De AVG kent een aantal beginselen:
- Rechtmatigheid: Verwerking van persoonsgegevens is rechtmatig
- Eerlijkheid: Verwerking van persoonsgegevens is behoorlijk
- Transparantie: Verwerking van persoonsgegevens is transparant
- Doelbinding: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en vervolgens niet op onverenigbare wijze verwerkt
- Dataminimalisatie persoonsgegevens zijn adequaat en ter zake dienend en blijven beperkt tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt
- Juistheid: persoonsgegevens zijn juist en worden zo nodig geactualiseerd
- Opslagbeperking: persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden bewaard noodzakelijk is
- Integriteit en vertrouwelijkheid: persoonsgegevens worden door passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat een passende beveiliging gewaarborgd is
- Verantwoordingsplicht: persoonsgegevens worden verwerkt onder de verantwoordelijkheid van de verwerkingsverantwoordelijke, die ervoor zorgt en kan aantonen dat verwerking voldoet aan de bepalingen van de verordening
Bepalingen :
- Artikel 5 lid 1 AVG
- Artikel 5 lid 2 AVG
Wbp :
De beginselen van de AVG komen overeen met de beginselen uit de Wbp, maar de AVG werkt sommige beginselen verder uit. Maar de basis is gelijk.
- Artikel 6 Wbp
- Artikel 7 Wbp
- Artikel 9 Wbp
- Artikel 11 lid 1 en 2 Wbp
De verwerking van persoonsgegevens is rechtmatig als er een van de grondslagen geldt:
- Toestemming van de betrokkene
- Noodzakelijk voor de uitvoering van de overeenkomst
- Noodzakelijk voor voldoen aan een wettelijke verplichting
- Een vitaal belang te beschermen
- Vervulling taak van algemeen belang of openbaar gezag
- Gerechtvaardigd belang
Voorwaarden toestemming:
- Aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens
- De betrokkene kan ten allen tijde zijn toestemming intrekken. Alvorens hij zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het is even eenvoudig om toestemming in te trekken als om toestemming te geven
- Duidelijke afzonderlijke weergave toestemming van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd
- Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of de uitvoering van een overeenkomst, met inbegrip van de dienstovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst
Toestemming bij kinderen:
Indien verwerking plaatsvindt op grond van toestemming: voor een kind jonger dan 16 jaar is verwerking slechts rechtmatig bij aanbieden van diensten van de informatiemaatschappij met toestemming of machtiging door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. NB: de leeftijd kan door een lidstaat worden verlaagd, maar niet lager dan 13 jaar. Nederland heeft hier nog geen wetgeving voor.
Bepalingen :
- Artikel 6 lid 1 AVG (grondslagen)
- Artikel 7 AVG (voorwaarden toestemming)
- Artikel 8 AVG (toestemming van kinderen)
Overwegingen
- Overweging 45 AVG (grondslagen)
- Overweging 32 AVG ( voorwaarden toestemming)
- Overweging 38 en 58 (toestemming kinderen)
Wbp :
De grondslagen voor rechtmatige verwerking van persoonsgegevens zijn onder de AVG dezelfde als in de Wbp
- Artikel 8 Wbp
De Wbp spreekt over ondubbelzinnige en uitdrukkelijke toestemming, wat enigszins afwijkt van de definitie van toestemming in de AVG
- Artikel 8 Wbp
De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en de verwerking van genetische of biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
Het verbod geldt niet in geval van:
a. uitdrukkelijke toestemming van betrokkene voor een of meer welbepaalde doeleinden; of
b. noodzakelijk voor uitvoering verplichtingen en specifieke rechten arbeidsrecht, voor zover is toegestaan bij Unierecht of lidstatelijk recht; of
c. noodzakelijk is ter bescherming van de vitale belangen; of
d. wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzam is en gerechtvaardigd belang heeft; of
e. betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; of
f. noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevooegdheid; of
g. noodzakelijk voor de redenen van zwaarwegend algemeen belang; of
h. (gegevens over gezondheid) noodzakelijk is voor gezondheidsdoeleinden; of
i. noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid
j. noodzakelijk is voor archivering in het algemeen belang, historische, statistische of wetenschappelijke doeleinden;
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid
NB: punt a, b en g kunnen door nationale of uniewetgeving afwijken.
