Privacy: richtlijnen omtrent toestemming, transparantie en het verwerkingsregister

14 mei 2018

Rond half april hebben de nationale toezichthouders op het gebied van databescherming (verenigd in de Artikel 29-werkgroep) na een consultatieperiode de definitieve versies van een aantal richtsnoeren gepubliceerd. Het betreft een position paper over de verplichting een verwerkingsregister bij te houden en twee richtlijnen omtrent toestemming en transparantie. In deze documenten tracht de Werkgroep bepaalde elementen uit de Algemene verordening gegevensbescherming te verduidelijken en geven de toezichthouders hun standpunt weer over de interpretatie van de AVG. In dit nieuwsbericht worden de belangrijkste aandachtspunten voor decentrale overheden uit de documenten toegelicht.

De Artikel 29-werkgroep

De Artikel 29-werkgroep (hierna: Werkgroep) bestaat uit afgevaardigden van de nationale toezichthouders, de Europese toezichthouder voor gegevensbescherming en de Europese Commissie. De Werkgroep is een onafhankelijk adviesorgaan en is opgericht om onder meer de Commissie te adviseren over de richtlijn bescherming persoonsgegevens. Met het van toepassing worden van de AVG wordt deze werkgroep omgevormd naar het Europees Comité voor Gegevensbescherming. De taken van dit nieuwe Comité zijn vastgelegd in artikel 70 AVG.

Eerder publiceerde de Artikel 29-werkgroep onder meer richtlijnen over het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA), het recht op overdraagbaarheid van gegevens, het melden van datalekken en de Functionaris Gegevensbescherming. Deze documenten vindt u hier op onze website.

Toestemming

De richtlijnen van de Artikel 29-werkgroep gaan in op het gebruik van ‘toestemming’ van de betrokkene (de persoon wiens persoonsgegevens worden verwerkt) als rechtsgrondslag voor verwerking van persoonsgegevens. De AVG stelt strenge eisen aan het gebruik van toestemming. Wat daarbij met name lastig is voor decentrale overheidsorganisaties is de eis dat de toestemming vrijelijk moet zijn gegeven. De AVG stelt als voorbeeld dat hier geen sprake van kan zijn wanneer er een duidelijke wanverhouding bestaat tussen de betrokkene en de verwerkingsverantwoordelijke. Hierbij wordt expliciet het voorbeeld genoemd van de relatie tussen de overheid en de burger. Ook gaat dit op in de hoedanigheid van de decentrale overheid als werkgever, gezien de wanverhouding tussen een werkgever en een werknemer.

Bij het verwerken van persoonsgegevens van burgers wordt een decentrale overheid altijd aangeraden zich op een andere rechtsgrondslag dan ‘toestemming’ te beroepen, mocht dit mogelijk zijn. Wanneer de toestemming wordt ingetrokken kan een decentrale overheid zich namelijk niet zomaar op een andere rechtmatige grondslag beroepen om toch door te gaan met de verwerking.

  • De overheid en burgers

In de richtlijnen noemt de Artikel 29-werkgroep drie voorbeelden waarin overheidsorganisaties zich wel op de grondslag ‘toestemming’ kunnen beroepen, aangezien er in die specifieke contactmomenten en voor die specifieke verwerkingen geen duidelijke wanverhouding bestaat tussen de burger en de overheid. Doorslaggevend hierbij is of de burger ook toegang tot de dienst kan verkrijgen of zijn rechten kan blijven uitoefenen, zonder dat het geven van toestemming daarvoor vereist is.

In de richtlijnen wordt een aantal voorbeelden genoemd wanneer een overheidsorganisatie zich toch op de rechtsgrondslag ‘toestemming’ kan beroepen. Dit betreft bijvoorbeeld de situatie waarin een burger zowel van de gemeente als van de provincie bepaalde vergunningen nodig heeft. De decentrale overheden vragen toestemming om de dossiers met persoonsgegevens hiervoor samen te voegen om dubbele procedures te voorkomen. Het baseren van de verwerking op de grondslag ‘toestemming’ is in dit geval wanneer de decentrale overheden daarbij garanderen dat beide procedures nog steeds worden voortgezet wanneer de burger de toestemming niet geeft.

  • De overheid als werkgever

Ook in zijn hoedanigheid als werkgever is het voor een decentrale overheid lastig om zich op de grondslag ‘toestemming’ voor de verwerking van de persoonsgegevens van zijn werknemers te beroepen. De Artikel 29-werkgroep geeft aan dit alleen het geval kan zijn wanneer het voor de werknemer geen nadelige gevolgen heeft wanneer deze wel of niet zijn toestemming geeft voor de verwerking van zijn persoonsgegevens.

Verder benadrukt de Werkgroep dat organisaties er goed aan doen te controleren of de huidige verwerkingen op basis van toestemming ook aan de strengere eisen van de AVG voldoen.

Verwerkingsregister

Als laatste publiceerde de Werkgroep een position paper over de verplichting een register van verwerkingen bij te houden. Deze verplichting voor zowel verwerkingsverantwoordelijken als verwerkers volgt uit artikel 30 AVG. Het vijfde lid van dit artikel noemt dat organisaties die minder dan 250 personen in dienst hebben ontheven zijn van deze verplichting, tenzij;

  • De verwerking die de organisatie verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
  • De verwerking niet incidenteel is; en dus regelmatig, of buiten de gebruikelijke werkzaamheden van de organisatie voorkomt;
  • De verwerking bijzondere categorieën van gegevens (artikel 9 AVG) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG) betreft.

De Artikel 29-werkgroep wil hierbij twee punten benadrukken. Ten eerste dat de toepasselijkheid van een van deze situaties voldoende is om een organisatie met minder dan 250 werknemers alsnog te verplichten een verwerkingsregister bij te houden. Daarnaast stelt de Werkgroep dat deze organisatie dan alleen de typen verwerkingen van artikel 30 lid 5 AVG in haar register hoeft op te nemen.

Door:

Juliëtte Fredriksz, Europa decentraal

Bronnen:

Richtsnoeren omtrent toestemming, Artikel 29-werkgroep
Richtlijnen omtrent transparantie, Artikel 29-werkgroep
Position paper omtrent de uitzonderingen op de verplichting om een register van verwerkingsactiviteiten bij te houden, Artikel 29-werkgroep

Meer informatie

De Algemene verordening gegevensbescherming, Europa decentraal
Privacy, Themapagina Europa decentraal
Toestemming, Europa decentraal
Transparantie, Europa decentraal
Register van de Verwerkingsactiviteiten, Europa decentraal