Wanneer is mogelijk sprake van een ‘gerechtvaardigd belang’ als rechtmatige grondslag voor de verwerking van persoonsgegevens?

Een organisatie moet vaak persoonsgegevens verwerken om taken uit te voeren die verband houden met haar bedrijfsactiviteiten. De verwerking van persoonsgegevens in die context hoeft niet noodzakelijkerwijs te worden gerechtvaardigd door een wettelijke verplichting of om de voorwaarden van een overeenkomst met een betrokkene op te volgen. In dergelijke gevallen kan de verwerking van persoonsgegevens gerechtvaardigd zijn op grond van ‘gerechtvaardigd belang’.

Grondslagen voor rechtmatige verwerking van persoonsgegevens

In artikel 6 lid 1 AVG worden de mogelijke grondslagen voor een rechtmatige verwerking van persoonsgegevens aangegeven (o.b.v. het rechtmatigheidsbeginsel ex. artikel 5 lid 1 sub a AVG ), zijnde:

1. Toestemming betrokkene;
2. Uitvoering van een overeenkomst tussen verwerkingsverantwoordelijke en betrokkene;
3. Wettelijke grondslag verwerkingsverantwoordelijke;
4. Bescherming vitale belangen betrokkene;
5. Vervulling taak van algemeen belang;
6. Sprake van een gerechtvaardigd belang.

In artikel 6 lid 1 sub f wordt bepaald dat de verwerking van persoonsgegevens rechtmatig is, als deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

In overweging 47 AVG wordt aangegeven dat daarbij rekening gehouden moet worden met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke.

Wanneer de belangen van de betrokkene zwaarder wegen dan de belangen van de verwerkingsverantwoordelijke of derde, kan géén sprake zijn van een gerechtvaardigd belang (dit geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken).
Een gerechtvaardigd belang is derhalve flexibeler ten opzichte van de andere grondslagen voor rechtmatige verwerking en kan in principe van toepassing zijn op elke vorm van verwerking voor elk redelijk doel.

Er dient dus een afweging plaats te vinden of, aan de zijde van de verwerkingsverantwoordelijke of derde, sprake kan zijn van een gerechtvaardigd belang.

Daarin moet aangetoond worden dat een redelijk mens verwerking van diens persoonsgegevens mag verwachten in het licht van specifieke omstandigheden.

In het arrest van het Hof van Justitie van 4 mei 2017, zaak C-13/16 (Rigas) worden drie cumulatieve voorwaarden gesteld waaraan moet zijn voldaan opdat een verwerking van persoonsgegevens rechtmatig is.

Te weten:

1. Doelbinding: de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt,
2. Noodzaak: de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang,
3. Afweging belang: de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.

Het Information Commissioner’s Office heeft aan deze zogeheten ‘rechtmatigheidsbeoordeling’ nadere invulling gegeven in de vorm van drie toetsen:

Doeltoets: is er een doel om een belang van de verwerking te rechtvaardigen?

Identificeer en specificeer het doel van de verwerking en beslis of dat als een gerechtvaardigd belang kan worden aangemerkt.

De volgende vragen kunnen hieromtrent gesteld worden:

1. Waarom wilt u de persoonsgegevens verwerken?
2. Welk voordeel verwacht u van de verwerking te krijgen?
3. Hebben derden baat bij de verwerking?
4. Zijn er bredere publieke voordelen voor de verwerking?
5. Hoe belangrijk zijn die voordelen?
6. Wat zou de impact zijn als verwerking niet plaatsvindt?
7. Wat is de beoogde uitkomst voor betrokkenen?
8. Voldoet u aan andere relevante wetten?
9. Voldoet u aan de richtlijnen of praktijkrichtlijnen van de industrie?
10. Zijn er ethische problemen met de verwerking?
11. Is verwerking noodzakelijk binnen het kader van fraudepreventie (voor zover strikt noodzakelijk)?
12. Is verwerking noodzakelijk binnen het kader van netwerk- en informatiebeveiliging (voor zover strikt noodzakelijk)?
13. Is verwerking noodzakelijk om mogelijke criminele handelingen of bedreigingen voor de openbare veiligheid aan te geven?

Noodzakelijkheidstoets: is de verwerking werkelijk noodzakelijk voor het doel dat in de doeltoets is geïdentificeerd?

Hoe duidelijker het doel is gespecificeerd, hoe eenvoudige de noodzakelijkheidstoets uitgevoerd kan worden.

De volgende vragen kunnen hieromtrent gesteld worden:
1. Zal de verwerking u daadwerkelijk helpen uw doel te bereiken?
2. Is de verwerking evenredig aan dat doel, of kan het worden gezien als het gedrag van een olifant in een porseleinkast?
3. Kunt u uw doel bereiken zonder de gegevens te verwerken of door minder gegevens te verwerken?
4. Kunt u uw doel bereiken door de gegevens op een andere meer voor de hand liggende of minder opdringerige manier te verwerken?
5. Is het belang van de verwerkingsverantwoordelijke ondergeschikt aan de belangen, rechten of vrijheden van de betrokkene?

Afwegingstoets: is het belang van de verwerkingsverantwoordelijke gerechtvaardigd?

De volgende vragen kunnen hieromtrent gesteld worden:

1. Wat is de aard van de persoonsgegevens die u wilt verwerken?
   • Is sprake van vitale / gevoelige persoonsgegevens?
   • Is sprake van strafrechtelijke gegevens?
   • Is sprake van gegevens die de betrokkene waarschijnlijk als 'privé' beschouwt, bijvoorbeeld financiële gegevens?
   • Verwerkt u de gegevens van kinderen of gegevens met betrekking tot andere kwetsbare personen?
   • Is sprake van gegevens over mensen in hun persoonlijke of professionele hoedanigheid?
2. Wat zijn de redelijke verwachtingen van de betrokkene?
   • Heeft u een bestaande relatie met de betrokkene? Zo ja, wat is de aard van die relatie?
   • Heeft u de te verwerken gegevens al in het verleden gebruikt? Zo ja, hoe?
   • Heeft u de gegevens rechtstreeks van de betrokkene verzameld?
   • Heeft u de betrokkene ingelicht over hergebruik van diens persoonsgegevens?
   • Als u de gegevens van een derde hebt verkregen, wat heeft deze dan aan de betrokkene verteld over hergebruik van de gegevens voor andere doeleinden?
   • Hoe lang geleden zijn de gegevens verzameld? Zijn er sinds die tijd veranderingen in de technologie of andere context die van invloed zijn op de huidige verwachtingen van de betrokkene?
   • Is uw beoogde doel en methode duidelijk of algemeen begrepen?
   • Bent u van plan om iets nieuws of innovatiefs te doen?
   • Heeft u enig concreet bewijs over verwachtingen, bijvoorbeeld van marktonderzoek, focusgroepen of andere vormen van overleg?
   • Zijn er andere factoren in de specifieke omstandigheden die betekenen dat de betrokkene de verwerking wel of niet zou verwachten?
3. Welk risico loopt de betrokkene?
   • Wat is de impact van de verwerking op de betrokkene?
   • Is er kans op schade aan de betrokkene die de verwerking kan veroorzaken?
   • Is het verrichten van een DPIA noodzakelijk (bij hoog risico)?
   • Kan sprake zijn van een belemmering voor de betrokkene met betrekking tot uitoefening van rechten (inclusief maar niet beperkt tot privacyrechten)?
   • Kan sprake zijn van een belemmering voor de betrokkene om toegang te krijgen tot diensten of kansen?
   • Kan de verwerking leiden tot enig verlies van controle over het verdere gebruik van persoonsgegevens?
   • Kan sprake zijn van fysieke schade?
   • Kan sprake zijn van financieel verlies, identiteitsdiefstal of fraude?
   • Kan sprake zijn van andere significante economische of sociale nadelen (zoals discriminatie, verlies van vertrouwelijkheid of reputatieschade)?
4. Moeten er voorzorgsmaatregelen worden genomen om negatieve gevolgen voor de betrokkene te verzachten?

Zorgvuldige beoordeling nodig bij bepalen gerechtvaardigd belang

Duidelijk mag zijn dat een zorgvuldige beoordeling geboden is om te bepalen of sprake is van een gerechtvaardigd belang aan de zijde van de verwerkingsverantwoordelijke of van de derde. Alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van diens persoonsgegevens, redelijkerwijs mag verwachten dat verwerking op grond van een gerechtvaardigd belang van de verwerkingsverantwoordelijke mag plaatsvinden.

Referenties

• Europese Commissie ‘Wat betekent ‘grond van gerechtvaardigd belang?’.
• Artikel 6 en overwegingen 47, 48 en 49 van de AVG.
• Advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip gerechtvaardigd belang.
• HvJ-EU 4 mei 2017 Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde tegen Rīgas pašvaldības SIA „Rīgas satiksme” C 13/16.
• Information Commissioner’s Office ‘Legitimate Interests’.

Meer lezen over privacy?

• 'Misverstanden rond de verwerkersovereenkomst', door Kim Reijnen.
• 'Het belang van data-ethiek in het licht van de AVG-wetgeving', door Piek Visser-Knijff.
• 'Certificeren AVG compliance', door Victor Alting van Geasau.