Versiegeschiedenis

Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen

Versie 2.0

8 oktober 2019

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0	8 oktober 2019	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	9 april 2019	Vaststelling van de richtsnoeren voor openbare raadpleging

1

Deel 1 - Inleiding:............................................................................................................................ 4

1.1	Achtergrond............................................................................................................................. 4
1.2	Toepassingsgebied van deze richtsnoeren.............................................................................. 5
2	Deel 2 - Analyse van artikel 6, lid 1, onder b)................................................................................. 6
2.1	Algemene opmerkingen........................................................................................................... 6
2.2	Wisselwerking van artikel 6, lid 1, onder b) met andere rechtmatige grondslagen voor verwerking ............................................................................................................................... 7
2.3	Reikwijdte van artikel 6, lid 1, onder b)................................................................................... 9
2.4	Noodzaak ................................................................................................................................. 9
2.5	Noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene ...................... 10
2.6	Beëindiging van een overeenkomst....................................................................................... 13
2.7	Noodzakelijk om maatregelen te nemen vóór de sluiting van een overeenkomst............... 15
3	Deel 3 - Toepasselijkheid van artikel 6, lid 1, onder b) in specifieke situaties ............................. 16
3.1	Verwerking voor de 'verbetering van diensten'................................................................... 16
3.2	Verwerking voor 'fraudebestrijding' .................................................................................... 16
3.3	Verwerking voor advertenties op basis van surfgedrag ('behavioural advertisement')...... 16
3.4	Verwerking voor de personalisatie van inhoud..................................................................... 18

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, onder e) van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 DEEL 1 - INLEIDING:

1.1 Achtergrond

1. Overeenkomstig artikel 8 van het Handvest van de grondrechten van de Europese Unie moeten persoonsgegevens eerlijk worden verwerkt voor bepaalde doeleinden en op basis van een gerechtvaardigde grondslag waarin de wet voorziet. In dit verband wordt in artikel 6, lid 1 van de algemene verordening gegevensbescherming 1 (AVG) gespecificeerd dat de verwerking alleen rechtmatig is indien deze wordt uitgevoerd op basis van een van de zes in artikel 6, lid 1, onder a) tot en met f), gespecificeerde voorwaarden. Vaststellen wat de geschikte rechtsgrondslag is die correspondeert met het doel en de essentie van de verwerking is van essentieel belang. Verwerkingsverantwoordelijken moeten onder andere rekening houden met de impact op de rechten van de betrokkene wanneer zij de passende rechtsgrondslag vaststellen, om zo het eerlijkheidsbeginsel te eerbiedigen.
2. Artikel 6, lid 1, onder b) van de AVG voorziet in een rechtsgrondslag voor de verwerking van persoonsgegevens indien de 'verwerking noodzakelijk [is] voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen'. 2 Dit ondersteunt de vrijheid van ondernemerschap, die wordt gegarandeerd in artikel 16 van het Handvest en is een afspiegeling van het feit dat contractuele verplichtingen jegens een betrokkene soms niet kunnen worden uitgevoerd zonder dat de betrokkene bepaalde persoonsgegevens verstrekt. Indien de specifieke verwerking onderdeel vormt van de verlening van de gevraagde dienst, is het in het belang van beide partijen om die gegevens te verwerken, aangezien de dienst anders niet kan worden verleend en de overeenkomst niet kan worden uitgevoerd. Het feit dat de verwerkingsverantwoordelijke een beroep kan doen op deze of een van de andere in artikel 6, lid 1 vermelde grondslagen, betekent niet dat hij is vrijgesteld van de naleving van de andere vereisten in de AVG.
3. In de artikelen 56 en 57 van het Verdrag betreffende de werking van de Europese Unie wordt het vrije verkeer van diensten binnen de Europese Unie gedefinieerd en gereguleerd. Er zijn specifieke wettelijke maatregelen op het niveau van de Unie vastgesteld met betrekking tot 'diensten van de informatiemaatschappij'. 3 Deze diensten worden gedefinieerd als 'elke dienst die gewoonlijk tegen

2 Zie ook overweging 44.

vergoeding, op afstand, langs elektronische weg en op individueel verzoek van een afnemer van diensten wordt aangeboden'. Deze definitie is ook van toepassing op diensten die niet rechtstreeks worden betaald door de personen die deze ontvangen 4 , zoals onlinediensten die worden gefinancierd door middel van advertenties. De term 'onlinediensten' zoals deze in deze richtsnoeren wordt gebruikt, verwijst naar 'diensten van de informatiemaatschappij'.

4. De ontwikkeling van het Unierecht laat het centrale belang zien van onlinediensten in de moderne samenleving. De toename van mobiel internet dat altijd beschikbaar is en de brede beschikbaarheid van verbonden apparaten hebben de ontwikkeling van onlinediensten mogelijk gemaakt op gebieden als sociale media, elektronische handel, internetzoeken, communicatie en reizen. Sommige van deze diensten worden gefinancierd door betaling door gebruikers, terwijl andere diensten worden verleend zonder geldelijke betaling door de consument, maar in plaats daarvan worden gefinancierd door de verkoop van onlineadvertentiediensten die specifiek kunnen worden gericht op betrokkenen. Het bijhouden van het gedrag van gebruikers ten behoeve van dergelijke advertenties, wordt vaak uitgevoerd op een manier waardoor de gebruiker zich er niet van bewust is 5 en het is ook niet altijd meteen duidelijk op grond van de aard van de verleende dienst, waardoor het voor de betrokkene in de praktijk bijna onmogelijk is om een geïnformeerde keuze te maken over het gebruik van zijn of haar gegevens.
5. Gelet op het voorgaande, is het Europees Comité voor gegevensbescherming 6 (EDPB) van mening dat het passend is om richtsnoeren te verstrekken over de toepasselijkheid van artikel 6, lid 1, onder b), op de verwerking van persoonsgegevens in het kader van onlinediensten, om ervoor te zorgen dat deze rechtsgrondslag alleen wordt gebruikt als dat passend is.
6. De Groep artikel 29 (WP29) heeft eerder adviezen verstrekt over de grondslag van contractuele noodzaak overeenkomstig Richtlijn 95/46/EG in haar advies over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' 7 . Die adviezen blijven over het algemeen relevant voor artikel 6, lid 1, onder b), en voor de AVG.

1.2 Toepassingsgebied van deze richtsnoeren

7. Deze richtsnoeren hebben betrekking op de toepasselijkheid van artikel 6, lid 1, onder b), op de verwerking van persoonsgegevens in het kader van overeenkomsten voor onlinediensten, ongeacht hoe deze diensten worden gefinancierd. In deze richtsnoeren worden de elementen beschreven van de rechtmatige verwerking overeenkomstig artikel 6, lid 1, onder b) van de AVG en wordt het begrip 'noodzaak' toegelicht voor zover dat van toepassing is op 'noodzakelijk voor de uitvoering van een overeenkomst'.
8. De regels inzake gegevensbescherming zijn van toepassing op belangrijke aspecten van de manier waarop onlinediensten omgaan met hun gebruikers, maar er zijn ook andere regels van toepassing. De regulering van onlinediensten heeft betrekking op functieoverschrijdende verantwoordelijkheden op het gebied van, onder andere, wetgeving inzake consumentenbescherming en

6 Opgericht overeenkomstig artikel 68 van de AVG.

5 Verwerkingsverantwoordelijken moeten in dit verband voldoen aan de transparantieverplichtingen zoals deze zijn vastgesteld in de AVG.

mededingingswetgeving. Deze rechtsgebieden worden bij deze richtsnoeren buiten beschouwing gelaten.

9. Hoewel artikel 6, lid 1, onder b) alleen van toepassing kan zijn in het kader van een overeenkomst, geven deze richtsnoeren geen oordeel over de geldigheid van overeenkomsten voor onlinediensten in het algemeen, aangezien dit buiten de bevoegdheid van het EDPB valt. Desalniettemin moeten overeenkomsten en contractuele voorwaarden voldoen aan de vereisten van het contractenrecht en, in het geval van consumentenovereenkomsten, wetgeving inzake consumentenbescherming op basis van deze voorwaarden om als eerlijk en rechtmatig te worden beschouwd.
10. Hieronder komen enkele algemene opmerkingen over beginselen op het gebied van gegevensbescherming aan bod, maar niet alle problemen op het gebied van gegevensbescherming die zich kunnen voordoen bij verwerking op grond van artikel 6, lid 1, onder b) worden uitgewerkt. Verwerkingsverantwoordelijken moeten er altijd voor zorgen dat ze voldoen aan de beginselen voor gegevensbescherming zoals beschreven in artikel 5 en alle andere vereisten van de AVG en, indien van toepassing, de e-privacywetgeving.

2 DEEL 2 - ANALYSE VAN ARTIKEL 6, LID 1, ONDER B)

2.1 Algemene opmerkingen

11. De rechtmatige grondslag voor verwerking op basis van artikel 6, lid 1, onder b) moet worden bekeken in het kader van de AVG als geheel, de in artikel 1 beschreven doelstellingen, in aanvulling op de verplichting van verwerkingsverantwoordelijken om persoonsgegevens te verwerken in overeenstemming met de beginselen inzake gegevensbescherming overeenkomstig artikel 5. Dit bestaat onder meer uit de verwerking van persoonsgegevens op een eerlijke en transparante wijze en in overeenstemming met de verplichtingen op het gebied van doelbinding en minimale gegevensverwerking.
12. In artikel 5, lid 1, onder a) van de AVG is bepaald dat persoonsgegevens ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant moeten worden verwerkt. Het beginsel van behoorlijkheid omvat onder andere rekening houden met de redelijke verwachtingen 8 van de betrokkenen, met mogelijke negatieve gevolgen die de verwerking voor de betrokkenen kan hebben en met de relatie en mogelijke gevolgen van een wanverhouding tussen de betrokkenen en de verwerkingsverantwoordelijke.
13. Zoals gezegd moeten overeenkomsten voor onlinediensten, om rechtmatig te zijn, geldig zijn overeenkomstig het toepasselijke verbintenissenrecht. Een voorbeeld van een relevante factor is of de betrokkene een kind is. In dat geval (en in aanvulling op de naleving van de vereisten van de AVG, waaronder de 'specifieke bescherming' die van toepassing is op kinderen 9 ), moet de verwerkingsverantwoordelijke waarborgen dat hij voldoet aan de toepasselijke nationale wetgeving inzake het vermogen van kinderen om een overeenkomst aan te gaan. Daarnaast moet de verwerkingsverantwoordelijke, om naleving van de beginselen van behoorlijkheid en rechtmatigheid

8 Van sommige persoonsgegevens wordt verwacht dat ze privé zijn of alleen worden verwerkt op bepaalde wijzen, en de gegevensverwerking mag niet onverwacht zijn voor de betrokkene. In de AVG wordt in de overwegingen 47 en 50 specifiek verwezen naar het begrip 'redelijke verwachtingen' in verband met artikel 6, lid 1, onder f), en lid 4.

te verzekeren, voldoen aan andere wettelijke vereisten. Op consumentenovereenkomsten kan bijvoorbeeld Richtlijn 93/13/EEG betreffende oneerlijke bedingen in consumentenovereenkomsten ('richtlijn oneerlijke bedingen in overeenkomsten') van toepassing zijn. 10 Artikel 6, lid 1, onder b) is niet beperkt tot overeenkomsten waarop de wetgeving van een lidstaat van de EER van toepassing is. 11

14. In artikel 5, lid 1, onder b) van de AVG wordt voorzien in het doelbindingsbeginsel, dat vereist dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt.
15. In artikel 5, lid 1, onder c) wordt voorzien in minimale gegevensverwerking als beginsel, wat inhoudt dat zo min mogelijk gegevens moeten worden verwerkt om de doelstelling te bereiken. Deze beoordeling vormt een aanvulling op de noodzakelijkheidsbeoordelingen overeenkomstig artikel 6, lid 1, onder b) tot en met f).
16. Zowel de beginselen op het gebied van doelbinding als de minimale gegevensverwerking zijn bijzonder relevant in overeenkomsten voor onlinediensten, waarover in het algemeen niet afzonderlijk wordt onderhandeld. Technologische ontwikkelingen maken het voor verwerkingsverantwoordelijken mogelijk om op eenvoudige wijze meer persoonsgegevens te verzamelen en verwerken dan ooit tevoren. Als gevolg daarvan bestaat er een acuut risico dat verwerkingsverantwoordelijken kunnen proberen algemene verwerkingsbedingen op te nemen in overeenkomsten om zo de mogelijke verzameling en het mogelijke gebruik van gegevens te maximaliseren, zonder dat deze doeleinden in voldoende mate worden gespecificeerd of rekening wordt gehouden met de verplichtingen op het gebied van minimale gegevensverwerking. De WP29 heeft al eerder het volgende verklaard:

