Artikel 6 Algemene Verordening Gegevensbescherming (AVG): Rechtmatigheid van de verwerking

Geschreven door Lexalert
Foto:   sylvar

Artikel 6 Algemene Verordening Gegevensbescherming (AVG): Rechtmatigheid van de verwerking

1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.   De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.   De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

a) Unierecht; of

b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

4.   Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Blijf op de hoogte over de actualiteit ivm de AVG
Schrijf in op onze gratis nieuwsbrief (selecteer "AVG en privacy")

 

Inhoudstafel Algemene Verordening Gegevensbescherming (AVG)

HOOFDSTUK I: Algemene bepalingen

Artikel 1 GDPR: Onderwerp en doelstellingen
Artikel 2 GDPR: Materieel toepassingsgebied
Artikel 3 GDPR: Territoriaal toepassingsgebied
Artikel 4 GDPR: Definities

HOOFDSTUK II: Beginselen

Artikel 5 GDPR: Beginselen inzake verwerking van persoonsgegevens
Artikel 6 GDPR: Rechtmatigheid van de verwerking
Artikel 7 GDPR: Voorwaarden voor toestemming
Artikel 8 GDPR: Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
Artikel 9 GDPR: Verwerking van bijzondere categorieën van persoonsgegevens
Artikel 10 GDPR: Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten
Artikel 11 GDPR: Verwerking waarvoor identificatie niet is vereist

HOOFDSTUK III: Rechten van de betrokkene

Afdeling 1: Transparantie en regelingen

Artikel 12 GDPR: Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

Afdeling 2: Informatie en toegang tot persoonsgegevens

Artikel 13 GDPR: Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
Artikel 14 GDPR: Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen
Artikel 15 GDPR: Recht van inzage van de betrokkene

Afdeling 3: Rectificatie en wissing van gegevens

Artikel 16 GDPR: Recht op rectificatie
Artikel 17 GDPR: Recht op gegevenswissing („recht op vergetelheid”)
Artikel 18 GDPR: Recht op beperking van de verwerking
Artikel 19 GDPR: Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking
Artikel 20 GDPR: Recht op overdraagbaarheid van gegevens

Afdeling 4: Recht van bezwaar en geautomatiseerde individuele besluitvorming

Artikel 21 GDPR: Recht van bezwaar
Artikel 22 GDPR: Geautomatiseerde individuele besluitvorming, waaronder profilering

Afdeling 5: Beperkingen
 

Artikel 23 GDPR: Beperkingen

HOOFDSTUK IV: Verwerkingsverantwoordelijke en verwerker

Afdeling 1: Algemene verplichtingen

Artikel 24 GDPR: Verantwoordelijkheid van de verwerkingsverantwoordelijke
Artikel 25 GDPR: Gegevensbescherming door ontwerp en door standaardinstellingen
Artikel 26 GDPR: Gezamenlijke verwerkingsverantwoordelijken
Artikel 27 GDPR: Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers
Artikel 28 GDPR: Verwerker
Artikel 29 GDPR: Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker
Artikel 30 GDPR: Register van de verwerkingsactiviteiten
Artikel 31 GDPR: Medewerking met de toezichthoudende autoriteit

Afdeling 2: Persoonsgegevensbeveiliging

Artikel 32 GDPR: Beveiliging van de verwerking
Artikel 33 GDPR: Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit
Artikel 34 GDPR: Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

Afdeling 3: Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Artikel 35 GDPR: Gegevensbeschermingseffectbeoordeling
Artikel 36 GDPR: Voorafgaande raadpleging

Afdeling 4: Functionaris voor gegevensbescherming

Artikel 37 GDPR: Aanwijzing van de functionaris voor gegevensbescherming
Artikel 38 GDPR: Positie van de functionaris voor gegevensbescherming
Artikel 39 GDPR: Taken van de functionaris voor gegevensbescherming

Afdeling 5: Gedragscodes en certificering

Artikel 40 GDPR: Gedragscodes
Artikel 41 GDPR: Toezicht op goedgekeurde gedragscodes
Artikel 42 GDPR: Certificering
Artikel 43 GDPR: Certificeringsorganen

HOOFDSTUK V: Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

Artikel 44 GDPR: Algemeen beginsel inzake doorgiften
Artikel 45 GDPR: Doorgiften op basis van adequaatheidsbesluiten
Artikel 46 GDPR: Doorgiften op basis van passende waarborgen
Artikel 47 GDPR: Bindende bedrijfsvoorschriften
Artikel 48 GDPR: Niet bij Unierecht toegestane doorgiften of verstrekkingen
Artikel 49 GDPR: Afwijkingen voor specifieke situaties
Artikel 50 GDPR: Internationale samenwerking voor de bescherming van persoonsgegevens

HOOFDSTUK VI: Onafhankelijke toezichthoudende autoriteiten

Afdeling 1: Onafhankelijkheid

Artikel 51 GDPR: Toezichthoudende autoriteit
Artikel 52 GDPR: Onafhankelijkheid
Artikel 53 GDPR: Algemene voorwaarden voor de leden van de toezichthoudende autoriteit
Artikel 54 GDPR: Regels inzake de oprichting van de toezichthoudende autoriteit

Afdeling 2: Competentie, taken en bevoegdheden

Artikel 55 GDPR: Competentie
Artikel 56 GDPR: Competentie van de leidende toezichthoudende autoriteit
Artikel 57 GDPR: Taken
Artikel 58 GDPR: Bevoegdheden
Artikel 59 GDPR: Activiteitenverslagen

HOOFDSTUK VII: Samenwerking en coherentie

Afdeling 1: Samenwerking

Artikel 60 GDPR: Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten
Artikel 61 GDPR: Wederzijdse bijstand
Artikel 62 GDPR: Gezamenlijke werkzaamheden van toezichthoudende autoriteiten

Afdeling 2: Coherentie

Artikel 63 GDPR: Coherentiemechanisme
Artikel 64 GDPR: Advies van het Comité
Artikel 65 GDPR: Geschillenbeslechting door het Comité
Artikel 66 GDPR: Spoedprocedure
Artikel 67 GDPR: Uitwisseling van informatie

Afdeling 3: Europees Comité voor gegevensbescherming

Artikel 68 GDPR: Europees Comité voor gegevensbescherming
Artikel 69 GDPR: Onafhankelijkheid
Artikel 70 GDPR: Taken van het Comité
Artikel 71 GDPR: Rapportage
Artikel 72 GDPR: Procedure
Artikel 73 GDPR: Voorzitter
Artikel 74 GDPR: Taken van de voorzitter
Artikel 75 GDPR: Secretariaat
Artikel 76 GDPR: Vertrouwelijkheid

HOOFDSTUK VIII: Beroep, aansprakelijkheid en sancties

Artikel 77 GDPR: Recht om klacht in te dienen bij een toezichthoudende autoriteit
Artikel 78 GDPR: Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit
Artikel 79 GDPR: Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker
Artikel 80 GDPR: Vertegenwoordiging van betrokkenen
Artikel 81 GDPR: Schorsing van de procedure
Artikel 82 GDPR: Recht op schadevergoeding en aansprakelijkheid
Artikel 83 GDPR: Algemene voorwaarden voor het opleggen van administratieve geldboeten
Artikel 84 GDPR: Sancties

HOOFDSTUK IX: Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking

Artikel 85 GDPR: Verwerking en vrijheid van meningsuiting en van informatie
Artikel 86 GDPR: Verwerking en recht van toegang van het publiek tot officiële documenten
Artikel 87 GDPR: Verwerking van het nationaal identificatienummer
Artikel 88 GDPR: Verwerking in het kader van de arbeidsverhouding
Artikel 89 GDPR: Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
Artikel 90 GDPR: Geheimhoudingsplicht
Artikel 91 GDPR: Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen

HOOFDSTUK X: Gedelegeerde handelingen en uitvoeringshandelingen

Artikel 92 GDPR: Uitoefening van de bevoegdheidsdelegatie
Artikel 93 GDPR: Comitéprocedure

HOOFDSTUK XI: Slotbepalingen

Artikel 94 GDPR: Intrekking van Richtlijn 95/46/EG
Artikel 95 GDPR: Verhouding tot Richtlijn 2002/58/EG
Artikel 96 GDPR: Verhouding tot eerder gesloten overeenkomsten
Artikel 97 GDPR: Commissieverslagen
Artikel 98 GDPR: Toetsing van andere Unierechtshandelingen inzake gegevensbescherming
Artikel 99 GDPR: Inwerkingtreding en toepassing