Oktober 2024 is een interessante maand voor privacy professionals in Europa. Naast nieuwe en duidelijke uitspraken van het Europees Hof van Justitie, heeft de European Data Protection Board (EDPB) de richtsnoeren 01/2024 over het gerechtvaardigd belang gepubliceerd. Op het moment van schrijven bevindt het document zich nog in de consultatiefase. De richtsnoeren zijn de opvolger van de WP29 opinie uit 2014, welke is gebaseerd op oude Europese privacywetgeving. Je kunt je vast voorstellen dat deze, na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), wel een update konden gebruiken. In deze blog lees je in hoofdlijnen wat de richtsnoeren omvatten.
Driestappentoets
In de richtsnoeren gaat de EDPB allereerst, na de inleiding (deel I), in op de driestappentoets (deel II). Men is er nog niet door te roepen: "wij verwerken jouw persoonsgegevens op grond van ons gerechtvaardigd belang". De EDPB geeft mee dat het gerechtvaardigd belang niet als laatste redmiddel of als “open deur” moet worden gezien. Het is dus niet de bedoeling dat organisaties alleen terugvallen op hun gerechtvaardigd belang, omdat er geen andere toepasselijke grondslag is. Er zal altijd een zorgvuldige belangenafweging moeten plaatsvinden en worden gedocumenteerd. In de praktijk houdt dit in dat de, vanuit de WP29 opinie, bekende driestappentoets moet worden uitgevoerd. In het kort:
- Is het belang gerechtvaardigd?
- Is de voorgenomen verwerking noodzakelijk om het doel te bereiken?
- Weegt het gerechtvaardigd belang zwaarder dan de belangen van betrokkenen?
In een eerdere blog leggen we uitgebreid uit wat de driestappentoets precies inhoudt.
De EDPB brengt hier geen verrassingen. Wel interessant: de EDPB merkt voor de belangenafweging op dat enkel informeren over de verwerking (de informatieplicht) niet automatisch leidt tot het voldoen aan de redelijke verwachting ten aanzien van de voorgenomen verwerking. Hierover straks meer. Opvallend is overigens ook dat de EDPB benoemt dat je de FG bij deze belangenafweging moet betrekken (onder punt 9 van de richtsnoeren). Voor het ene belang (tegengaan van fraude, commerciële belangen) wellicht meer voor de hand liggend dan het andere belang (bijvoorbeeld bepaalde IT- en netwerkbeveiliging).
Het gerechtvaardigd belang en rechten van betrokkenen
In deel III gaat de EDPB verder in op de verhouding tussen de grondslag gerechtvaardigd belang en de rechten van betrokkenen. Er zijn natuurlijk meer privacyrechten behalve het recht op informatie die de aandacht van de EDPB genieten.
Recht op inzage
Bij inzage in persoonsgegevens is de verwerkingsverantwoordelijke verplicht informatie te verstrekken over de verwerking. Hoewel de AVG organisaties niet expliciet verplicht om de toepasselijke grondslag met de betrokkene te delen, raadt de EDPB dit wel aan. Op deze manier voldoet een bedrijf aan het beginsel van transparantie, zodat betrokkenen goed kunnen inschatten van welke overige rechten zij gebruik willen maken.
Recht op bezwaar
Personen hebben altijd recht om bezwaar te maken tegen de verwerking wanneer de verwerking is gebaseerd op het gerechtvaardigd belang. Bij direct marketing is dit recht zelfs absoluut. In andere gevallen kunnen betrokkenen bezwaar maken vanwege de specifieke situatie van de betrokkene. De EDPB zegt hierbij dat de verwerking moet stoppen als die betrokkene dwingende gerechtvaardigde gronden heeft. De verwerking mag, conform de AVG, alleen worden voortgezet als de gronden van de verwerkingsverantwoordelijke nóg dwingender zijn dan die van de betrokkene. In de praktijk betekent dit dat de belangenafweging opnieuw moet plaatsvinden, maar dan met de dwingende gerechtvaardigde gronden van de verwerkingsverantwoordelijke. De WP29 baseerde zich juist op oude privacywetgeving waarbij de betrokkene de verwerkingsverantwoordelijke moet overtuigen van haar dwingende gerechtvaardigde gronden om de verwerking stop te zetten.
Overige rechten
De richtsnoeren gaan verder kort in op de overige privacyrechten, zoals het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming, het recht op beperking van de verwerking, het recht op rectificatie en het recht op vergetelheid. Er gelden geen aanvullende voorwaarden voor deze rechten met betrekking tot het gerechtvaardigd belang. De EDPB legt daarbij kort uit wat deze rechten inhouden en benadrukt dat het recht op bezwaar vaak in samenhang met het recht op vergetelheid kan worden gelezen. Zonder de, eerdergenoemde, dwingende gerechtvaardigde gronden moeten de gegevens worden verwijderd.
De context van het gerechtvaardigd belang
In deel IV gaat de EDPB in op verschillende soorten context bij het gebruik van het gerechtvaardigd belang. Bijvoorbeeld het gerechtvaardigd belang bij publieke organisaties (bijv. overheid), fraude, direct marketing. Specifiek wordt ook de verwerking van gegevens van kinderen behandeld.
Waar WP29 slechts de kwetsbare positie van minderjarigen benadrukt voor de driestappentoets, is de EDPB een stuk directer. In de Richtsnoeren 01/2024 geven zij duidelijk aan dat het onwaarschijnlijk is dat het gerechtvaardigd belang zwaarder weegt dan de belangen van het kind. Dit betekent echter niet dat de belangen van kinderen altijd zwaarder wegen. Door middel van wijzigingen in de verwerking of aanvullende beveiligingsmaatregelen zou de verwerkingsverantwoordelijke het gewicht naar de andere kant kunnen verplaatsen. Daarnaast moet de verwerkingsverantwoordelijke kunnen aantonen dat het welzijn en overige belangen van kinderen prioriteit genieten.
Bij de driestappentoets is de informatieplicht al kort aan bod gekomen. De EDPB verduidelijkt dat de nakoming van wettelijke verplichtingen onder de AVG, zoals informeren, rechten van betrokkenen juist inregelen enzovoorts, geen aanvullende beveiligingsmaatregelen zijn. Voor aanvullende beveiligingsmaatregelen moet men dus meer doen dat wat er wettelijk wordt verwacht,
En nu?
We hebben je in hoofdlijnen meegenomen door de inhoud van de nieuwe EDPB-richtsnoeren, maar natuurlijk komen er nog meer onderwerpen aan bod. Verrassend zijn deze richtsnoeren niet, maar ze bieden wel een handig overzicht met handvatten en voorbeelden. De vraag blijft in hoeverre de inhoud wijzigt na afronding van de consultatiefase. Je kan de status van het document in ieder geval hier bijhouden. Wij zijn in ieder geval erg benieuwd naar het eindresultaat!
