Er zijn tal van redenen waarom organisaties persoonsgegevens verwerken: personeelsadministratie, bijhouden klantenbestand, marketing, ontwikkeling van producten, etc. Onder de AVG zijn organisaties verplicht elke manier van verwerken (dus ook het delen van persoonsgegevens) te onderbouwen met (minimaal) één van de zes grondslagen voor verwerking. De zes grondslagen voor verwerking van persoonsgegevens zijn:
- Toestemming
- Uitvoering van een overeenkomst
- Wettelijke verplichting
- Vitaal belang
- Publieke taak
- Gerechtvaardigd belang
De koekjesfabriek
Een koekjesfabriek bakt en verkoopt, u raadt het al, koekjes. De fabriek verkoopt koekjes direct aan consumenten en levert aan supermarkten. De fabriek verwerkt persoonsgegevens van onder andere de volgende groepen:
- Medewerkers
- Consumenten
- Supermarkten
- Potentiële klanten
- Leveranciers
De medewerkers van de fabriek hebben een arbeidscontract. Daarom is de grondslag voor verwerking van persoonsgegevens het uitvoeren van een overeenkomst.
Dat de salarisgegevens van de medewerkers elk jaar met de belastingdienst worden gedeeld is een wettelijke verplichting voor elke organisatie, en valt dus onder die grondslag.
De koekjesfabriek zet een winactie uit voor een jaarvoorraad koekjes. Mensen kunnen hun e-mailadres opgeven om mee te doen, daarbij kunnen ze ook aanvinken of ze de nieuwsbrief willen ontvangen. De nieuwsbrief wordt verzonden op basis van toestemming.
Door een serieuze fout is een zeer gevaarlijke stof vrij gekomen in de fabriek. De fabriek wordt ontruimd en alle aanwezige medewerkers moeten worden onderzocht door een speciaal medisch team. Het valt onder vitaal belang om een lijst van de aanwezige medewerkers te delen met de hulpdiensten, zodat de ontruiming goed verloopt en ze iedereen kunnen controleren op letsel.
Medewerkers die aan de lopende band werken, werken onder cameratoezicht om erop toe te zien dat er niet stiekem koekjes worden gegeten onder werktijd. Dit valt onder het gerechtvaardigd belang van de fabriek, omdat er in het verleden aantoonbaar verlies werd geleden omdat medewerkers veel koekjes aten onder werktijd.
Het CBS heeft de publieke taak om data te verzamelen en analyseren. Op grond daarvan kunnen zij (persoons)gegevens opvragen bij de koekjesfabriek. De fabriek zelf kan zich niet beroepen op de publieke taak, zij zijn immers geen overheidsinstantie. Maar omdat er een wettelijke plicht is om het CBS van informatie te voorzien, is er toch een grondslag om de gegevens aan te leveren.
Doelbinding
Een belangrijk principe in de AVG is doelbinding. Dit houdt in dat persoonsgegevens die om een bepaalde reden worden verwerkt, ook alleen voor dat doel worden gebruikt. Dus wanneer er cameratoezicht vanuit veiligheidsoverwegingen plaatsvindt, mag dit niet worden gebruikt ter beoordeling van het functioneren van een werknemer. Het doel van de verwerking van gegevens moet vooraf duidelijk worden gecommuniceerd met de betrokkenen, en de verantwoordelijke is verplicht zich tot dit doel te beperken.
Werkt u niet in een koekjesfabriek, maar bent u wel benieuwd naar de grondslagen die van toepassing zijn op uw verwerkingsactiviteiten? Of heeft u zin om te sparren met een van onze consultants? Bel gerust voor een vrijblijvend gesprek: 071-7471717.