De 10 uitzonderingen zijn: Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van de eigen persoonsgegevens. Alleen als het in een wet staat: De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon.
Uitvoering van de overeenkomst
Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden.
Geen verwerking persoonsgegevens
Vraagt een organisatie bijvoorbeeld algemene informatie op bij een andere organisatie? Zonder dat de eerste organisatie daarbij persoonsgegevens noemt? En verstrekt de andere organisatie ook geen persoonsgegevens? Dan hoeft er geen sprake te zijn van verwerken.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken. Verwerken van persoonsgegevens houdt in: alles wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen.
Volgens de AVG is het verwerken van persoonsgegevens: 'elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, ...
De meest voor de hand liggende grondslagen waar een webshop zich op kan beroepen zijn: 1) de uitvoering van een overeenkomst (bijvoorbeeld de verwerking van adresgegevens om het product te kunnen leveren) en 2) de toestemming (bijvoorbeeld de verwerking van een telefoonnummer nadat de klant zelf met de klantenservice ...
Vitaal belang: Je mag informatie delen als dat essentieel is voor iemands leven of gezondheid (of dat van een ander) en die persoon niet om toestemming gevraagd kan worden. Publieke taak/algemeen belang: Je mag informatie delen als dat nodig is voor het uitvoeren van een publieke taak.
genetische gegevens, biometrische gegevens die enkel worden verwerkt om een persoon te identificeren; gegevens over gezondheid; gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat.
Informatie over iemands ras, politieke voorkeur, seksuele geaardheid, godsdienst en vakbondslidmaatschap hoort bijvoorbeeld niet thuis in het personeelsdossier. Ook is het verboden om medische gegevens op te nemen. De verslagen van functionerings- en beoordelingsgesprekken mag je in een personeelsdossier bewaren.
Gevoelige persoonsgegevens
Bijzondere persoonsgegevens zijn per definitie gevoelige gegevens. Er zijn meer persoonsgegevens die een hogere impact op de privacy hebben dan gewone persoonsgegevens. Voorbeelden van gevoelige gegevens zijn beoordelingen, financiële gegevens zoals salaris en bankrekeninggegevens.
U mag persoonsgegevens verstrekken bij een vitaal belang van de betrokkene. Bijvoorbeeld een dringende medische noodzaak. Het is dan wel beter om toestemming te vragen aan de betrokkene. Alleen als dat niet meer mogelijk is, mag u zonder toestemming persoonsgegevens verstrekken.
Uw onderneming/organisatie heeft een gerechtvaardigd belang wanneer de verwerking binnen een klantrelatie plaatsvindt, wanneer zij persoonsgegevens verwerkt voor direct-marketingdoeleinden, om fraude te voorkomen of om de netwerk- en informatiebeveiliging van haar IT-systemen te waarborgen.
De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Het kan daarbij gaan om het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.
Persoonsgegevens mogen alleen worden verwerkt voor uitdrukkelijk omschreven en gerechtvaardigde doelen. De AVG geeft regels over welke doelen gerechtvaardigd zijn. Elke verwerking van persoonsgegevens moet teruggevoerd kunnen worden op één van de verwerkingsgrondslagen die in artikel 6 van de AVG worden genoemd.
Deze rechten zijn bedoeld om mensen controle te laten houden over hun persoonsgegevens. Mensen hebben bijvoorbeeld het recht om te weten wat een organisatie met hun gegevens doet. En ze kunnen organisaties onder meer vragen om inzage in hun gegevens en om hun gegevens te corrigeren of wissen.
De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt.