NB: de lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.
Bepalingen :
- Artikel 9 AVG (bijzondere persoonsgegevens)
- Artikel 10 AVG (strafrechtelijke veroordelingen en strafbare feiten)
Overwegingen
- Overweging 51 - 54 AVG
Wbp :
De uitzonderingen op het verwerken van bijzondere persoonsgegevens in de AVG komen deels overeen met die van Wbp.
- Artikel 16 Wbp (hoofd bepalingen)
- Artikel 17- 23 Wbp (uitzonderingen)
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden van verwerking. Persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
Persoonsgegevens mogen voor een langere periode worden opgeslagen voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden of ten behoeve van archivering worden verwerkt, voor zover er passende technische en organisatorische maatregelen worden getroffen om de toegang tot de gegevens te beperken voor uitsluitend deze doeleinden
Bepalingen :
- Artikel 5 lid 1 onder e AVG
Overwegingen
- Overweging 39 AVG
Wbp :
De AVG komt qua uitgangspunt overeen met de bewaartermijnen zoals omschreven in de Wbp.
- Artikel 10 Wbp
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
Dit geldt niet indien het besluit:
a) noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke;
NB: de verwerkingsverantwoordelijke treft in dit geval passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten
b) is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of
c) berust op de uitdrukkelijke toestemming van de betrokkene.
NB: de verwerkingsverantwoordelijke treft in dit geval passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten
Bovengenoemde besluiten worden niet gebaseerd op bijzondere categorieën van persoonsgegevens (artikel 9), tenzij de betrokkene uitdrukkelijk toestemming heeft gegeven (artikel 9 lid 2 onder a) of vanwege zwaarwegend algemeen belang (artikel 9 lid 2 onder 9) en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.
Bepalingen :
- Artikel 22 AVG
Overwegingen
- Overweging 63 AVG (inzage in profilering door betrokkene)
- Overweging 70 AVG (direct marketing en profilering)
- Overweging 71 en 72 AVG (profilering)
Wbp :
De Wbp kende ook een bepaling over geautomatiseerde besluitvorming.
- Artikel 42 Wbp
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
De volgende eisen gelden (tenzij de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is):
- Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast
- met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken (informatieplicht betrokkenen), door middel van een onderlinge regeling,
- In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
- Uit de regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is
- De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
Ongeacht de voorwaarden van de regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Bepalingen :
- Artikel 26 AVG
Wbp :
De Wbp kent geen bepaling over gezamenlijke verwerkingsverantwoordelijken
- nvt
Een verwerkingsverantwoordelijke kan een verwerker inschakelen om namens hen persoonsgegevens te verwerken.
De verwerkingsverantwoordelijke mag uitsluitend een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken
De verwerking door een verwerker wordt geregeld in een overeenkomst of door andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt.
Het volgende wordt in ieder geval omschreven:
het onderwerp en de duur van de verwerking
de aard en het doel van de verwerking,
het soort persoonsgegevens
de categorieën van betrokkenen,
de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. .
Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
a. de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
b. waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
c. alle overeenkomstig artikel 32 vereiste maatregelen neemt;
d. aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;
e. rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;
f. rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36;
g. na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;
h. de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt. 4.5.2016 NL Publicatieblad van de Europese Unie L 119/49 Waar het gaat om de eerste alinea, punt h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
Bepalingen :
- Artikel
Overwegingen
- Overweging
Wbp :
tekst.
- Artikel
Bepalingen :
- Artikel
Overwegingen
- Overweging
Wbp :
tekst.
- Artikel