‘De verwerking is noodzakelijk voor de behartiging van de legitieme belangen die worden nagestreefd door de verwerkingsverantwoordelijke of door een derde, behalve wanneer dergelijke belangen terzijde worden geschoven door de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming nodig hebben van Persoonsgegevens, vooral als de betrokkene een kind is.' Punt f) van de eerste alinea is niet van toepassing op verwerkingen die door overheidsinstanties worden uitgevoerd bij de uitvoering van hun taken.'
‘De legitieme belangen van een verwerkingsverantwoordelijke, met inbegrip van die van een verwerkingsverantwoordelijke aan wie de Persoonsgegevens kunnen worden bekendgemaakt, of van een derde partij, kunnen een rechtsgrondslag voor de verwerking vormen, op voorwaarde dat de belangen of de fundamentele rechten en vrijheden van de betrokkene zijn niet doorslaggevend, rekening houdend met de redelijke verwachtingen van gegevens onderwerpen op basis van hun relatie met de verwerkingsverantwoordelijke.' Op grond van de Wet bescherming persoonsgegevens en GDPR, zijn er zes wettige omstandigheden waardoor u persoonsgegevens mag verwerken. Dit zijn toestemming, contractuele verplichting, wettelijke verplichting, vitaal belang, publieke taak en gerechtvaardigd belang.
In bepaalde omstandigheden kan het zijn dat u een gegronde reden en noodzaak heeft om persoonsgegevens te verwerken zonder toestemming van de betrokkene. Dit heet gerechtvaardigd belang. Maar voordat u te opgewonden raakt: er zijn drie vereisten waaraan een organisatie moet voldoen voordat zij kan beweren dat zij gegevens verwerkt op basis van de voorwaarde van gerechtvaardigd belang.
Ten eerste moet de organisatie de noodzaak kunnen aantonen om deze informatie te verwerken, evenals de behoefte van de derde partij die de gegevens zou ontvangen.
Het Information Commissioner's Office geeft een voorbeeld van een financieringsmaatschappij die een klant moet opsporen die in gebreke is gebleven met zijn betaling en is verhuisd.
Om de vordering te kunnen innen heeft het incassobureau de gegevens van de klant nodig.
De belangen van beide partijen zouden dat moeten zijn evenwichtig zijn. Hoewel het niet nodig is dat beide partijen volledig in harmonie zijn.
Het Information Commissioner's Office zegt dat 'aan de voorwaarde van legitieme belangen niet zal worden voldaan als de verwerking niet gerechtvaardigd is vanwege de schadelijke gevolgen voor de rechten en vrijheden, of legitieme belangen, van het individu'. Maar er staat ook dat als er sprake is van een ernstige discrepantie tussen concurrerende belangen, de legitieme belangen van het individu voorop zullen staan.'
Dus in het voorbeeld van de incasso zou het bureau dat gegevens over de ontduiker krijgt, als redelijk worden beschouwd en daarom aanvaardbaar zijn onder legitiem belang.
Zodra aan bovenstaande punten is voldaan, moet de organisatie kunnen aantonen dat de verwerking hiervan plaatsvindt gegevens eerlijk en wettig zijn en voldoen aan de beginselen van gegevensbescherming. De informatie moet accuraat en actueel zijn. Ze moeten er ook voor zorgen dat alleen de relevante gegevens worden verstrekt om de taak uit te voeren.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Er is geen enkel bedrijf te bedenken waarvan de service ISMS.online kan evenaren.
De betrokkene heeft nog steeds het recht om bezwaar te maken tegen het gebruik van zijn gegevens zonder zijn toestemming. Als de verwerking van die gegevens niet kan worden gerechtvaardigd zoals hierboven, of als die gegevens voor een nieuw doel worden gebruikt, kan de betrokkene zijn recht om vergeten te worden uitoefenen.
Naarmate u meer vertrouwd raakt met legitiem belang, zult u zien dat vrijwel elke branche argumenten kan hebben voor het gebruik van de voorwaarde. We moeten daarom kijken naar enkele van de scenario's die tot deze uitkomst zouden kunnen leiden.
Ethische doeleinden – Dit zal hoogstwaarschijnlijk worden gebruikt door liefdadigheidsinstellingen, omdat zou kunnen worden beargumenteerd dat het delen van gegevens in het belang zou zijn van het individu in nood en van de liefdadigheidsinstelling.
Onderdrukking – Als een betrokkene vraagt om verwijdering uit een marketingdatabase, kan de organisatie beperkte informatie over hem of haar bewaren om ervoor te zorgen dat zijn verzoek wordt uitgevoerd.
Personalisatie – Dit kan een website inhouden die analyses gebruikt om te voorspellen wat een klant wil kopen op basis van zijn browsegeschiedenis.
Vacatures - Een werkgever verwerkt gegevens om zijn werknemers voordelen zoals een ziektekostenverzekering en vouchers voor kinderopvang mogelijk te maken.
Gezondheidstrends – Wetenschappelijke onderzoekers hebben mogelijk persoonlijke gegevens nodig om seizoensgebonden gezondheidsproblemen, zoals de verspreiding van griep en andere ziekten, te analyseren.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering