Tijdens het werken met gegevens van klanten of werknemers, is er een onderscheid te maken tussen ´gewone´ persoonlijke gegevens en bijzondere persoonlijke gegevens. Bijzondere gegevens zijn nog persoonlijker en gevoeliger en krijgen daarom strengere regels tijdens de verwerking hiervan. Er zijn dan ook grotere gevolgen bij schending van deze regels. Kijk voor het algemeen juridisch kader naar volgend artikel: AVG, Wat moet je écht in orde hebben?
Bijzondere gegevens
Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Art. 4 AVG). Bijvoorbeeld een voor- en achternaam of e-mailadres. Bijzondere gegevens worden door de AVG beter beschermd dan ´gewone´ gegevens, omdat deze gevoeliger zijn. De volgende gegevens zijn volgens de Algemene Verordening Gegevensbescherming (AVG) bijzondere persoonsgegevens:
· Gegevens die verwijzen naar ras of etnische afkomst;
· Gegevens die verwijzen naar politieke opvattingen;
· Gegevens die verwijzen naar religieuze of levensbeschouwelijke overtuigingen;
· Gegevens die verwijzen naar het lidmaatschap van een vakvereniging;
· Medische gegevens die verwijzen naar iemands gezondheid;
· Gegevens die verwijzen naar iemands seksuele gedrag of gerichtheid;
· Genetische gegevens die verwijzen naar iemands erfelijke en genetische kenmerken (DNA); en
· Biometrische gegevens die verwijzen naar fysiek-, mentaal- of gedragsgerelateerde kenmerken (bv. vingerafdrukken).
Gegevens verwerken
Het verwerken van bijzondere gegevens is in principe verboden, toch bestaan er tien uitzonderingen voor wanneer dit wel mag (Art. 9 AVG):
1. De persoon heeft duidelijk toestemming gegeven voor de verwerking;
2. De verwerking is noodzakelijk om aan de verplichting te voldoen van het arbeidsrecht, socialezekerheidsrecht en het sociale beschermingsrecht. *
3. De persoon is zelf fysiek of juridisch niet in staat om toestemming te geven, maar de verwerking is noodzakelijk om de vitale belangen van betrokkene te beschermen.
4. De gegevens van een (oud)leden of belangrijke contactpersonen, worden met hun toestemmingverwerkt door een stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.
5. De persoon heeft de bijzondere gegevens zelf al kenbaar gemaakt.
6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen, te onderbouwen of je handelt uit rechtsbevoegdheid (bv. een advocaat).
7. De verwerking is noodzakelijk voor een zwaarwegend algemeen belang. *
8. De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids) geneeskundige aard. *
9. De verwerking is noodzakelijk om de volksgezondheid te beschermen. Bijvoorbeeld tegen een pandemie. *
10. De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden. Moet wel de grondrechten en fundamentele belangen van de betrokkene beschermen. *
* Alleen als dit in een wet vermeld wordt, kan hier een beroep op worden gedaan.
Geen bijzondere gegevens
Strafrechtelijke persoonsgegevens
Het verwerken van strafrechtelijke persoonsgegevens is ook verboden. Dit zijn gegevens die iets zeggen over een strafbaar feit van een persoon. Strafrechtelijke gegevens mogen alleen verwerkt worden als er sprake is van een grondslag van de ´gewone´ persoonsgegevens én een specifieke wettelijke uitzondering. Deze staan onder toezicht van de overheid.
Foto’s en videobewaking
De verwerking van foto’s en videobewaking wordt niet altijd beschouwd als bijzondere persoonsgegevens. Hier moet er gekeken worden naar de context, wie maakt de foto of video en wat wordt ermee gedaan?
Wat de uitzonderingen op het verwerkingsverbod verder inhouden, staat beschreven vanaf hoofdstuk 3 in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
Overtreding
Eenieder die betrokkene is bij het verwerken van zijn persoonlijke gegevens, kan een klacht indienen bij de Autoriteit Persoonsgegevens (AP) (Art. 77 lid 1 AVG). De AP behandelt deze klacht en gaat na of er sprake is van een overtreding. Er zijn maatregelen die de AP kan geven om schending van de AVG tegen te gaan/te voorkomen:
· Een waarschuwing geven;
· Een berisping geven;
· Een verwerkingsverbod geven;
· Een last onder dwangsom opleggen; of
· Een boete opleggen.
Aangezien het gevoelige persoonlijke gegevens zijn, bestaan er strenge regels. Er kan door de toezichthouder, de AP, een flinke geldboete worden opgelegd bij een overtreding. Er zijn 11 voorwaarden gesteld waar rekening mee dient te worden gehouden op het moment dat er een geldboete wordt opgelegd (Art. 83 lid 1 AVG). Dan wordt er bijvoorbeeld gekeken of de overtreding opzettelijk was. Dit is om de ernst van de overtreding en de bijpassende boete te bepalen.
Waarschuwing, berisping en verwerkingsverbod
De AP kan bepalen wanneer een bedrijf sommige persoonsgegeven niet mag verwerken. Zij leggen dan een verwerkingsverbod op. Het is een waarschuwing dat de overtreding niet nog een keer mag gebeuren. Er wordt geen dwangsom opgelegd, maar de inbreuk op de AVG wordt wel vastgesteld en afgekeurd. Een berisping is een terechtwijzing. De berisping wordt opgelegd in plaats van een bestuurlijke boete als de AP bepaald dat het gaat om een kleine inbreuk (Overweging 148 AVG). Wanneer een bedrijf van plan is om een verwerking te doen die niet is toegestaan, kan de AP een waarschuwing geven.
Last onder dwangsom
De last onder dwangsom moet ervoor zorgen dat iemand zich aan een verplichting houdt. Wanneer een bedrijf de AVG-regels overtreedt, kan de AP een last onder dwangsom opleggen. De last is de verplichting om iets te doen of te laten, zoals het niet publiceren van bepaalde persoonsgegevens. De dwangsom is het bedrag wat iemand moet betalen als ze zich niet aan de verplichting houden.
Boete
Wanneer een bedrijf zonder rechtmatige grondslag bijzondere persoonsgegevens werkt, kan een boete van € 450.000 tot € 1.000.000 worden gegeven (basisboete: € 750.000. De maximale boete die kan worden gegeven, is 20 miljoen euro of 4% van de wereldwijde jaaromzet, indien dit hoger is. De hoogte van de boete bepaalt de AP door middel van de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
Conclusie
Bijzondere gegevens mogen niet verwerkt worden, tenzij er een uitzondering bestaat op het verwerkingsverbod. Het hebben van een geldige grondslag, die gebruikt worden bij ´gewone´ persoonsgegevens, is niet genoeg voor het mogen verwerken van bijzondere persoonsgegevens. Zodra de regels van de AVG overtreden worden, kan de AP maatregelen nemen om de persoonlijke gegevens te beschermen.
Zorg er altijd voor dat je goed ingelezen bent in de AVG tijdens het verwerken van bijzondere persoonsgegevens en laat je bij voorkeur door een kundige jurist adviseren in deze. Het is namelijk zonde om een groot bedrag te betalen terwijl dit voorkomen had kunnen worden.
Vragen of contact
Heb je vragen over dit artikel, wil je een privacyverklaring of verwerkingsovereenkomst laten opstellen? Of heb je andere vragen over AVG en aanverwante juridische thema's? Stel deze dan gerust hieronder.. Wij reageren dan snel. Je kunt ook direct een online consult inplannen.
Commentaires