Het doel van de verzameling moet duidelijk en specifiek worden vermeld: deze vermelding moet gedetailleerd genoeg zijn om te kunnen vaststellen welke soorten verwerking wel en niet vallen onder de opgegeven doelstelling en om de beoordeling van de naleving van de wetgeving en de toegepaste beschermingsmaatregelen op het gebied van gegevensbescherming mogelijk te maken. Daarom zal een doelstelling die vaag of algemeen is, zoals bijvoorbeeld 'verbetering van de gebruikerservaring', 'marketingdoeleinden', 'IT-beveiligingsdoeleinden' of 'toekomstig onderzoek', meestal niet voldoen aan het criterium 'specifiek'. 12

2.2 Wisselwerking van artikel 6, lid 1, onder b) met andere rechtmatige grondslagen voor verwerking

17. Wanneer de verwerking niet als 'noodzakelijk voor de uitvoering van een overeenkomst' wordt beschouwd, dat wil zeggen wanneer een gevraagde dienst kan worden verleend zonder dat de specifieke verwerking plaatsvindt, erkent het EDPB dat er een andere rechtmatige grondslag van

12 Advies 03/2013 van de Groep artikel 29 over doelbinding (WP203), blz. 15-16 (alleen in de Engelse taal beschikbaar).

toepassing kan zijn, mits aan de toepasselijke voorwaarden wordt voldaan. Het kan met name in sommige omstandigheden passender zijn om te vertrouwen op de vrijwillig verleende toestemming op grond van artikel 6, lid 1, onder a). In andere gevallen kan artikel 6, lid 1, onder f), een passendere rechtmatige grondslag voor de verwerking bieden. De rechtsgrondslag moet aan het begin van de verwerking worden geïdentificeerd en in de informatie die overeenkomstig de artikelen 13 en 14 aan betrokkenen wordt verstrekt, moet de rechtsgrondslag worden vermeld.

18. Het is mogelijk dat een andere rechtsgrondslag dan artikel 6, lid 1, onder b), beter past bij de doelstelling en context van de betreffende verwerkingsactiviteit. De identificatie van de passende rechtmatige grondslag is gebonden aan de beginselen van behoorlijkheid en doelbinding. 13
19. In de richtsnoeren van de WP29 inzake toestemming wordt ook toegelicht dat als 'een verwerkingsverantwoordelijke persoonsgegevens wil verwerken die in feite noodzakelijk zijn voor de uitvoering van een overeenkomst, toestemming [dan] niet de passende rechtsgrond [is]'. Omgekeerd is het EDPB van mening dat wanneer verwerking feitelijk niet noodzakelijk is voor de uitvoering van een overeenkomst, deze verwerking alleen kan plaatsvinden als wordt vertrouwd op een andere passende rechtsgrondslag. 14
20. Net als bij hun transparantieverplichtingen moeten verwerkingsverantwoordelijken ervoor zorgen dat er geen verwarring bestaat over wat de toepasselijke rechtsgrondslag is. Dit is met name relevant wanneer de betreffende rechtsgrondslag wordt gevormd door artikel 6, lid 1 onder b), en betrokkenen een overeenkomst voor onlinediensten aangaan. Afhankelijk van de omstandigheden kunnen betrokkenen verkeerdelijk de indruk krijgen dat zij hun toestemming geven overeenkomstig artikel 6, lid 1, onder a), wanneer zij een overeenkomst ondertekenen of akkoord gaan met servicevoorwaarden. Tegelijkertijd kan een verwerkingsverantwoordelijke er verkeerdelijk van uitgaan dat de ondertekening van een overeenkomst gelijk staat aan een toestemming in de zin van artikel 6, lid 1, onder a). Dit zijn echter compleet verschillende concepten. Het is belangrijk om een onderscheid te maken tussen akkoord gaan met servicevoorwaarden om een overeenkomst aan te gaan, en toestemming geven in de zin van artikel 6, lid 1, onder a), aangezien voor deze concepten verschillende vereisten gelden en ze verschillende juridische gevolgen hebben.
21. In de richtsnoeren inzake toestemming heeft de WP29 in verband met de verwerking van bijzondere categorieën van persoonsgegevens ook het volgende opgemerkt:

Artikel 9, lid 2 erkent 'noodzakelijk voor de uitvoering van een overeenkomst' niet als een uitzondering op het algemene verbod op verwerking van bijzondere categorieën gegevens. Daarom moeten verwerkingsverantwoordelijken en lidstaten die met deze situatie te maken krijgen, bekijken of een van de specifieke uitzonderingen in artikel 9, lid 2, onder b) tot en met j) van toepassing is. Indien geen van de uitzonderingen onder b) tot en met j) van toepassing is, is het verkrijgen van uitdrukkelijke toestemming overeenkomstig de voorwaarden voor geldige toestemming in de AVG de enige mogelijke rechtmatige uitzondering om deze gegevens te verwerken. 15

13 Wanneer verwerkingsverantwoordelijken de passende rechtsgrondslag identificeren in overeenstemming met het behoorlijkheidsbeginsel, zal dit moeilijk zijn als ze niet eerst duidelijk de doeleinden van de verwerking hebben bepaald of wanneer de verwerking van de persoonsgegevens verder gaat dan noodzakelijk is voor de opgegeven doeleinden.

15 Richtsnoeren van de WP29 inzake toestemming overeenkomstig Verordening 2016/679 (WP259), goedgekeurd door het EDPB, blz. 22.

2.3 Reikwijdte van artikel 6, lid 1, onder b)

22. Artikel 6, lid 1, onder b) is van toepassing wanneer aan een van de volgende twee voorwaarden wordt voldaan: de verwerking moet objectief gezien noodzakelijk zijn voor de uitvoering van een overeenkomst met de betrokkene of de verwerking moet objectief gezien noodzakelijk zijn om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.

2.4 Noodzaak

23. De noodzaak van de verwerking is een voorwaarde voor beide onderdelen van artikel 6, lid 1, onder b). Vanaf het begin moet worden opgemerkt dat het begrip 'noodzakelijk voor de uitvoering van een overeenkomst' niet eenvoudigweg een beoordeling is van wat is toegestaan of opgenomen in de voorwaarden van een overeenkomst. Het begrip 'noodzakelijkheid' heeft in het Unierecht een onafhankelijke betekenis, die de doelstellingen van de gegevensbeschermingswetgeving moet weergeven 16 . Daarom heeft dit ook betrekking op overwegingen ten aanzien van het grondrecht op bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens 17 , evenals de vereisten inzake de beginselen op het gebied van gegevensbescherming, met name het behoorlijkheidsbeginsel.
24. Er moet worden begonnen met de identificatie van het doeleinde van de verwerking en in het kader van een contractuele relatie kunnen er verschillende doeleinden bestaan voor verwerking. Deze doeleinden moeten duidelijk worden gespecificeerd en meegedeeld aan de betrokkene, in overeenstemming met de verplichtingen van de verwerkingsverantwoordelijke op het gebied van doelbinding en transparantie.
25. Voor de beoordeling van wat 'noodzakelijk' is, moet een gecombineerde op feiten gebaseerde beoordeling van de verwerking voor het beoogde doeleinde, en of deze minder indringend is in vergelijking met andere opties voor het bereiken van hetzelfde doel worden uitgevoerd. 18 Als er realistische, minder indringende alternatieven zijn, is de verwerking niet 'noodzakelijk'. 19 Artikel 6, lid 1, onder b) is niet van toepassing op verwerking die nuttig is, maar niet objectief gezien noodzakelijk voor de uitvoering van een contractuele dienst of voor het op verzoek van de betrokkene nemen van maatregelen vóór de sluiting van de overeenkomst, zelfs als dit noodzakelijk is voor de andere zakelijke doeleinden van de verwerkingsverantwoordelijke.

2.5 Noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene

26. Een verwerkingsverantwoordelijke kan gebruikmaken van de eerste optie in artikel 6, lid 1, onder b), om persoonsgegevens te verwerken wanneer hij, in overeenstemming met de verantwoordingsplicht op grond van artikel 5, lid 2, kan aantonen dat de verwerking plaatsvindt in het kader van een geldige overeenkomst met de betrokkenen en dat de verwerking noodzakelijk is om die specifieke overeenkomst met de betrokkene uit te kunnen voeren. Wanneer een verwerkingsverantwoordelijke niet kan aantonen dat (a) er sprake is van een overeenkomst, (b) de overeenkomst geldig is overeenkomstig het toepasselijke nationale verbintenissenrecht en (c) de verwerking noodzakelijk is voor de uitvoering van de overeenkomst, moet de verwerkingsverantwoordelijke een andere rechtsgrondslag voor de verwerking zoeken.
27. Slechts de verwijzing of vermelding van gegevensverwerking in een overeenkomst is niet voldoende om de betreffende verwerking te laten vallen binnen de reikwijdte van artikel 6, lid 1, onder b). De verwerking kan daarentegen objectief gezien noodzakelijk zijn, ook als deze niet specifiek in de overeenkomst is vermeld. De verwerkingsverantwoordelijke moet in elk geval aan zijn transparantieverplichtingen voldoen. Wanneer een verwerkingsverantwoordelijke wil aantonen dat de verwerking is gebaseerd op de uitvoering van een overeenkomst met de betrokkene, is het van belang te beoordelen wat objectief gezien noodzakelijk is om de overeenkomst uit te voeren. Het begrip 'noodzakelijk voor de uitvoering' vereist duidelijk meer dan een contractuele bepaling. Dit wordt ook duidelijk gelet op artikel 7, lid 4. Hoewel deze bepaling alleen betrekking heeft op de geldigheid van de toestemming, wordt er een onderscheid verduidelijkt tussen verwerkingsactiviteiten die noodzakelijk zijn voor de uitvoering van een overeenkomst en bepalingen die bepaalde verwerkingsactiviteiten die feitelijk niet noodzakelijk zijn voor de uitvoering van de overeenkomst, als voorwaarde stellen voor de dienst.
28. In dit verband stemt het EDPB in met de eerder door de WP29 vastgestelde richtsnoeren over de equivalente bepaling in de voorgaande richtlijn, waarin staat dat 'noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene':

(…) strikt [moet] worden geïnterpreteerd en geen situaties [dekt] waarin de verwerking niet daadwerkelijk noodzakelijk is voor de uitvoering van een overeenkomst, maar eerder eenzijdig opgelegd aan de betrokkene door de voor de verwerking verantwoordelijke. Ook het feit dat de verwerking van bepaalde gegevens valt onder een overeenkomst houdt niet automatisch in dat de verwerking noodzakelijk is voor de uitvoering ervan. (…) Zelfs als deze verwerkingsactiviteiten specifiek worden vermeld in de kleine lettertjes van de overeenkomst, dan nog is dit feit alleen niet voldoende om de verwerking "noodzakelijk" te maken voor de uitvoering van de overeenkomst. 20

29. Het EDPB wijst ook op hetzelfde advies van de WP29, waarin het volgende staat:

Er bestaat hier een duidelijk verband tussen de beoordeling van de noodzaak en de naleving van het doelbindingsbeginsel. Het is van belang om de exacte achterliggende reden van de overeenkomst vast te stellen, d.w.z. de inhoud en de basisdoelstelling daarvan, aangezien dit zal worden gebruikt om te beoordelen of de gegevensverwerking noodzakelijk is voor de uitvoering. 21

