Wat is een gerechtvaardigd belang binnen de GDPR?
Gerechtvaardigd belang is een term waarmee nogal eens gegoocheld wordt bij de verwerking van persoonsgegevens. Maar wat betekent het nu precies en in welke omstandigheden kan je jouw gerechtvaardigd belang toepassen?
Hieronder vind je een verduidelijking in enkele korte stappen.
GERECHTVAARDIGD BELANG IS EEN WETTELIJKE GRONDSLAG
Volgens de GDPR pleeg je, elke keer als je als bedrijf persoonsgegevens verwerkt, eigenlijk een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan of met andere woorden als je zonder deze gegevens jouw doel niet kunt bereiken.
Je moet dus goede redenen hebben om persoonsgegevens te verwerken, en de GDPR heeft 6 redenen of wettelijke grondslagen vastgelegd. Gerechtvaardigd belang is één van deze zes grondslagen. De andere vijf wettelijke basisgronden zijn toestemming, wettelijke verplichting, noodzakelijk om een overeenkomst uit te voeren, vitaal belang van een persoon en algemeen belang.
Opgelet: je moet zelf beoordelen welke grondslag voor jou en jouw bedrijf van toepassing is. Dat is jouw eigen verantwoordelijkheid. Je hebt er dus alle belang bij goed te weten voor welke persoonsverwerkingen je gerechtvaardigd belang als reden mag inroepen.
WAT HOUDT GERECHTVAARDIGD BELANG IN
Als onderneming moet je vaak persoonsgegevens verwerken om taken uit te voeren die verband houden met je bedrijfsactiviteiten. Een aantal verwerkingen zijn noodzakelijk door een wettelijke verplichting (bijvoorbeeld klantenfacturatie) of noodzakelijk voor de uitvoering van een overeenkomst (de loonadministratie voor je medewerkers, bestellingen leveren aan je klanten,…)
Gerechtvaardigd belang is de wettelijke grondslag voor de verwerkingen die noodzakelijk zijn voor de behartiging van de belangen van je bedrijf en waarvoor geen toestemming mogelijk is. Je kan het gerechtvaardigd belang niet zomaar gebruiken om bijvoorbeeld de toestemming te omzeilen. Een mooi voorbeeld hiervan is de doorgifte van persoonsgegevens aan derde partijen die ze op hun beurt willen commercialiseren. Hiervoor zal altijd toestemming vereist zijn.
Wanneer je de rechtsgrond “gerechtvaardigd belang” wil toepassen dan zal je het gebruik duidelijk dienen te motiveren. De drie onderstaande ‘toetsen’ zal je dienen te doorstaan:
- De “doeltoets”: kunnen de belangen die de verwerkersverantwoordelijke nastreeft, als gerechtvaardigd worden erkend.
- De “noodzakelijkheidstoets”: is de beoogde verwerking noodzakelijk voor de verwezenlijking van deze belangen.
- De “afwegingstoets”: de afweging van de belangen van de verwerkersverantwoordelijke ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkene en ervoor zorgen dat de belangen niet doorwegen in het voordeel van de verwerkersverantwoordelijke
Goede voorbeelden van verwerkingen onder de rechtsgrond gerechtvaardigd belang zijn onder andere:
- Eigendommen beschermen via camerabewaking
- Procederen en/of een rechtsvordering instellen, uitoefenen of onderbouwen;
- Fraude, oplichting of ander onrechtmatig gedrag tegengaan;
- Direct Marketing: bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten (art.6.f-recital 47 van de GDPR)
- Computersystemen goed beveiligen en beschermen;
Wat niet kwalificeert als gerechtvaardigd belang, is bijvoorbeeld:
- Een puur commercieel belang;
- Het gedrag van werknemers volgen zonder legitieme reden;
- Het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.
Meer informatie hierover? Contacteer Ubora
Rolf Vermeulen
Privacy-expert
+32 475 96 01 18
Bart Ocket
Privacy-expert
+32 491 08 37 84
Karel Mol
Privacy-expert
+32 476 30 91 47