Iedere campagne of elk contactmoment dient er gekeken te worden of er gebruik wordt gemaakt van persoonlijke gegevens. Als er gebruik gemaakt wordt van persoonlijke gegevens, is dit dan toegestaan?
Hieronder volgen een aantal vragen om te bepalen of het toegestaan is om bij een contactmoment of campagne persoonlijke gegevens te gebruiken.
Als u alle vragen positief kan beantwoorden of uitvoeren dan is er sprake van een ‘Vrijstelling van de wettelijke meldingsplicht’. Is dit niet het geval, dan zal de verwerking gemeld moet worden bij de desbetreffende instanties.
De persoon of instantie die het doel en de middelen voor de verwerking vaststelt is de verantwoordelijke. Deze definitie staat beschreven in het AVG. Om een vrijstelling van de wettelijke meldingsplicht te realiseren is het noodzakelijk om een verantwoordelijke persoon of instantie te hebben. In geval van meerdere verantwoordelijken zal de verwerking altijd gemeld moeten worden.
Degene die de werkzaamheden uitvoert, namens de verantwoordelijke, wordt de ‘bewerker’ genoemd. Dit kan een medewerker zijn maar het kan ook een externe leverancier zijn. Denk hierbij aan partijen die nieuwsbrieven versturen of externe partijen die applicaties ontwikkelen.
Een bewerker is niet verantwoordelijk voor de verwerking van de persoonsgegevens maar heeft wel bepaalde verplichtingen ten aanzien van de verwerking. Denk hierbij aan beveiligd transport of geheimhoudingsplicht. Eventueel kan een ‘bewerkersovereenkomst’ opgesteld worden. Deze overeenkomst legt de verplichtingen tussen verantwoordelijke en leverancier vast.
Handmatige verwerkingen zijn verwerkingen die alleen met de hand of met de mond gedaan worden. Er wordt dus geen systeem of applicatie gebruikt voor de verwerking. Denk hierbij aan onze dagelijkse gesprekken met elkaar. U vraagt voor een gesprek met de lokale slager geen toestemming voordat u vraagt hoe het met hem gaat.
Heeft u een specifiek of bedreigend doel met de vragen die u stelt aan de slager, dan gelden andere regels. Zie de vraag over specifieke risico’s.
U kunt er standaard van uit gaan dat u geen toestemming heeft om persoonlijke gegevens te gebruiken.
Er zijn een paar uitzonderingen, namelijk:
De eerste twee uitzonderingen gelden vaak voor overheden en gemeenten. De laatste uitzonderingen is specifiek voor personen die volgens de wet met opsporing belast zijn. De meeste van u vallen hier niet onder.
Het kan gebeuren dat er specifieke risico’s zijn aan de verwerking van persoonsgegegevens. Denk hierbij aan:
In geval van specifieke risico’s, waarbij voorafgaand onderzoeken nodig is, zal er nooit sprake zijn van een vrijstelling. Ook hierbij geld dat deze vraagstelling bij de meeste van u niet van toepassing is.
Om een vrijstelling te verkrijgen voor de verwerking van persoonsgegevens dient het land, van de leverancier of vrije derde, binnen de EU te bevinden. Is dit niet het geval dan zal de verwerking gemeld moeten worden. Als dit niet gedaan wordt kan de activiteit als verboden worden aangemerkt.
Er zijn een aantal uitzonderingen:
Het kan zijn dat de campagne of het contactmoment een vrijstelling geniet voor de verwerking van persoonsgegevens. Dan is het nog steeds mogelijk om een melding te maken bij het AVG van uw campagne.
Dit kunt u bijvoorbeeld overwegen wanneer u vertrouwelijke gegevens gaat communiceren en u verwacht dat de ontvanger hier twijfels over heeft. Uit voorzorg kan u dan een vrijwillige melding maken. U dient dan wel te voldoen aan alle eisen van de wet- en regelgeving omtrent Privacy.
Het kan zijn dat de handelingen die u uitvoert binnen een categorie valt waarvoor een vrijstelling bestaat. Denk hierbij aan de verwerkingen ten behoeve van salarisadministratie, pensioen, kinderopvang, bezwaarschriften of ledenlijsten. Voor meer details kunt u vinden op de site van de Autoriteit Persoonsgegevens.
Naast vrijstellingen voor specifieke categorieën bestaan er ook vrijstellingen voor combinaties van verwerkingen. Deze combinaties bevatten meestal bijzondere vereisten.
Om vrijstelling te verkrijgen voor een combinatie van verschillende categorien, dienen de combinaties aan verschillende eisen te voldoen:
Voorbeelden van combinaties die een vrijstelling opleveren zijn:
U kunt de verwerking van uw persoonsgegevens vermelden via het meldingsprogramma van de Autoriteit Persoonsgegevens of via een formulier wat u kunt invullen en opsturen.
Met het meldingsprogramma kunt u uw melding digitaal vastleggen en opsturen. U kunt ook de verwerking melden bij uw functionaris voor de gegevensbescherming (FG).
Heeft u geen FG, dan kunt u zich aanmelden bij het AVG. Via het AVG kunt u een FG regelen.
Deze vragen en antwoorden zijn opgesteld na het lezen van de website van Autoriteit Persoonsgegevens.