Thema 4: Materiële normen: grondslagen van verwerking; verwerking van
bijzondere gegevens.
Leerdoelen van deze week:
- Uitleggen onder welke omstandigheden elk van de verwerkingsgrondslagen kan worden gebruikt;
- Uitleggen wat bijzondere categorieën van persoonsgegevens zijn;
- Uitleggen onder welke voorwaarden bijzondere categorieën van persoonsgegevens mogen worden verwerkt;
- Een passende grondslag voor gegevensverwerking voor een bepaalde situatie uitkiezen;
- De impact van moderne datatechnologieën op het concept van bijzondere categorieën van persoonsgegevens
uitleggen;
- Beoordelen of de verwerkingsgronden in een bepaalde situatie passend zijn gekozen, en de conclusie motiveren.
Literatuur 2
Kranenborg/Verhey, H8.3, H9.1, 9.2, 9.3. 2
EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening
2016/679 (p. 6-25) 2
Solove, Daniel J. “Introduction: Privacy Self-Management and the Consent Dilemma”
[pp. 1880-1893] 3
EDPB Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR
in the context of the provision of online services to data subjects Version 2.0, 8 October
2019; 4
Bijlage 1. Beknopte gids voor de uitvoering van een belangenafweging overeenkomstig
artikel 7, onder f) van GROEP GEGEVENSBESCHERMING ARTIKEL 29 Advies
06/2014 over het begrip "gerechtvaardigd belang van de voor de gegevensverwerking
verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG. 6
Hoorcollege - De AVG: grondslagen van rechtmatige verwerking 10
Grondslagen van rechtmatige verwerking 10
Noodzakelijkheid moet strikt worden geïnterpreteerd 10
Toestemming 10
Solove 12
Overeenkomst (art. 6(1)(b) AVG) 12
Wettelijke verplichting 13
Vitale belangen 14
Taak van algemeen belang of openbaar gezag 14
Gerechtvaardigd belang (art. 6(2)(f) AVG) 14
Verwerking van bijzondere categorieën persoonsgegevens 16
Breed geïnterpreteerd (Overweging 35 AVG) 16
Uitzonderingen op verbod 16
Werkgroep 18
Jurisprudentie 23
HvJ EU 4 juli 2023, Meta Platforms and Others 23
EDPB, Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta
Platforms Ireland Limited and its Facebook service (art. 65 GDPR) 24
HvJ Vyriausioji tarnybines etikos komisija [bijzondere categorieën persoonsgegevens,
feiten + 117-128] 24
,Literatuur
Kranenborg/Verhey, H8.3, H9.1, 9.2, 9.3.
Hoofdstuk 8.3: De Functionaris voor Gegevensbescherming (DPO)
Definitie en Kwalificaties (Art. 37 AVG)
● Definitie: Onafhankelijke functionaris die toezicht houdt op de naleving van de AVG binnen de organisatie.
● Kwalificaties: Ervaring in gegevensbescherming, kennis van de wetgeving, en onafhankelijkheid.
Taken van de DPO
● Adviseren: Over de verplichtingen van de AVG en andere gegevensbeschermingswetten.
● Toezicht: Op naleving van de AVG, uitvoeren van DPIA's, en toezicht op datalekken.
● Contactpunt: Voor toezichthoudende autoriteiten en betrokkenen.
Belangrijke Artikelen
● Artikel 38: Positie van de DPO binnen de organisatie.
● Artikel 39: Taken van de DPO.
Hoofdstuk 9.1, 9.2 en 9.3: Internationale Gegevensoverdracht
9.1 Algemene Beginselen
● Voorwaarden voor Overdracht: Voorwaarden waaronder persoonsgegevens buiten de EU mogen worden
overgedragen. (Art. 44 AVG).
● Beschermingsniveau: Landen moeten een passend beschermingsniveau bieden. (Art. 45 AVG).
9.2 Bestaande Mechanismen
● Modelcontractbepalingen: Standaard contractbepalingen goedgekeurd door de Europese Commissie. (Art. 46(2)
AVG).
● Bindende Bedrijfsvoorschriften (BCRs): Interne regels voor gegevensoverdracht binnen multinationale
ondernemingen. (Art. 47 AVG).
9.3 Bijzondere Situaties
● Uitzonderingen: Specifieke situaties waarin gegevens zonder passende waarborgen mogen worden overgedragen,
zoals uitdrukkelijke toestemming of uitvoering van een contract. (Art. 49 AVG).
Belangrijke Uitspraken
● Schrems II: Ongeldigheid van het Privacy Shield.
EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679 (p. 6-25)
Begrip en voorwaarden van toestemming
● Definitie van toestemming: Vrijwillig, specifiek, geïnformeerd en ondubbelzinnig gegeven wilsuiting waarmee de
betrokkene zijn instemming geeft met de verwerking van zijn persoonsgegevens.
● Vrijwilligheid: Toestemming moet zonder dwang of nadelige gevolgen kunnen worden gegeven. Gebruikers moeten
een reële keuze hebben.
● Specificiteit: Toestemming moet specifiek zijn voor elke verwerking en doel. Onduidelijke of allesomvattende
toestemmingsverklaringen zijn niet geldig.
● Informatie: De betrokkene moet voldoende informatie krijgen over de verwerkingsactiviteiten, zoals de
verwerkingsdoeleinden en de gegevensverwerkingsverantwoordelijke.
● Ondubbelzinnigheid: Toestemming moet duidelijk en expliciet zijn, bijvoorbeeld door een schriftelijke verklaring of
een actieve handeling zoals het aanvinken van een vakje.
Toestemming verkrijgen
● Manieren om toestemming te verkrijgen: Dit kan via schriftelijke verklaringen, elektronische methoden zoals het
aanklikken van een vakje of mondelinge verklaringen.
● Toestemming in online diensten: Toestemming moet afzonderlijk worden gegeven voor verschillende
verwerkingsdoeleinden en niet als onderdeel van algemene voorwaarden.
, ● Vereiste informatie voor geldige toestemming: Wie de gegevens verwerkt, welke gegevens worden verwerkt, de
doeleinden van de verwerking, de mogelijkheid om toestemming in te trekken en andere relevante informatie.
Vrijwilligheid van toestemming
● Onevenwichtige machtsverhoudingen: Bij relaties waar sprake is van machtsverschillen, zoals tussen werkgever en
werknemer, kan toestemming vaak niet als vrijelijk gegeven worden beschouwd.
● Bundeling van toestemming: Toestemming mag niet worden gekoppeld aan de levering van een contract of dienst,
tenzij noodzakelijk voor de uitvoering daarvan.
● Voorwaarden voor geldige toestemming: Gebruikers moeten in staat zijn om toestemming te weigeren of in te
trekken zonder nadelige gevolgen.
Specificiteit van toestemming
● Gescheiden toestemming: Elk verwerkingsdoel vereist afzonderlijke toestemming. Combineren van
toestemmingsverzoeken voor verschillende verwerkingsdoeleinden is niet toegestaan.
● Gedetailleerde informatie: De betrokkene moet specifieke informatie ontvangen over de verschillende
verwerkingsdoeleinden.
Geïnformeerde toestemming
● Vereiste informatie: Identiteit van de verwerkingsverantwoordelijke, doeleinden van de verwerking, welke gegevens
worden verwerkt, rechten van de betrokkene, etc.
● Transparantie: Informatie moet op een begrijpelijke en toegankelijke manier worden verstrekt.
Ondubbelzinnige wilsuiting
● Actieve handelingen: Toestemming moet blijken uit een actieve handeling, zoals het aanklikken van een vakje.
Stilzwijgen of inactiviteit is niet voldoende.
● Toestemmingsbeheer: Verwerkingsverantwoordelijken moeten aantonen dat zij geldige toestemming hebben
verkregen en een transparant toestemmingsbeheer voeren.
Toestemming intrekken
● Recht op intrekking: De betrokkene moet te allen tijde in staat zijn om toestemming in te trekken.
● Mogelijkheden en gevolgen van intrekking: Het moet even eenvoudig zijn om toestemming in te trekken als om deze
te geven. De intrekking mag geen nadelige gevolgen hebben voor de betrokkene.
Deze richtsnoeren van de EDPB benadrukken het belang van transparantie, keuzevrijheid, en de verantwoordelijkheid van
verwerkingsverantwoordelijken om geldige toestemming te verkrijgen en te beheren conform de eisen van de AVG.
Solove, Daniel J. “Introduction: Privacy Self-Management and the Consent Dilemma” [pp. 1880-1893]
[Solove legt de beperkingen van het "privacy-zelfbeheer" (“privacy self-management”) uit. Een van de uitingen van
privacy self-management is toestemming. Solove bespreekt deze beperkingen in de context van de wet in de VS, maar ze
zijn evenzeer van toepassing op toestemming onder de AVG.]
Inleiding
● Privacy Zelfbeheer: Het idee dat individuen de controle moeten hebben over hun eigen persoonsgegevens en de
beslissingen omtrent hun privacy.
● Toestemming Dilemma: De complexe uitdagingen en problemen bij het verkrijgen en geven van geïnformeerde
toestemming voor gegevensverwerking.
Problemen met Privacy Zelfbeheer
1. Overbelasting van informatie:
○ Mensen worden overspoeld met teveel informatie en te veel toestemmingsverzoeken.
○ Moeite met het begrijpen van lange, ingewikkelde privacyverklaringen.
2. Beperkte kennis en begrip:
○ Gebrek aan technische kennis bij gebruikers.
○ Moeilijkheden bij het inschatten van de risico's en gevolgen van gegevensverwerking.