Wanneer mag ik persoonsgegevens verwerken?
Elke gegevensverwerking moet gerechtvaardigd zijn. Uw verwerking is gerechtvaardigd wanneer u het doel van de verwerking kunt baseren op één van de zes rechtsgrondslagen die in de Verordening worden gegeven. Kunt u dat niet, dan is het niet toegestaan persoonsgegevens te verwerken. De lijst van rechtsgrondslagen is limitatief, u kunt dus geen andere gronden aanvoeren.
De zes grondslagen zijn niet allemaal even relevant voor alle verwerkingsverantwoordelijken.
Welke rechtsgrondslag u kunt gebruiken hangt onder andere af van de vraag of u een publieke of private organisatie bent en met welk doel u de persoonsgegevens wilt verwerken.
De rechtsgrondslagen zijn niet cumulatief. Ook is er geen hiërarchische volgorde van de rechtsgrondslagen. U hoeft dus niet alle zes de grondslagen af te lopen om te bepalen welke voor uw verwerking gebruikt kan worden. Slechts één van de grondslagen hoeft van toepassing te zijn om uw verwerking te rechtvaardigen.
De zes rechtsgrondslagen zijn:
- de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
- de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
- de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
- de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De grondslagen 2 tot en met 6 zijn ‘noodzakelijkheidsgrondslagen’: alleen wanneer de verwerkingen noodzakelijk zijn voor de in deze grondslagen genoemde doelen dan is de verwerking gerechtvaardigd. In de vraag of een verwerking noodzakelijk is ligt besloten of de verwerking van gegevens 1) proportioneel is en 2) of de verwerking voldoet aan de eis van subsidiariteit.
Bron: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf