. Als Nederland bijvoorbeeld een wet aanneemt waarin staat dat de Belastingdienst verplicht is bepaalde gegevens over burgers te verzamelen en te verwerken, dan mag het in die wet ook aangeven hoe de regels uit de AVG precies moeten worden geïnterpreteerd in het kader van deze specifieke gegevensverwerking.
Lid 3 geeft onder meer aan dat een publiek belang, waarop een partij zich beroept, wel in een wet van de EU of van Nederland moet worden neergelegd. Een partij mag dus niet zelf bedenken dat zijn gegevensverwerking in het licht van een bepaald publiek belang moet worden herzien.
Lid 4 geeft meer duiding aan het vraagstuk van verenigbare verwerking. In artikel 5 lid 1 staat het doelspecificatie en het doelbindingsprincipe genoemd. Daaruit volgt dat gegevens alleen mogen worden verwerkt voor het doel waarvoor de gegevens zijn verzameld en niet voor andere doeleinden. Maar wat valt er nog onder het oorspronkelijke doel en wat niet; waar ligt precies de grens? Dit lid geeft aan dat als er toestemming is of een wettelijke grondslag voor de nieuwe verwerking, er in principe aan deze vraag voorbij kan worden gegaan. Dan mag er voor het nieuwe doeleinde (waar dus nieuwe toestemming of een wettelijke grondslag voor is verkregen) worden verwerkt. Of dat a-contrario betekent dat dit voor de andere grondslagen niet zo is onduidelijk, maar lijkt evenwel onwaarschijnlijk (stel bijvoorbeeld de keukenleverancier plaatst in een later stadium ook serre – dan lijkt het voor de hand liggend dat de gegevens mogen worden hergebruikt voor dat nieuwe doeleinde). Dit lid geeft vijf factoren die van belang zijn voor het beoordelen of er sprake is van een verenigbaar doel of niet.
Artikel 6 Rechtmatigheid van de verwerking
1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f)de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
a) Unierecht; of
b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Overwegingen
(40) Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Unierechtelijke of lidstaatrechtelijke bepalingen als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te voldoen aan wettelijke verplichting die op de verwerkingsverantwoordelijke rust of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen.
(41) Wanneer in deze verordening naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de lidstaat in kwestie. Deze rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie van de Europese Unie („Hof van Justitie”) en het Europees Hof voor de Rechten van de Mens.
(44) Een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijn.
(45) Indien de verwerking wordt verricht omdat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een grondslag te hebben in het Unierecht of het lidstatelijke recht. Deze verordening schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag. Het moet ook het Unierecht of het lidstatelijke recht zijn die het doel van de verwerking bepaalt. Voorts zou dat recht een nadere omschrijving kunnen geven van de algemene voorwaarden van deze verordening waaraan de persoonsgegevensverwerking moet voldoen om rechtmatig te zijn, en specificaties kunnen vaststellen voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in het Unierecht of het lidstatelijke recht te worden vastgesteld of de verwerkingsverantwoordelijke die is belast met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke persoon of, indien zulks is gerechtvaardigd om redenen van algemeen belang, waaronder gezondheidsdoeleinden zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten, een privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn.
(46) De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.
(47) De gerechtvaardigde belangen van een verwerkingsverantwoordelijke, waaronder die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, kan een rechtsgrond bieden voor verwerking, mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling geboden om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever staat om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren, mag die rechtsgrond niet van toepassing zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk is voor fraudevoorkoming is ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.
(48) Verwerkingsverantwoordelijken die deel uitmaken van een concern of een groep van instellingen die aan een centraal lichaam verbonden zijn, kunnen een gerechtvaardigd belang hebben bij de doorzending van persoonsgegevens binnen het concern voor interne administratieve doeleinden, waaronder de verwerking van persoonsgegevens van klanten of werknemers. De algemene beginselen voor de doorgifte van persoonsgegevens, binnen een concern, aan een in een derde land gevestigde onderneming blijven onverlet.