GDPR Artikel 6 schetst de fundamentele wettelijke beginselen die elke verwerking van persoonsgegevens verbieden, tenzij deze gebaseerd is op specifieke wettelijke bepalingen.
Rechtmatigheid van verwerking
- De verwerking is alleen rechtmatig als en voor zover ten minste een van de volgende situaties van toepassing is:
- (a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden;
- (b) de verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het aangaan van een contract;
- (c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke is onderworpen;
- d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- e) de verwerking is noodzakelijk voor de uitvoering van een taak die wordt uitgevoerd in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is toevertrouwd;
- (f) de verwerking is noodzakelijk voor de behartiging van de legitieme belangen die worden nagestreefd door de voor de verwerking verantwoordelijke of door een derde partij, behalve wanneer dergelijke belangen zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, met name waarbij de betrokkene een kind is.
Punt f) van de eerste alinea is niet van toepassing op verwerkingen die door overheidsinstanties worden uitgevoerd bij de uitvoering van hun taken.- De lidstaten kunnen specifiekere bepalingen handhaven of invoeren om de toepassing van de regels van deze verordening met betrekking tot verwerking aan te passen met het oog op de naleving van lid 1, onder c) en e), door nauwkeuriger specifieke eisen voor de verwerking en andere maatregelen vast te stellen zorgen voor een rechtmatige en eerlijke verwerking, ook voor andere specifieke verwerkingssituaties zoals bepaald in hoofdstuk IX.
- De basis voor de in lid 1, onder c) en e), bedoelde verwerking wordt vastgesteld door:
- a) het recht van de Unie; of
- b) het recht van de lidstaat waaraan de verwerkingsverantwoordelijke onderworpen is.
Het doel van de verwerking wordt bepaald in die rechtsgrondslag of is, wat de in lid 1, onder e), bedoelde verwerking betreft, noodzakelijk voor de uitvoering van een taak van algemeen belang of in het kader van de uitoefening van officiële taken. gezag berust bij de verantwoordelijke. Die rechtsgrondslag kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, onder meer: de algemene voorwaarden die de rechtmatigheid van de verwerking door de verwerkingsverantwoordelijke regelen; de soorten gegevens die worden verwerkt; de betrokken betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens kunnen worden bekendgemaakt; de doelbinding; bewaartermijnen; en verwerkingshandelingen en verwerkingsprocedures, inclusief maatregelen om wettige en eerlijke verwerking te garanderen, zoals die voor andere specifieke verwerkingssituaties zoals bepaald in Hoofdstuk IX. Het recht van de Unie of de lidstaten moet beantwoorden aan een doelstelling van algemeen belang en evenredig zijn aan het nagestreefde legitieme doel.
- Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, niet gebaseerd is op de toestemming van de betrokkene of op een recht van de Unie of een lidstaat dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt om de genoemde doelstellingen te waarborgen in artikel 23, lid 1 houdt de verwerkingsverantwoordelijke, om na te gaan of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, onder meer rekening met:
- (a) elk verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de beoogde verdere verwerking;
- (b) de context waarin de persoonsgegevens zijn verzameld, in het bijzonder met betrekking tot de relatie tussen de betrokkenen en de verwerkingsverantwoordelijke;
- c) de aard van de persoonsgegevens, met name of bijzondere categorieën persoonsgegevens worden verwerkt overeenkomstig artikel 9, dan wel of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten worden verwerkt overeenkomstig artikel 10;
- (d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor betrokkenen;
- e) het bestaan van passende waarborgen, waaronder encryptie of pseudonimisering.
Rechtmatigheid van verwerking
- De verwerking is alleen rechtmatig als en voor zover ten minste een van de volgende situaties van toepassing is:
- (a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden;
- (b) de verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het aangaan van een contract;
- (c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke is onderworpen;
- d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- e) de verwerking is noodzakelijk voor de uitvoering van een taak die wordt uitgevoerd in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is toevertrouwd;
- (f) de verwerking is noodzakelijk voor de behartiging van de legitieme belangen die worden nagestreefd door de voor de verwerking verantwoordelijke of door een derde partij, behalve wanneer dergelijke belangen zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, met name waarbij de betrokkene een kind is.
Punt f) van de eerste alinea is niet van toepassing op verwerkingen die door overheidsinstanties worden uitgevoerd bij de uitvoering van hun taken.
De basis voor de verwerking bedoeld in lid 1, onder c) en e), wordt vastgelegd in het nationale recht.
Het doel van de verwerking wordt bepaald in die rechtsgrondslag of is, wat de in lid 1, onder e), bedoelde verwerking betreft, noodzakelijk voor de uitvoering van een taak van algemeen belang of in het kader van de uitoefening van officiële taken. gezag berust bij de verantwoordelijke. Die rechtsgrondslag kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, onder meer: de algemene voorwaarden die de rechtmatigheid van de verwerking door de verwerkingsverantwoordelijke regelen; de soorten gegevens die worden verwerkt; de betrokken betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens kunnen worden bekendgemaakt; de doelbinding; bewaartermijnen; en verwerkingshandelingen en verwerkingsprocedures, inclusief maatregelen om wettige en eerlijke verwerking te garanderen, zoals die voor andere specifieke verwerkingssituaties zoals bepaald in Hoofdstuk IX. Het nationale recht moet voldoen aan een doelstelling van algemeen belang en evenredig zijn aan het nagestreefde legitieme doel.- Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, niet gebaseerd is op de toestemming van de betrokkene of op het nationale recht dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt om [de nationale veiligheid, defensie of een van] Om na te gaan of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens in eerste instantie zijn verzameld, houdt de verwerkingsverantwoordelijke onder meer rekening met:
- (a) elk verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de beoogde verdere verwerking;
- (b) de context waarin de persoonsgegevens zijn verzameld, in het bijzonder met betrekking tot de relatie tussen de betrokkenen en de verwerkingsverantwoordelijke;
- c) de aard van de persoonsgegevens, met name of bijzondere categorieën persoonsgegevens worden verwerkt overeenkomstig artikel 9, dan wel of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten worden verwerkt overeenkomstig artikel 10;
- (d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor betrokkenen;
- e) het bestaan van passende waarborgen, waaronder encryptie of pseudonimisering.
Artikel 6 van de AVG schetst zeven factoren die bijdragen aan wat het definieert als een ‘wettelijke basis voor verwerking’:
In deze sectie hebben we het over AVG Artikelen 6 (1)(a), 6 (1)(b), 6 (1)(c), 6 (1)(d), 6 (1)(e), 6 ( 1)(f), 6 (2), 6 (3), 6 (4)(a), 6 (4)(b), 6 (4)(c), 6 (4)(d) en 6 ( 4)(e)
Afhankelijk van het rechtsgebied moeten organisaties dit mogelijk wel doen bewijzen dat hun PII-verwerkingsactiviteiten rechtmatig zijn voordat ze beginnen.
Om een wettelijke basis te vormen voor de verwerking van PII moeten organisaties:
Voor elk hierboven genoemd punt moeten organisaties gedocumenteerde bevestiging kunnen bieden.
Organisaties moeten in hun gegevensclassificatieschema ook rekening houden met 'speciale categorieën' van PII die betrekking hebben op hun organisatie (zie ISO 27701 clausule 7.2.8) (classificaties kunnen van regio tot regio verschillen).
Als organisaties veranderingen ervaren in hun onderliggende redenen voor het verwerken van PII, moet dit onmiddellijk worden weerspiegeld in hun gedocumenteerde rechtsgrondslag.
In deze sectie praten we over AVG Artikel 6 (4)(e)
Organisaties moeten ofwel alle PII die niet langer een doel vervult volledig vernietigen, ofwel deze zodanig aanpassen dat elke vorm van hoofdidentificatie wordt voorkomen.
Zodra de organisatie heeft vastgesteld dat de PII in de toekomst op geen enkel moment hoeft te worden verwerkt, moet de informatie worden verwijderde or de-geïdentificeerde, al naar gelang de omstandigheden dit vereisen.
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 6 (1)(a) tot 6 (4)(e) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU AVG Artikel 6, lid 4, onder e) | ISO 27701 7.4.5 | Geen |
Het ISMS.online-platform bevat ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat het aantonen van uw AVG-compliance aanzienlijk eenvoudiger is. U profiteert ook van een reeks krachtige tijdbesparende functies.
Door uw werk in meerdere standaarden en raamwerken in kaart te brengen, maakt ons intuïtieve platform het gemakkelijk om meerdere doelstellingen op het gebied van informatiebeveiliging en gegevensprivacy te bereiken.
Als u om welke reden dan ook een gebrek aan vertrouwen, vermogen of de drang ervaart om actie te ondernemen tijdens uw reis naar de AVG, kunnen we ons team van interne experts beschikbaar stellen of een van onze vertrouwde partners aanbevelen om uw inspanningen een boost te geven.
Meer informatie via het boeken van een korte demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