21 Ibid., blz. 21.

30. Bij de beoordeling of artikel 6, lid 1, onder b) een geschikte rechtsgrondslag is voor verwerking in het kader van een contractuele onlinedienst, moet worden gekeken naar het specifieke doel, het doeleinde of de doelstelling van de dienst. Artikel 6, lid 1, onder b) is alleen toepasselijk als de verwerking objectief gezien noodzakelijk is voor een doeleinde dat integraal is voor de verlening van die contractuele dienst aan de betrokkene. De verwerking van betalingsgegevens voor de betaling voor de dienst is niet uitgesloten. De verwerkingsverantwoordelijke moet kunnen aantonen hoe het belangrijkste onderwerp van de specifieke overeenkomst met de betrokkene feitelijk niet kan worden uitgevoerd als de specifieke verwerking van de betreffende persoonsgegevens niet plaatsvindt. Het belangrijkste punt is hier de samenhang tussen de persoonsgegevens en de betreffende verwerkingsactiviteiten en het al dan niet uitvoeren van de in het kader van de overeenkomst verleende dienst.
31. Overeenkomsten voor digitale diensten kunnen uitdrukkelijke voorwaarden bevatten waarin aanvullende bepalingen worden opgelegd, onder meer inzake advertenties, betalingen of cookies. Een overeenkomst kan de categorieën van persoonsgegevens of de soorten verwerkingsactiviteiten die de verwerkingsverantwoordelijke moet uitvoeren voor de uitvoering van de overeenkomst in de zin van artikel 6, lid 1, onder b), niet kunstmatig uitbreiden.
32. De verwerkingsverantwoordelijke moet de noodzakelijkheid van de verwerking kunnen rechtvaardigen door te verwijzen naar de belangrijkste en wederzijds begrepen doelstelling van de overeenkomst. Dit is niet alleen afhankelijk van het perspectief van de verwerkingsverantwoordelijke, maar ook van het perspectief van een redelijke betrokkene wanneer deze de overeenkomst aangaat en of de overeenkomst nog steeds kan worden beschouwd als 'uitgevoerd' zonder de betreffende verwerking. Hoewel de verwerkingsverantwoordelijke van mening kan zijn dat de verwerking noodzakelijk is voor de doelstelling van de overeenkomst, is het van belang dat hij het perspectief van een gemiddelde betrokkene onderzoekt, om ervoor te zorgen dat er een daadwerkelijk wederzijds begrip bestaat ten aanzien van de doelstelling van de overeenkomst.
33. Bij de uitvoering van de beoordeling of artikel 6, lid 1, onder b) van toepassing is, kunnen de volgende vragen dienen als richtsnoeren:
34. GLYPH<UNKNOWN> Wat is de aard van de dienst die wordt verleend aan de betrokkene? Wat zijn de onderscheidende kenmerken ervan?
35. GLYPH<UNKNOWN> Wat is de exacte rationale van de overeenkomst (d.w.z. de wezenlijke inhoud en fundamentele doelstelling)?
36. GLYPH<UNKNOWN> Wat zijn de essentiële elementen van de overeenkomst?
37. GLYPH<UNKNOWN> Wat zijn de perspectieven en verwachtingen van beide partijen bij de overeenkomst? Hoe wordt de dienst gepromoot bij de betrokkene of hoe wordt ervoor reclame gemaakt? Zou een normale gebruiker van de dienst redelijkerwijs verwachten dat, gelet op de aard van de dienst, de beoogde verwerking zou plaatsvinden om de overeenkomst waar zij partij bij zijn, uit te voeren?
38. Als de beoordeling van wat 'noodzakelijk is voor de uitvoering van een overeenkomst', die moet worden uitgevoerd voorafgaand aan de verwerking, laat zien dat de beoogde verwerking verder gaat dan wat objectief gezien noodzakelijk is voor de uitvoering van een overeenkomst, zorgt dit er niet voor dat dergelijke verwerking in de toekomst per se onrechtmatig is. Zoals al is vermeld, maakt

• artikel 6 duidelijk dat er mogelijk andere rechtmatige grondslagen beschikbaar zijn voor de aanvang van de verwerking. 22

35. Indien tijdens de levensduur van een dienst nieuwe technologie wordt ingevoerd die een verandering teweegbrengt in de manier waarop persoonsgegevens worden verwerkt, of de dienst zich anderszins ontwikkelt, moeten de bovenstaande criteria opnieuw worden beoordeeld om vast te stellen of nieuwe of gewijzigde verwerkingsactiviteiten kunnen worden gebaseerd op artikel 6, lid 1, onder b).

Voorbeeld 1:

Een betrokkene koopt goederen bij een online detailhandelaar. De betrokkene wil met zijn creditcard betalen en wil dat de goederen op zijn thuisadres worden afgeleverd. Om aan de overeenkomst te voldoen, moet de detailhandelaar de creditcardgegevens en het factuuradres van de betrokkene verwerken voor betalingsdoeleinden en het thuisadres van de betrokkene voor de aflevering. Dientengevolge is artikel 6, lid 1, onder b) van toepassing als de rechtsgrond voor de verwerkingsactiviteiten.

Als de klant echter heeft gekozen voor verzending naar een ophaalpunt, dan is de verwerking van het thuisadres van de betrokkene niet langer noodzakelijk voor de uitvoering van de koopovereenkomst. Voor de eventuele verwerking van het adres van de betrokkene is in dit verband een andere rechtsgrondslag noodzakelijk dan artikel 6, lid 1, onder b).

Voorbeeld 2:

Dezelfde online detailhandelaar wil profielen samenstellen van de smaak en levensstijl van gebruikers op basis van hun bezoeken aan de website. De voltooiing van de koopovereenkomst is niet afhankelijk van de opbouw van dergelijke profielen. Zelfs als deze profilering specifiek wordt vermeld in de overeenkomst, dan is dit feit alleen niet voldoende om de verwerking 'noodzakelijk' te maken voor de uitvoering van de overeenkomst. Als de online detailhandelaar dergelijke profielen wil samenstellen, moet hij daarvoor een andere rechtsgrondslag gebruiken.

