Interpretatie AVG
Deze pagina bevat de PDX interpretatie van de Algemene Verordening Gegevensbescherming (AVG). De tekst waarop de interpretatie is gebaseerd kan hier worden teruggevonden: VERORDENING (EU) 2016/679 VAN HET EUROPESE PARLEMENT EN DE RAAD.
Net als het Afsprakenstelsel, is de interpretatie opgedeeld per (relevant) Artikel.
Alles in quote-blokken komt direct uit de (Nederlandse) wettekst. Bijvoorbeeld:
VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 27 april 2016
Soms gebruiken we blokhaken ([]) om de tekst af te korten of aan te vullen.
Bijvoorbeeld:
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
[..]
Overwegende hetgeen volgt:
Interpretatie per Artikel
Artikel 4 - Begrippen
Dit Artikel voegt geen handhaving toe maar definieert in plaats daarvan begrippen waarmee andere artikelen kunnen worden geïnterpreteerd. We zullen daarom hier onze eigen begrippen definiëren die we gebruiken in de andere Artikelen.
Er zal naar begrippen worden gerefereerd door ze in cursief weer te geven.
De begrippen zijn opgenomen in de Begriippenlijst
Artikel 5 - Beginselen inzake verwerking van persoonsgegevens
5.1
Persoonsgegevens moeten:
[...]
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
[...]
Elke verwerking van persoonsgegevens moet een vooraf gespecificeerd doel (verwerkingsdoel) hebben. Dit doel moet voldoende specifiek, uitdrukkelijk omschreven en gerechtvaardigd zijn. Elke verdere verwerking moet verenigbaar zijn met het naar originele en naar de betrokkene gecommuniceerde doel.
Om deze reden zal de PDX van elke aanbieder en afnemer betrokken bij een transactie waarin (data)-PDD wordt afgenomen eisen dat ze het volgende expliciet moeten aangeven:
Of de desbetreffende Deelnemer een verwerkingsverantwoordelijke is voor de aangeboden/afgenomen (data)-PDD;
Of de betreffende (data)-PDD persoonsgegevens bevat;
Wat het/de beoogde verwerkingsdoel(en) bij aanbod zijn en/of wat de verwerkingsdoel(en) zijn waaronder de transactie wordt gedaan; en
Of de opgegeven verwerkingsdoel(en) voldoende specifiek zijn zoals bedoeld in de AVG.
(Andere leden van dit Artikel worden niet expliciet gehandhaafd door de PDX.)
5.2
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
De PDX zal bijdragen aan de plicht van de verwerkingsverantwoordelijken door gedetailleerde audit logs te produceren die in geval van dispuut kunnen worden geraadpleegd.
Artikel 6 - Rechtmatigheid van de verwerking
6.1
De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Elke verwerking van een verwerkingsverantwoordelijke moet gebaseerd zijn op een geldige uit de limitatieve lijst van Artikel 6 lid 1 sub a t/m f van de AVG. Voor de vaststelling van de grondslag dient naar het verwerkingsdoeleinde dat de verwerking beoogt te worden gekeken. Welke grondslag het meest passend is voor het verwerkingsdoeleinde is afhankelijk van de context en aan de verwerkingsverantwoordelijke om in eerste instantie in te schatten.
Om deze reden zal de PDX eisen dat, voor elk verwerkingsdoel opgegeven als deel van een aanbod of transactie, er ook expliciet moet worden aangegeven welke grondslag wordt beweerd voor dat doel.
6.2
De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
Dit Artikel wordt niet expliciet gehandhaafd door de PDX. Deelnemers kunnen schendingen melden door middel van disputen.
6.3
De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
a) Unierecht; of
b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
Dit Artikel wordt niet expliciet gehandhaafd door de PDX. Deelnemers kunnen schendingen melden door middel van disputen.
6.4
Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Wanneer er sprake is van verdere verwerking van persoonsgegevens dient de verwerkingsverantwoordelijke rekening te houden met de factoren onder Artikel 6.4 lid 4 van de AVG om vast te stellen of de verwerking voldoet aan de verplichte doelbinding.
Om dit Artikel te handhaven, zal de PDX trachten te analyseren of beoogde verwerkingsdoelen zoals gespecificeerd door de verwerkingsverantwoordelijke verenigbaar zijn met de verwerkingsdoelen waarvoor een verwerking wordt gedaan. Om dit te doen zal de PDX eisen dat elke verwerkingsverantwoordelijke expliciet benoemd:
welke verwerkingsdoelen verenigbaar zijn met de verwerkingsdoelen waarvoor ze een (data)-PDD aanbieden en/of afnemen;
Hier kan verenigbaar betekenen dat twee verwerkingsdoelen "compatibel" met elkaar zijn; of
Hier kan verenigbaar betekenen dat het ene verwerkingsdoel "meer specifiek" is dan de ander.
voor elke van die verwerkingsdoelen, wat de beoogde grondslag is wat die verenigbare doelen rechtvaardigt (zie Artikel 6.1).
Artikel 7 - Voorwaarden van toestemming
7.1
Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
De verwerkingsverantwoordelijke moet voor elke verwerkingshandeling voor een bepaald verwerkingsdoeleinde die gebaseerd is op een grondslag zoals in Artikel 6.1 kunnen aantonen dat er toestemming is gegeven door de betrokkene.
Om deze reden zal de PDX eisen dat, bij elk verwerkingsdoel waar een verwerkingsverantwoordelijke beweerd dat de grondslag is dat de desbetreffende betrokkene toestemming heeft gegeven, de verwerkingsverantwoordelijke ook expliciet moet aangeven dat alle betrokkenen toestemming hebben gegeven.
7.2
Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
Dit Artikel wordt niet expliciet gehandhaafd door de PDX. Deelnemers kunnen schendingen melden door middel van disputen.
7.3
De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
Dit Artikel wordt niet expliciet gehandhaafd door de PDX. Deelnemers kunnen schendingen melden door middel van disputen.
7.4
Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Dit Artikel wordt niet expliciet gehandhaafd door de PDX. Deelnemers kunnen schendingen melden door middel van disputen.
Last updated