Rina Steenkamp - Privacy en technologie

Mijn geannoteerde Wbp

Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens

Paragraaf 1. De verwerking van persoonsgegevens in het algemeen

Artikel 11 [Kwaliteit gegevens: toereikend, relevant, niet bovenmatig, nauwkeurig]

Artikel 11

  1. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
  2. De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.

Richtlijn 95/46/EG

Artikel 6 lid 1 sub c (artikel 11 lid 1 Wbp)

[1. De Lid-Staten bepalen dat de persoonsgegevens:]

c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt

Artikel 6 lid 1 sub d (Artikel 11 lid 2 Wbp)

[1. De Lid-Staten bepalen dat de persoonsgegevens:]

d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren

Memorie van Toelichting

Het doel waarvoor de gegevens zijn verzameld en vervolgens worden verwerkt, is bepalend voor de hoeveelheid en de soort gegevens die onderwerp van verwerking vormen. De gegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn (eerste lid). Tevens dienen persoonsgegevens juist en nauwkeurig te zijn (tweede lid).
Het artikel legt op degene die de gegevens verwerkt een continue verplichting tot toetsing. Elke keer dat gegevens bij voorbeeld worden verwerkt voor een ander – met het oorspronkelijk doel verenigbaar – doel dient immers de toets die dit artikel voorschrijft, plaats te vinden. Ook is het mogelijk dat de (oorspronkelijke) doelbinding in de loop der tijden op een andere wijze wordt geļnterpreteerd hetgeen gevolgen kan hebben voor de gegevens die ten behoeve van dat doel mogen worden verwerkt.

Eerste lid

Het eerste lid is een uitwerking van artikel 6, eerste lid, onderdeel c, van de richtlijn. De gegevens dienen, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig te zijn. In dit lid is de norm van artikel 5, eerste lid, van de WPR geļncorporeerd.
Indien de verantwoordelijke een zo beperkt aantal gegevens verwerkt dat in redelijkheid niet kan worden gezegd dat hij daarmee, gelet op de doeleinde waarvoor hij de gegevens wenst te verwerken, een juist beeld van de betrokkene heeft, overtreedt hij het voorschrift dat de gegevens met het oog op het doel waarvoor ze worden verwerkt, toereikend dienen te zijn. Als voorbeeld kan worden genoemd de registratie van het gegeven dat betrokkene niet betaald heeft voor een bepaald produkt zonder daarbij te vermelden dat dit niet betalen te wijten is aan het feit dat die betrokkene niet tevreden is met dit produkt en om die reden de betaling heeft opgeschort. Eveneens kan in dit kader worden gedacht aan het verzuimen van het aanbrengen van de herstelcodes in het BKR.
Daar staat tegenover dat de gegevens die worden verwerkt evenmin met het oog op het doel waarvoor ze worden verwerkt bovenmatig mogen zijn. De winkelier die ten behoeve van de bestrijding van winkeldiefstal een registratie opzet van personen die hij heeft betrapt op winkeldiefstal zal in de regel niet behoeven te registreren welke goederen door de betrokkene uit zijn winkel zijn ontvreemd, wel bij voorbeeld de waarde daarvan.
Tot slot dienen de gegevens met het oog op de doeleinde waarvoor ze worden verwerkt ter zake dienend te zijn. De boven reeds aangehaalde winkelier mag bij voorbeeld geen gegevens omtrent het (legale) koopgedrag van de betrokken persoon in zijn registratie opslaan.

Tweede lid

Het tweede lid is een uitwerking van artikel 6, eerste lid, onderdeel d, van de richtlijn. Het voorschrift gaat meer uit van een inspanningsverplichting voor de verantwoordelijke dan het eerstgenoemde: de verantwoordelijke moet de nodige maatregelen treffen opdat de gegevens juist en nauwkeurig zijn. Op hem wordt geen absolute verplichting gelegd. Een garantie voor de juistheid van gegevens kan van hem niet worden gevergd. De juistheid van de gegevens wordt mede bepaald door de context waarin ze worden gebruikt (zie ook de toelichting op het begrip 'verantwoordelijke' in artikel 1, onder d). Een bank die voor de uitvoering van een betalingsopdracht gegevens in moet voeren in een berichtenveld is gehouden de gegevens in te voeren zoals die door de opdrachtgever worden aangereikt en heeft niet de verplichting de gegevens nader te verifiėren. Dit geldt ook voor de verantwoordelijke die verplicht is de gegevens op te nemen zoals die uit een notariėle akte blijken.
Met 'nodige' maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in redelijkheid kunnen worden gevergd. De redelijkheid stelt daarbij, afhankelijk van bij voorbeeld de soort gegevens die onderwerp van verwerking zijn, de stand van techniek en de kosten die met de maatregelen gepaard gaan, grenzen aan de te nemen maatregelen. Dit voorschrift sluit aan bij artikel 5, tweede lid, van de WPR.

[MvT, pagina 96-97]

Menu | Mijn geannoteerde Wbp | Hoofdstuk 2, Paragraaf 1 | Terug | Verder | Externe links | Meta | Contact | English

Al het oorspronkelijke werk op deze website © 2007-2011 Rina Steenkamp.