Privacy- en gegevensbeschermingsrecht
JUR-4PRIVACY
Week 1 - Inleiding AVG; privacy en gegevensbeschermingsrecht als grondrecht;
toepassingsgebied; beginselen; verwerkingsverantwoordelijke en verwerker
Handvest van de Grondrechten van de EU
Recht op eerbiediging van het privéleven art. 7
Negatieve aspect right ‘to be let alone’. Voorbeelden:
- Intimiteit
- Geheimhouding van correspondentie
- Bescherming woning
Positieve aspect zelfbeschikking en autonomie
- Essentiële persoonlijke keuzes
- Naam (naam veranderen)
- Seksuele voorkeur
- Gender
- Gezondheid (Voorbeeld: wel of niet laten vaccineren)
Bescherming persoonsgegevens art. 8
Gegevens moeten eerlijk worden verwerkt voor bepaalde doeleinden en op basis van een
gerechtvaardigde grondslag waarin de wet voorziet. Zie art. 6 AVG.
Opkomst van gegevenbeschermingsrecht
In de jaren 60/70 kwam er recht op privacy. Dit ging nog niet om
gegevensbeschermingsrecht
Met de opkomst kwam er het idee van ‘Big Brother is wachting you’; toezicht. Maar dit is
vanuit het perspectief van privacy. Het gegevensbeschermingsperspectief is transparantie,
accountabillity, eerlijk proces, discriminatie.
Er bestaat wel een gedeeltelijke overlap, maar behoefte aan wetgeving die de verwerking
van gegevens specifiek reguleert. In 1981 kwam het Verdrag tot bescherming van personen
met betrekking tot de geautomatiseerde verwerking.
Groep gegevensbescherming art. 29
Een kerntaak is de uniforme toepassing van normen. Deze groep is vervangen door
Europees Comité voor gegevensbescherming (EDPB).
Is de AVG van toepassing?
Verwerking een bewerking of een geheel van bewerkingen met betrekking tot
persoonsgegevens. De hele levenscyclus van de verwerking: van verzameling tot
vernietiging van gegevens. Alles is een verwerking van gegevens.
Materiële reikwijdte
- Persoonsgegevens art. 4 lid 1 AVG. Het is een ruim begrip. Altijd contextueel.
Criteria persoonsgegevens
1. Alle informatie
Dit is een ruim begrip. Het gaat om alle soorten verklaringen over een persoon. Het omvat
zowel objectieve (aanwezigheid van bepaalde stof in iemands bloed) als subjectieve
informatie, meningen of beoordelingen. Ook kan het om iedere vorm van informatie gaan.
2. Over
Er zijn 3 manieren waarop informatie over iemand kan gaan (niet-cumulatief):
, - Inhoud als informatie wordt verstrekt over een bepaalde persoon, ongeacht enig
doel. Bijv. de resultaten van een medische analyse hebben betrekking op een
bepaalde patiënt.
- Doel gegevens worden gebruikt met het doel een persoon te beoordelen, op een
bepaalde wijze te behandelen of de status of het gedrag te beïnvloeden (bijv.
aanmaken profiel voor gerichte advertenties). Hierbij spelen niet alleen gegevens van
de betrokkenen
- Resultaat verwerking gegevens; naar verwachting kan het gevolgen hebben voor
iemands rechten of belangen. Geen grote gevolgen, bijv. anders behandeld worden.
Bijv. een fabriek registreert informatie over de werking van een machine.
3. Een geïdentificeerde of identificeerbare
Het gaat om een breed begrip, dus niet uitsluitend naam en voornaam. Het gaat om
onderscheiden van andere personen. Kan je die ene persoon onderscheiden?
- Geïdentificeerd Als een persoon binnen een groep is te onderscheiden. Dit kan je
doen aan de hand indentificatoren. Er bestaat hier dus een bepaald over lap. De
naam is ook informatie over de persoon, maar ook een identificator. Dit is echter niet
altijd het geval, want soms is slechts een naam niet voldoende om iemand te kunnen
onderscheiden. Het hangt af van de omstandigheden van het geval. Identificatoren
zijn dus niet altijd ook informatie over de betrokkenen. Voorbeeld: een
veelvoorkomende familienaam is niet voldoende om iemand te identificeren in de
hele bevolking van een land, maar wel een leerling in een klaslokaal.
o Een identificator art. 4 lid 1 AVG gegevens die nauw verband houden met
de betrokkenen. Je kan direct (naam of identiteit) of indirect (telefoonnummer,
socialezekerheidsnummer, paspoortnummer) geïdentificeerd worden.
- Identificeerbaar de persoon is nog niet geïdentificeerd, maar het is wel mogelijk
om dat te doen. Identificatie is niet mogelijk op basis van beschikbare gegeven
identificatoren. MAAR mogelijkheid tot identificatie door informatie toe te voegen. Het
combineren van verschillende gegevens die op zichzelf niet tot identificatie zou
hebben geleid, maar dat wel doet in combinatie. Er moet rekening worden gehouden
met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt
door de verwerkingsverantwoordelijke om de persoon te identificeren. Of van
middelen redelijkerwijs valt te verwachten dat zij kunnen worden gebruikt, moet
rekening worden gehouden met alle objectieve factoren (overweging 26). Voorbeeld:
website verzamelt dynamische IP-adres (verandert bij elke nieuwe internetverbinding,
datum en tijd waarop de website is bezocht. Dit is onvoldoende om te identificeren.
Extra informatie die nodig is kan bijv. zijn een e-mailadres (door inschrijving
nieuwsbrief). in geval van een cyberaanval kan de website zich wenden tot de
bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van
de internetprovider van de cyberaanvaller te verkrijgen en vervolging in te stellen.
HvJ Breyer (ECLI:EU:C:2016:779), par. 47-48.
Iemand is identificeerbaar door:
o Alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs in te
zetten zijn om genoemde persoon te identificeren (kijken naar
waarschijnlijkheid); lage drempel.
o Slechts verwaarloosbare mogelijkheid kan niet
o Rekening houden met alle objectieve factoren (considerant 26 AVG):
Stand van technologie ten tijde van de verwerking (en de mogelijkheid
voor ontwikkeling gedurende de periode waarvoor de gegevens
worden verwerkt
Nodige kosten en tijd
Risico’s van organisatorische tekortkomingen (bijv. inbreuk).
o Groep Gegevensbescherming art. 29 ook subjectieve factoren, zoals doel
van verwerking. Bijv. videobewaking, gerichte advertenties.
o Door verwerkingsverantwoordelijke + enig ander persoon
, 4. Natuurlijke persoon
Voorbeeldvraag: Zijn vragen op het tentamen informatie over de betrokkene?
Inhoud de inhoud van die antwoorden weergeeft de omvang van de kennis van de
kandidaat op een bepaald gebied en in sommige gevallen zijn/haar denkprocessen en
beoordelingsvermogen. Maar ook de naam en studentnummer bovenaan een tentamen.
Doel het doel van het verzamelen van de antwoorden is het evalueren van de
capaciteiten van de kandidaat en zijn/haar geschiktheid om een toekomstig beroep uit te
oefenen.
Resultaat het gebruik van die informatie kan gevolgen hebben voor de rechten en
belangen van de kandidaat. Het kan de kans bepalen of beïnvloeden om een beoogd beroep
te verkrijgen.
HvJ Novak (EU:C:2017:994).
Persoonlijke reikwijdte
- Verwerkingsverantwoordelijke art. 4 lid 7 AVG
- Verwerker art. 4 lid 8 AVG
- Gezamenlijke verwerkingsverantwoordelijke art. 26 AVG
Verwerkingsverantwoordelijke
Hij is verantwoordelijk voor de naleving van alle AVG verplichtingen art. 5 lid 2 en 24 AVG.
1. Natuurlijke persoon of rechtspersoon, overheidsinstantie, een dienst of een
ander orgaan
Het gaat om de organisatie als zodanig en niet de persoon binnen de organisatie. Als een
specifiek iemand is aangewezen, dan treedt hij alsnog op namens de rechtspersoon.
2. Vaststelt
Dit is een functioneel begrip. Het gaat om de invloed van de verwerkingsverantwoordelijke
op de verwerking door uitoefening van beslissingsbevoegdheid. De vaststellende instantie
kan worden geïdentificeerd door middel van:
- Zeggenschap die voortvloeit uit wettelijke bepalingen in de wet staat dan wie de
verwerkingsverantwoordelijke is of wordt in de wet een taak of verplichting aan
iemand opgelegd. In dat geval is het doel van de verwerking vastgelegd bij de wet.
Daaruit kan je afleiden wie de verwerkingsverantwoordelijke is (impliciet).
- Zeggenschap die voortvloeit uit feitelijke invloed Kijken naar alle relevante
omstandigheden of iemand daadwerkelijk beslissende invloed uitoefent op de
verwerking. Soms kan het ook worden afgeleid uit de contractuele voorwaarden,
maar ondanks dat kan het zijn dat een partij feitelijk beslist hoe en waarom
persoonsgegevens verwerkt moeten worden. Ook kijken naar
verwerkingsovereenkomst.
3. Alleen of samen met anderen
Zie gezamenlijke verwerkingsverantwoordelijke.
