Veel organisaties maken gebruik van persoonsgegevens. Het gaat dan om gegevens die herleidbaar zijn naar natuurlijke personen. Het gebruik van persoonsgegevens is aan strenge Europese wet- en regelgeving gebonden die in de zogeheten Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) te vinden is. In deze blog focus ik mij op de basis bij het gebruik van persoonsgegevens, dus de AVG. Ik ga het in deze blog hebben over het fenomeen “doelbinding”.
Inleiding
Het verzamelen van persoonsgegevens moet op grond van art. 5 lid 1 sub b AVG voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ gebeuren. Ik zal nu slechts ingaan op deze laatste zinsnede. In art. 5 AVG is immers aanzienlijk uitgebreider; hier staan de algemene beginselen voor de gegevensbescherming. Uit art. 5 AVG vloeit bijvoorbeeld ook voort dat u altijd een grondslag moet hebben voor het gebruik van persoonsgegevens, dat verder in art. 6 AVG wordt uitgewerkt. Maar het gaat nu dus om doelbinding. De vraag die dan rijst is:
Staat de AVG organisaties niet toe om zomaar voor elk doel te verwerken of staat de AVG organisaties dat wel toe?
Om daar achter te komen zal ook het verschil op dit punt tussen de AVG en de zogeheten Wet politiegegevens (Wpg) die uit een Europese richtlijn voortvloeit de revue passeren.
Het begrip “doelbinding”
Doelbinding wordt relevant op het moment dat er sprake is van het verder gebruiken van persoonsgegevens voor een ander doel. Vaak heeft een organisatie al persoonsgegevens verzameld. Die wil zij voor een ander doeleinde gebruiken en dan moet er in beginsel bekeken worden of het nieuwe doel verenigbaar is met het oude, oorspronkelijke, doel. In beginsel, want hier zijn uitzonderingen op mogelijk. Over de verenigbaarheidstoets zal ik in de volgende paragraaf dieper ingaan. Voor nu is het vooral belangrijk om te weten dat er op grond van art. 5 lid 1 sub b AVG gaat om het ‘verzamelen van persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en het niet verder verwerken daarvan’. De vraag is waarom er in art. 5 lid 1 sub b AVG niet “verwerken” in plaats van “verzamelen” staat.
De verenigbaarheidstoets bij verder verwerken en de uitzonderingen daarop
Indien persoonsgegevens voor een nieuw doeleinde verder worden verwerkt, hetgeen anders is dan het oorspronkelijke doeleinde, dient in beginsel een verenigbaarheidstoets op grond van art. 6 lid 4 AVG plaats te vinden. Hierbij wordt gekeken naar:
“a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d)de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e)het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Indien de betrokkene (dat is de persoon wiens persoonsgegevens gebruikt worden) toestemming geeft of het gebruik van persoonsgegevens gebaseerd kan worden op een wettelijke verplichting (waarbij het nieuwe doel ook gebaseerd kan worden op een wettelijke verplichting), hoeft er geen verenigbaarheidstoets gedaan te worden. Dit staat ook in art. 6 lid 4 AVG (eerste volzin).
De verschillen tussen de regimes van de AVG en Wpg
De AVG werkt dus met de principes van grondslag en doelbinding die separaat van elkaar zijn. Dit betekent dat u een grondslag moet zoeken voor het gebruik van uw persoonsgegevens en dat u daarbij een doel moet formuleren. Het middel om uw doel te bereiken is uw verwerking van persoonsgegevens. In principe is het doel vrij, al dient het doel wel met de grondslag te corresponderen in de zin dat voor marketingdoeleinden geen wettelijke verplichting als grondslag gebruikt kan worden. Uiteraard verplicht de wet geen direct marketing, dit is een puur commercieel privaatrechtelijk proces.
Bij de Wpg zit het anders in elkaar. Het doeleinde van de verwerking is in de grondslag ingebakken. Zie bijvoorbeeld art. 8 Wpg, het gebruik van politiegegevens voor de dagelijkse politietaak. Dit artikel geeft een grondslag voor het gebruik van de politiegegevens en ook een doeleinde, de dagelijkse politietaak. De Wpg heeft op dit punt dus een afwijkend regime.
Praktische handvaten voor uw organisatie
Vraagt u uzelf allereerst af of u onder de AVG of Wpg verwerkt. Alleen toegestane organisaties, bijvoorbeeld die in ex. art. 1 sub f Wpg opgenomen zijn en Bijzondere Opsporingsdiensten (BOD’en), mogen politiegegevens verwerken. Met de AVG kan iedere organisatie en zelfs natuurlijke persoon die niet louter persoonlijk of huishoudelijk (art. 2 lid 2 sub d AVG) persoonsgegevens verwerkt in principe mee in aanraking komen.
Daarna is de vraag of u toestemming van de betrokkene kan of mag vragen. In een volgende blog zal ik het verder hebben over de zin en onzin van het vragen om toestemming (art. 6 lid 1 sub a AVG) voor het gebruik van persoonsgegevens. Indien u geen toestemming hebt of mag vragen, kunt u het verdere gebruik (dus uw nieuwe doeleinde) baseren op een wettelijke verplichting? Is het antwoord hierop wederom nee dan dient een verenigbaarheidstoets ex. art. 6 lid 4 AVG plaats te vinden.
Slot
Kortom, heeft u vragen over de AVG, of meer concreet over doelbinding van persoonsgegevens, neem dan contact met ons op. mr. Mastenbroek helpt u graag op weg.