36. Binnen de grenzen van het verbintenissenrecht en, indien van toepassing, de consumentenwetgeving, staat het verwerkingsverantwoordelijken vrij om hun zakelijke activiteiten, diensten en overeenkomsten te ontwikkelen. In sommige gevallen wil een verwerkingsverantwoordelijke mogelijk verschillende afzonderlijke diensten of elementen van een dienst met verschillende wezenlijke doelstellingen, functies of rationales bundelen in één overeenkomst. Dit kan ertoe leiden dat betrokkenen moeten instemmen met de gehele bundel, terwijl ze mogelijk slechts geïnteresseerd zijn in een van de diensten.
37. Op grond van de gegevensbeschermingswetgeving moeten verwerkingsverantwoordelijken er rekening mee houden dat de beoogde verwerkingsactiviteiten een geschikte rechtsgrondslag moeten hebben. Wanneer de overeenkomst bestaat uit verschillende afzonderlijke diensten of elementen van een dienst die feitelijk redelijkerwijs ook onafhankelijk van elkaar kunnen worden uitgevoerd, rijst de

vraag of artikel 6, lid 1, onder b) kan dienen als rechtsgrondslag. De toepasselijkheid van artikel 6, lid 1, onder b) moet worden beoordeeld in het kader van elk van deze diensten afzonderlijk , waarbij wordt gekeken naar wat objectief gezien noodzakelijk is voor de uitvoering van elk van de afzonderlijke diensten waarom de betrokkene actief heeft verzocht of waarvoor hij zich actief heeft aangemeld. Uit deze beoordeling kan blijken dat bepaalde verwerkingsactiviteiten niet noodzakelijk zijn voor de door de betrokkene gevraagde afzonderlijke diensten, maar eerder noodzakelijk zijn voor het bredere bedrijfsmodel van de verwerkingsverantwoordelijke. In dat geval is artikel 6, lid 1, onder b) geen rechtsgrondslag voor deze activiteiten. Er kunnen echter andere rechtsgrondslagen beschikbaar zijn voor die verwerking, zoals artikel 6, lid 1, onder a) of f), mits aan alle toepasselijke criteria wordt voldaan. De beoordeling van de toepasselijkheid van artikel 6, lid 1, onder b) heeft derhalve geen invloed op de rechtmatigheid van de overeenkomst of de bundeling van diensten op zich.

38. Zoals de WP29 eerder heeft opgemerkt, is de rechtsgrondslag alleen van toepassing op wat noodzakelijk is voor de uitvoering van een overeenkomst. 23 Als zodanig is de bepaling niet automatisch van toepassing op alle verdere acties die het gevolg zijn van niet-naleving of op alle andere incidenten die zich kunnen voordoen bij de uitvoering van een overeenkomst. Bepaalde acties kunnen echter redelijkerwijs worden voorzien en kunnen noodzakelijk zijn binnen een normale contractuele relatie, zoals het versturen van officiële herinneringen over openstaande betalingen of het corrigeren van fouten of vertragingen bij de uitvoering van de overeenkomst. Artikel 6, lid 1, onder b) kan van toepassing zijn op de verwerking van persoonsgegevens die noodzakelijk is in verband met dergelijke acties.

Voorbeeld 3:

Een bedrijf verkoopt online producten. Een klant neemt contact op met het bedrijf omdat de kleur van het aangeschafte product verschilt van de overeengekomen kleur. De verwerking van persoonsgegevens van de klant ten behoeve van de oplossing van dit probleem kan worden gebaseerd op artikel 6, lid 1, onder b).

39. Contractuele garantie kan onderdeel vormen van de uitvoering van een overeenkomst en dus kan de opslag van bepaalde gegevens voor een gespecificeerde bewaarperiode nadat de uitwisseling van goederen/diensten/betaling is voltooid ten behoeve van de garantie, noodzakelijk zijn voor de uitvoering van een overeenkomst.

2.6 Beëindiging van een overeenkomst

40. Een verwerkingsverantwoordelijke moet de passende rechtsgrondslag vaststellen voor de beoogde verwerkingsactiviteiten voordat de verwerking begint. Wanneer artikel 6, lid 1, onder b) de grondslag vormt voor sommige of alle verwerkingsactiviteiten, moet de verwerkingsverantwoordelijke zich voorbereiden op wat er gebeurt als de overeenkomst wordt beëindigd. 24

24 Als een overeenkomst later ongeldig wordt, heeft dit gevolgen voor de rechtmatigheid (zoals bedoeld in artikel 5, lid 1, onder a)) van verdere verwerking. Dit houdt echter niet automatisch in dat de keuze voor artikel 6, lid 1, onder b), als rechtsgrondslag onjuist was.

41. Wanneer de verwerking van persoonsgegevens is gebaseerd op artikel 6, lid 1, onder b), en het contract volledig is beëindigd, is in het algemeen de verwerking van die gegevens niet langer noodzakelijk voor de uitvoering van die overeenkomst en dus moet de verwerkingsverantwoordelijke stoppen met de verwerking. De betrokkene heeft mogelijk persoonsgegevens verstrekt in het kader van een contractuele relatie in het vertrouwen dat de gegevens alleen worden verwerkt als noodzakelijk onderdeel van die relatie. Het is derhalve niet behoorlijk om over te stappen naar een nieuwe rechtsgrondslag als de oorspronkelijke grondslag niet langer bestaat.
42. Wanneer een overeenkomst is beëindigd, kan hiervoor sprake zijn van enige administratie, zoals het retourneren van goederen of betaling. De bijbehorende verwerking kan worden gebaseerd op artikel 6, lid 1, onder b).
43. In artikel 17, lid 1, onder a) is bepaald dat persoonsgegevens worden gewist als ze niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld. Dit is echter niet van toepassing als de verwerking noodzakelijk is voor bepaalde specifieke doeleinden, waaronder de naleving van een wettelijke verplichting overeenkomstig artikel 17, lid 3, onder b), of de instelling, uitoefening of onderbouwing van een rechtsvordering overeenkomstig artikel 17, lid 3, onder e). In de praktijk geldt dat als verwerkingsverantwoordelijken een algemene behoefte zien om gegevens voor wettelijke doeleinden te bewaren, zij vanaf het begin van de verwerking een rechtsgrondslag hiervoor moeten vaststellen en vanaf het begin duidelijk moeten aangeven hoe lang zij voornemens zijn gegevens te bewaren voor deze wettelijke doeleinden na beëindiging van de overeenkomst. Als ze dat doen, hoeven ze de gegevens niet te wissen direct na de beëindiging van de overeenkomst.
44. Het kan zo zijn dat er aan het begin van de verwerking verschillende verwerkingsactiviteiten met verschillende doeleinden en grondslagen zijn geïdentificeerd. Zolang deze andere verwerkingsactiviteiten rechtmatig blijven en de verwerkingsverantwoordelijke vanaf het begin van de verwerking duidelijk heeft gecommuniceerd over deze activiteiten overeenkomstig de in de AVG opgenomen transparantieverplichtingen, is het nog steeds mogelijk om persoonsgegevens te verwerken over de betrokkene voor deze afzonderlijke doeleinden na beëindiging van de overeenkomst.

Voorbeeld 4:

Een aanbieder van een onlinedienst biedt een abonnementsdienst die op elk moment kan worden opgezegd. Wanneer een overeenkomst voor de dienst wordt gesloten, verstrekt de verwerkingsverantwoordelijke informatie aan de betrokkene over de verwerking van persoonsgegevens.

De verwerkingsverantwoordelijke licht onder andere toe dat, zolang de overeenkomst geldt, hij gegevens verwerkt over het gebruik van de dienst om facturen te verstrekken. De toepasselijke rechtsgrondslag is artikel 6, lid 1, onder b), aangezien de verwerking voor factureringsdoeleinden kan worden beschouwd als objectief gezien noodzakelijk voor de uitvoering van de overeenkomst. Wanneer de overeenkomst echter wordt beëindigd en ervan uitgaande dat er geen lopende, relevante juridische vorderingen of wettelijke vereisten bestaan om de gegevens te bewaren, wordt de gebruiksgeschiedenis gewist.

Daarnaast deelt de verwerkingsverantwoordelijke betrokkenen mee dat hij een wettelijke verplichting heeft op grond van de nationale wetgeving om bepaalde persoonsgegevens voor boekhoudkundige

doeleinden te bewaren voor een specifiek aantal jaren. De toepasselijke rechtsgrondslag is artikel 6, lid 1, onder c) en de gegevens worden ook na beëindiging van de overeenkomst bewaard.

2.7 Noodzakelijk om maatregelen te nemen vóór de sluiting van een overeenkomst

45. De tweede optie van artikel 6, lid 1, onder b) is van toepassing wanneer de verwerking noodzakelijk is om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen. Deze bepaling is een afspiegeling van het feit dat de voorafgaande verwerking van persoonsgegevens noodzakelijk kan zijn voor de sluiting van een overeenkomst om het mogelijk te maken die overeenkomst daadwerkelijk te sluiten.
46. Ten tijde van de verwerking is het mogelijk niet duidelijk of er daadwerkelijk een overeenkomst wordt gesloten of niet. De tweede optie van artikel 6, lid 1, onder b), kan desalniettemin van toepassing zijn indien de betrokkene het verzoek doet in het kader van de mogelijke sluiting van een overeenkomst en de betreffende verwerking noodzakelijk is om de gevraagde maatregelen te nemen. In verband hiermee kan de verwerking van de persoonsgegevens van de betrokkene ten behoeve van de reactie op het verzoek, wanneer de betrokkene contact opneemt met de verwerkingsverantwoordelijke voor meer informatie over het dienstenaanbod van de verwerkingsverantwoordelijke, worden gebaseerd op artikel 6, lid 1, onder b).
47. Deze bepaling is in elk geval niet van toepassing op ongevraagde marketing of andere verwerkingsactiviteiten die uitsluitend op initiatief van de verwerkingsverantwoordelijke of op verzoek van een derde worden uitgevoerd.

Voorbeeld 5:

Een betrokkene verstrekt zijn postcode om te zien of een specifieke dienstenaanbieder actief is in zijn omgeving. Dit kan worden beschouwd als verwerking die noodzakelijk is om op verzoek van de betrokkene vóór sluiting van een overeenkomst maatregelen te nemen overeenkomstig artikel 6, lid 1, onder b).

Voorbeeld 6:

In sommige gevallen hebben financiële instellingen de verplichting om klanten te identificeren op grond van de nationale wetgeving. In overeenstemming met deze vereisten vraagt een bank, voordat een overeenkomst wordt gesloten met betrokkenen, of zij een identiteitsdocument kunnen overleggen.

In dit geval is de identificatie noodzakelijk voor een wettelijke verplichting met betrekking tot de bank en niet om op verzoek van de betrokkene maatregelen te nemen. De passende rechtsgrondslag is derhalve niet artikel 6, lid 1, onder b), maar artikel 6, lid 1, onder c).

3 DEEL 3 - TOEPASSELIJKHEID VAN ARTIKEL 6, LID 1, ONDER B) IN SPECIFIEKE SITUATIES

3.1 Verwerking voor de 'verbetering van diensten' 25

48. Onlinediensten verzamelen vaak gedetailleerde informatie over de interactie die gebruikers hebben met hun diensten. In de meeste gevallen kunnen de verzameling van organisatorische statistieken over een dienst of details van de betrokkenheid van een gebruiker niet worden beschouwd als noodzakelijk voor de verlening van de dienst, aangezien de dienst kan worden verleend zonder de verwerking van dergelijke persoonsgegevens. Desalniettemin kan een dienstenaanbieder gebruikmaken van alternatieve rechtmatige grondslagen voor deze verwerking, zoals gerechtvaardigd belang of toestemming.
49. Het EDPB is van mening dat artikel 6, lid 1, onder b) over het algemeen geen geschikte rechtmatige grondslag is voor de verwerking ten behoeve van de verbetering van een dienst of de ontwikkeling van nieuwe functies binnen een bestaande dienst. In de meeste gevallen sluit een gebruiker een overeenkomst om gebruik te maken van een bestaande dienst. Hoewel de mogelijkheid van verbeteringen en aanpassingen van een dienst routinematig kunnen worden opgenomen in contractvoorwaarden, kan een dergelijke verwerking niet worden beschouwd als objectief gezien noodzakelijk voor de uitvoering van de overeenkomst met de gebruiker.

3.2 Verwerking voor 'fraudebestrijding'

50. Zoals de WP29 eerder heeft opgemerkt 26 , kan de verwerking ten behoeve van fraudebestrijding bestaan uit het houden van toezicht op en het profileren van klanten. Het EDPB is van mening dat dergelijke verwerking waarschijnlijk verder gaat dan objectief gezien noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene. De verwerking van persoonsgegevens die strikt noodzakelijk is voor de bestrijding van fraude, kan een gerechtvaardigd belang van de verwerkingsverantwoordelijke vormen 27 en derhalve als rechtmatig worden beschouwd, indien de verwerkingsverantwoordelijke voldoet aan de specifieke vereisten van artikel 6, lid 1, onder f) (gerechtvaardigde belangen). Daarnaast kan ook artikel 6, lid 1, onder c) (wettelijke verplichting) een rechtmatige grondslag vormen voor een dergelijke verwerking van gegevens.

