Het Information Commissioner's Office (ICO) heeft zijn richtlijnen over het gedeelte 'Wettelijke basis voor verwerking' van de Algemene Verordening Gegevensbescherming (AVG).
'Wettelijke basis voor Verwerking' geeft informatie over hoe persoonsgegevens worden verwerkt moeten worden verwerkt en hoe toestemming moet worden verkregen – als u überhaupt toestemming moet verkrijgen.
Laten we eens kijken naar de bijgewerkte richtlijnen voor de GDPR gepubliceerd door de ICO.
Artikel 6(1)(f) van de AVG bepaalt dat u gegevens legaal kunt verwerken zonder toestemming te verkrijgen rechtmatig belang. Dit is hoe de ICO het gebruik ervan onder de AVG beschrijft:
“De AVG vermeldt specifiek het gebruik van klant- of werknemersgegevens, marketing, fraudepreventie, overdrachten binnen een groep of IT-beveiliging als potentiële legitieme belangen, maar dit is geen uitputtende lijst. Er staat ook dat u een legitiem belang heeft bij openbaarmaking informatie over mogelijke strafbare feiten of veiligheid bedreigingen voor de autoriteiten.”
De ICO zegt verder dat de verwerking van gegevens moet een gerichte en evenredige manier zijn om uw doel te bereiken. Dit betekent dat je je niet kunt beroepen op legitieme belangen als er een andere redelijke en minder ingrijpende manier is om hetzelfde resultaat te bereiken.”
Welke aanvullingen zijn er gedaan op de grondslag gerechtvaardigd belang?
De ICO zegt dat de wettelijke basis voor legitiem belang “in wezen” hetzelfde is als de Schedule 2-voorwaarde in de Data Protection Act (DPA) 1998.
De aangebrachte wijzigingen hebben vooral betrekking op:
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
De noodzaak om uw besluitvormingsproces te documenteren is waarschijnlijk de grootste verandering ten opzichte van de huidige Data Protection Handeling. Het bewijsmateriaal en het audittraject dat u bijhoudt, zoals in een managementsysteem voor informatiebeveiliging, kunt u eenvoudig aantonen dat u hieraan voldoet.
Onder een gerechtvaardigd belang kan ook het verwerken van gegevens zonder voorafgaande toestemming vallen, als wordt aangenomen dat dit een breder voordeel voor de samenleving oplevert.
Er is meer gewicht aan gegeven het beschermen van deze gegevens. Daarnaast zullen overheden onder de AVG beperkter zijn als het gaat om legitieme belangen, waarbij de rechtsgrond ‘Publieke Taak’ in ogenschouw moet worden genomen.
Het Information Commissioner's Office beschrijft gegevens uit speciale categorieën als gegevens die bijzonder gevoelig zijn en “grotere risico’s voor iemands fundamentele rechten en vrijheden” kunnen opleveren. Dit betekent dat er meer bescherming nodig is. De ICO noemt het volgende als voorbeelden van gegevens uit speciale categorieën.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Naast de huidige Data Protection Act 1998 zijn nu genetische en biometrische gegevens aan de nieuwe verordening toegevoegd. Genetische gegevens hebben betrekking op erfelijke of verworven genetische kenmerken. Deze informatie zal een indicatie geven van de gezondheid en fysiologie van een individu en de informatie die daaruit voortvloeit noemen we biometrische gegevens.
Daarnaast de speciale categorie het gegevensgedeelte bevat niet langer persoonlijke gegevens verwerkte gegevens over strafbare feiten en veroordelingen – dit wordt nu afzonderlijk behandeld in artikel 10, Gegevens over strafbare feiten.
Gegevens over strafbare feiten omvatten, maar zijn niet beperkt tot, informatie over misdrijven, beschuldigingen, procedures, veroordelingen en gerelateerde veiligheidsmaatregelen.
“Verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten of daaraan gerelateerd veiligheids maatregelen op basis van artikel 6, lid 1, mag alleen worden uitgevoerd onder toezicht van de officiële autoriteit of wanneer de verwerking is toegestaan door het recht van de Unie of de lidstaten dat voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkenen. Een alomvattend register van strafrechtelijke veroordelingen mag uitsluitend worden bijgehouden onder toezicht van de officiële autoriteit.”
Artikel 10 van de AVG stelt dat u alleen “een alomvattend register van strafrechtelijke veroordelingen kunt bijhouden als u dit onder toezicht van de officiële autoriteit doet.”
Ook zijn, zoals eerder vermeld, gegevens over strafbare feiten uit de sectie met gegevens over speciale categorieën verwijderd.
Met meer Er komen nog updates over de AVGHoud ons in de gaten voor meer informatie over aankondigingen van het Information Commissioner's Office.
Download uw gratis gids
om uw Infosec te stroomlijnen
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering