AVG: Wanneer is deze van toepassing?

Privacy grondrechten

De bescherming van persoonsgegevens is een van de grondrechten die we als EU-burgers hebben. Maar dit gaat nog niet over al onze privacy. We hebben ook meer algemeen het recht op een privéleven, recht op communicatie, maar ook weer het recht op vrijheid van meningsuiting en recht op vrijheid van ondernemerschap, die niet altijd even goed samengaan met privacy.

Geautomatiseerde verwerkingen en bestanden

De AVG is bovendien alleen van toepassing op geautomatiseerde verwerkingen van persoonsgegevens en op alle persoonsgegevens in een bestand of die bestemd zijn om in een bestand te worden opgenomen.

Denk bijvoorbeeld aan een CRM systeem, digitale (personeels)dossiers, bestellingen in de webshop, offertes en facturen, maar ook de Rolodex die nog op het bureau staat van de directeur zonder computer. Gestructureerde, handgeschreven notities, vallen er ook onder. Net zoals de (geordende) ordnerkast.

Wat er dan weer niet onder valt is die losse notitie die ergens rondslingert. Dat is namelijk niet geautomatiseerd én het is geen bestand en ook niet bedoeld om in een bestand op te nemen.

Zuiver persoonlijke of huishoudelijke activiteit

Het verwerken van persoonsgegevens voor een zuiver persoonlijke of huishoudelijke activiteit, door een natuurlijk persoon, vallen er ook buiten.

Denk aan de huishoudkalender, waar precies in vermeld staat welk kind op welke dag en welk tijdstip naar welke sportvereniging moet, wanneer de man des huizes mannenavond heeft en wanneer het vriendinnenweekend gepland staat. Alle familiefoto’s, dronken selfies met vrienden in de kroeg, persoonlijke whatsappjes, DM’s en e-mails zijn ook allemaal zuiver persoonlijke verwerkingen van persoonsgegevens en vallen dus buiten de AVG.

Persoonlijke activiteit op het werk

Persoonlijke aantekeningen op het werk, zoals een beperkt adressenlijstje met mensen waarmee je regelmatig contact hebt, worden ook gezien als persoonlijke activiteit, volgens de parlementaire geschiedenis.

Social media gebruik en publiceren op internet

Het gebruik van afgeschermde social media accounts wordt ook gezien als een persoonlijke activiteit. De kring van personen die de foto’s kan zien, moet een beperkte groep mensen zijn en blijven.

Let wel op dat het moet blijven gaan om een natuurlijk persoon. Een afgeschermde groep of pagina die door een onderneming, stichting of vereniging beheerd wordt is dus al geen persoonlijke activiteit meer.

Wanneer een natuurlijk persoon de persoonsgegevens van een ander, waaronder dus foto’s en namen en adressen, openbaar op internet publiceert, waardoor het voor iedereen toegankelijk is, valt het niet meer onder een persoonlijke activiteit of huishoudelijk gebruik.

Gevestigd in de EU

Is de verwerkersverantwoordelijke of de verwerker gevestigd in de EU, dan is de AVG op de verwerkingen van toepassing, óók als de verwerkingen feitelijk buiten de EU/EER plaatsvinden.

Als bijvoorbeeld een Nederlands bedrijf in de VS persoonsgegevens verwerkt, dan is toch de AVG daarop van toepassing.

Als juist de betrokkene, de persoon van wie de persoonsgegevens zijn, in de EU woont, dan is de AVG ook van toepassing, zelfs als het bedrijf dat verwerkt buiten de EU gevestigd is. Dat bedrijf moet dan wel de producten of diensten hebben aangeboden aan de EU-burger. Dat bijvoorbeeld een website nu eenmaal voor iedereen toegankelijk is en ze toestaan dat iedereen er producten of diensten besteld is nog niet voldoende. Het moet bijvoorbeeld blijken uit de gebruikte taal, valuta en de inhoud van de tekst zelf of het bedoeld was om ook EU burgers aan te trekken om de dienst of het product te kopen.

Monitoring, tracking en profilering

Worden EU-burgers online gemonitord, worden ze ‘getrackt’ en worden er online profielen van ze gebouwd, dan maakt ook niet uit waar het bedrijf gevestigd is. Het gaat om de handelingen die ze verrichten.

Meer weten over de AVG? Hulp nodig bij het opstellen van de documenten? Kom oploskoffie drinken!

Mail voor Oploskoffie!