Guidelines over verwerking ihkv een contract

De European Data Protection Board (EDPB) heeft nieuwe draft guidelines gepubliceerd over het gebruik van de wettelijke basis uit 6.1b namelijk het bestaan van een contract. Draft betekent dat de guidelines nu open staan voor consultatie en mogelijk nog kunnen wijzigen, de kern zal echter niet snel veranderen.  

Belangrijkste aspect van de verwerking op basis van contract zit hem in het woordje “noodzakelijk”. De EDPB bevestigt nog eens dat dit strikt geïnterpreteerd moet worden: de beoogde verwerking moet noodzakelijk zijn voor de uitvoering van het contract, niet wenselijk of nuttig. Ook basale principes zoals doelmatigheid en dataminimalisatie zijn steeds van toepassing: duidelijke omschrijven waarvoor een verwerking noodzakelijk is, en niet meer gegevens verwerken dan noodzakelijk. 

Voor de verwerking van bijzondere categorieën van gegevens is een contract niet voldoende: er zal dus gekeken moeten worden naar de uitzonderingsgronden zoals bv. in art 9.2 voor de verwerking van deze gegevens. 

De overige belangrijkste onderdelen uit de guideline hebben we hieronder nog eens samengevat.

Om op 6.1b te kunnen steunen moet de verantwoordelijke kunnen aantonen:

  • dat een contract bestaat
  • dat het een geldig contract is
  • dat de verwerking NOODZAKELIJK is voor dat contract
    • noodzakelijk is niet “nuttig” of “wenselijk”  
    • noodzakelijk is dan ook meer dan “het staat in het contract”
    • zijn er alternatieve verwerkingsmogelijkheden die minder intrusief zijn is een verwerking ook niet noodzakelijk
    • aan de verantwoordelijke om aan te tonen dat bovenstaande het geval is
  • personalisatie van advertenties en aanbiedingen  valt niet onder “noodzakelijk” en heeft dus een andere wettelijke basis nodig, als de invulling van het contract echter specifiek personalisatie inhoudt dan kan het wel (bv. een aangekochte nieuwsdienst die specifiek naar aanleiding van ingevulde interesses bepaalde artikelen voorstelt is noodzakelijk, een online winkel die aanbiedingen personaliseert valt daar niet onder).
  • het is mogelijk dat er verwerking is voorafgaand aan het contract om het contract mogelijk te maken, dat kan: bv. een bank die ID kaart opvraagt bij aanmaken bankrekening, marketing valt hier niet onder.

Verder nog relevant zijn de rechten van de betrokkene, eerder als herinnering, sommige zijn niet relevant in de context van een contract:

  • verzet tegen de verwerking
  • intrekken van toestemming
  • het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming

Link naar de guidelines: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf

Voor de echte liefhebbers, de EDPS toolkit voor het bepalen wat noodzakelijk is: https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf

Opmerking: de guidelines zijn opgesteld in de specifieke context van online services, maar de principes die benoemd worden in het advies baseren zich veel op eerdere adviezen (bv. WP29) en zijn praktisch toepasbaar in vele (zoniet alle) verwerkingen op basis van de 6.1b.

Share