4. Het doel van en de middelen
Bij het doel gaat erom waarom de verwerking plaatsvindt; met welk doel/waarvoor. Dit moet
altijd door de verwerkingsverantwoordelijke worden bepaald. Het doel en de wezenlijke
middelen houden nauw verband met de rechtmatigheid, noodzakelijkheid en evenredigheid
van de verwerking.
Bij de middelen gaat het erom hoe de doelstelling zal worden bereikt. Welke middelen
worden daartoe ingezet. Er kan een onderscheid worden gemaakt in:
- Wezenlijke middelen zijn middelen die nauw verband houden met het doel en de
reikwijdte van de verwerking. Bijv. soort persoonsgegevens, duur van de verwerking,
categorieën betrokkenen en ontvangers.
- Niet-wezenlijke middelen zijn meer praktische aspecten van de verwerking
(technische en organisatorische). Bijv. type hardware, software, welke werknemer,
type beveiligingsmaatregelen. Deze kunnen worden overgelaten aan de verwerker.
, 5. Voor de verwerking van persoonsgegevens
Zie hierboven.
Verwerker art. 4 lid 8 AVG
Dit is een natuurlijk persoon of rechtspersoon, overheidsinstantie, dienst of een orgaan die
ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Het moet
gaan om een verwerker die toereikende garanties biedt art. 28 AVG. Of de garanties
daadwerkelijk toereikend zijn is een risicobeoordeling van de verwerkingsverantwoordelijke.
Daarbij moet hij rekening houden met de deskundigheid, betrouwbaarheid en de middelen
van de verwerker (considerans 81 AVG). Ook de reputatie kan van belang zijn.
Er zijn 2 centrale voorwaarden om als verwerker te kunnen worden gezien:
1. Aparte rechtspersoon, die los van de verwerkingsverantwoordelijke staat de
verwerking wordt aan een externe organisatie gedelegeerd. Een afdeling binnen een
rechtspersoon kan geen verwerker zijn van die rechtspersoon. Indien de
verwerkingsverantwoordelijke zelf gegevens verwerkt, dan is er geen
verwerkerssituatie. Ook deze persoon zijn wel gebonden aan instructies art. 29 AVG.
2. De verwerker verwerkt persoonsgegevens namens de
verwerkingsverantwoordelijke
a. Persoonsgegevens verwerken ten behoeve van de
verwerkingsverantwoordelijke. Zie art. 4 lid 2 AVG.
b. Verwerking namens een verwerkingsverantwoordelijke. Dit betekent niet dat
de verwerker onder diens rechtstreekse gezag of controle moet staan
(delegatie).
De AVG bevat ook verplichtingen die rechtstreeks van toepassing zijn op verwerkers, zoals
art. 28 lid 3, 30 lid 2 en 32 AVG. Dat is een nieuw kenmerk in de AVG.
Subverwerkers
De verwerker stelt een of meer andere verwerkers (subverwerkers) aan. Daarvoor is wel
toestemming van de verwerkingsverantwoordelijke voor nodig. Het kan dan gaan om
specifieke toestemming of algemene toestemming. Het belangrijkste verschil is dat bij het
stilzwijgen van de verwerkingsverantwoordelijke bij de situatie van algemene toestemming
wordt gezien als toestemming.
Gezamenlijke verwerkingsverantwoordelijke art. 26 AVG
Verschillende partijen bepalen gezamenlijk het doel en de middelen van de
verwerkingsactiviteit. Indien het doel en de middelen door alle betrokken entiteiten worden
vastgesteld, dan is hier sprake van. Van gezamenlijke deelname is sprake als:
- Gezamenlijk besluit dit is een vooraf gezamenlijk besluit. Er is sprake van een
gemeenschappelijk doel.
- Convergerende beslissingen Partijen streven naar een eigen doel. De
beslissingen convergeren echter inzake het doel en de middelen. Ze vullen elkaar
aan en zijn noodzakelijk om de verwerking op zodanige wijze te laten plaatsvinden
dat zij een tastbaar effect hebben op de vaststelling van het doel en de middelen van
verwerking. De daadwerkelijke verwerking zou niet mogelijk zijn zonder deelname
van beide partijen aan het doel en de middelen. Het is onlosmakelijk verbonden met
elkaar.
HvJ Fashion ID (ECLI:EU:C2019:629). Een website heeft de Facebook vind-ik-leuk knop
ingevoerd. Het doel van de website is om browsinggegevens van de website bezoekers te
verzamelen. Door de knop worden browsergegeven automatisch doorgegeven aan
Facebook. Zo kan zij gerichte advertenties op Facebook plaatsen. Het doel van Facebook bij
die knop is gerichte advertenties weergeven. Hierbij is sprake van gezamenlijke
verwerkingsverantwoordelijken. Beide verwerken dus in het economisch belang (doel).