3.3 Verwerking voor advertenties op basis van surfgedrag ('behavioural advertisement')

51. Advertenties op basis van surfgedrag, en het daarbij behorende bijhouden en profileren van betrokkenen, wordt vaak gebruikt om online diensten te financieren. De WP29 heeft eerder haar mening gegeven over een dergelijke verwerking en het volgende opgemerkt:

27 Zie overweging 47, zesde volzin.

[contractuele noodzaak] is geen geschikte rechtsgrond voor het opstellen van een profiel over de smaak en levensstijl van de gebruiker op basis van zijn klikgegevens op een website en de aangeschafte goederen. De reden hiervoor is dat de voor de verwerking verantwoordelijke niet is aangesteld om een profiel op te stellen, maar om bijvoorbeeld bepaalde goederen en diensten te leveren. 28

52. Als algemene regel geldt dat de verwerking van persoonsgegevens voor advertenties op basis van surfgedrag niet noodzakelijk is voor de uitvoering van een overeenkomst voor onlinediensten. Normaal gesproken is het moeilijk om te beweren dat de overeenkomst niet zou zijn uitgevoerd omdat er geen sprake was van advertenties op basis van surfgedrag. Dit wordt nog verder ondersteund door het feit dat betrokkenen krachtens artikel 21 het absolute recht hebben om bezwaar te maken tegen de verwerking van hun gegevens voor direct-marketingdoeleinden.
53. Daarnaast kan artikel 6, lid 1, onder b) geen rechtmatige grondslag bieden voor advertenties op basis van surfgedrag omdat dergelijke advertenties indirect de verlening van de dienst financieren. Hoewel een dergelijke verwerking de verlening van een dienst kan ondersteunen, is dit op zichzelf niet voldoende om vast te stellen dat deze noodzakelijk is voor de uitvoering van de betreffende overeenkomst. De verwerkingsverantwoordelijke moet de in punt 33 genoemde factoren in overweging nemen.
54. In aanmerking nemende dat gegevensbescherming een grondrecht is dat wordt gegarandeerd door artikel 8 van het Handvest van de grondrechten en rekening houdend met het feit dat een van de belangrijkste doelstellingen van de AVG is dat betrokkenen de controle wordt geboden over informatie die op hen betrekking heeft, kunnen persoonsgegevens niet worden beschouwd als handelswaar. Hoewel de betrokkene akkoord kan gaan met de verwerking van persoonsgegevens 29 , kunnen zij door middel van dit akkoord geen afstand doen van hun grondrechten. 30
55. Het EDPB merkt eveneens op dat, overeenkomstig de vereisten op het gebied van e-privacy en het bestaande advies van de WP29 inzake advertenties op basis van surfgedrag 31 , evenals werkdocument 02/2013 houdende richtsnoeren voor de verkrijging van toestemming voor cookies 32 , verwerkingsverantwoordelijken de voorafgaande toestemming moeten verkrijgen van betrokkenen om de cookies te plaatsen die noodzakelijk zijn voor advertenties op basis van surfgedrag.
56. Het EDPB merkt tevens op dat het bijhouden en profileren van gebruikers kan worden uitgevoerd voor de identificatie van groepen individuen met soortgelijke kenmerken om gerichte advertenties op soortgelijke doelgroepen mogelijk te maken. Een dergelijke verwerking kan niet worden uitgevoerd op basis van artikel 6, lid 1, onder b), aangezien niet kan worden gezegd dat dit objectief gezien noodzakelijk is voor de uitvoering van de overeenkomst met de gebruiker om de kenmerken en het

30 Naast het feit dat het gebruik van persoonsgegevens wordt gereguleerd door de AVG, bestaan er aanvullende redenen waarom de verwerking van persoonsgegevens conceptueel verschilt van geldelijke betalingen. Geld kan bijvoorbeeld worden geteld, wat inhoudt dat prijzen kunnen worden vergeleken op een concurrerende markt en geldelijke betalingen kunnen normaal gesproken alleen worden verricht met medeweten van de betrokkene. Daarnaast kunnen persoonsgegevens worden gebruikt door verschillende diensten tegelijkertijd. Zodra iemand de controle over zijn of haar persoonsgegevens kwijt is, kan het zijn dat die controle niet wordt herwonnen.

31 Advies 2/2010 van de Groep artikel 29 over online reclame op basis van surfgedrag ('behavioural advertising') (WP171)

32 Werkdocument 02/2013 van de Groep artikel 29 houdende richtsnoeren voor de verkrijging van toestemming voor cookies (WP208) (beschikbaar in de Engelse, Franse en Duitse taal).

gedrag van gebruikers bij te houden en te vergelijken voor doeleinden die verband houden met advertenties voor andere personen. 33

3.4 Verwerking voor de personalisatie van inhoud 34

57. Het EDPB erkent dat de personalisatie van inhoud een intrinsiek en verwacht element van bepaalde onlinediensten kan vormen (maar dat is niet altijd het geval) en daarom in sommige gevallen kan worden beschouwd als noodzakelijk voor de uitvoering van de overeenkomst met de gebruiker van de dienst. Of dergelijke verwerking kan worden beschouwd als een intrinsiek aspect van een onlinedienst, is afhankelijk van de aard van de verleende dienst, de verwachtingen van de gemiddelde betrokkene gelet op niet alleen de voorwaarden van de dienst, maar ook de manier waarop de dienst wordt gepromoot bij gebruikers en of de dienst kan worden verleend zonder personalisatie. Indien personalisatie objectief gezien niet noodzakelijk is voor de uitvoering van de onderliggende overeenkomst, bijvoorbeeld wanneer de weergave van gepersonaliseerde inhoud bedoeld is om de betrokkenheid van een gebruiker bij de dienst te vergroten, maar geen integraal onderdeel vormt van het gebruik van de dienst, moeten verwerkingsverantwoordelijken een andere rechtmatige grondslag kiezen, indien van toepassing.

Voorbeeld 7:

Een online zoekmachine voor hotels houdt eerdere boekingen van gebruikers bij om een profiel te maken van hun typische uitgaven. Dit profiel wordt vervolgens gebruikt om bepaalde hotels aan te bevelen aan de gebruiker bij terugkerende zoekresultaten. In dit geval zijn de profilering van het eerdere gedrag en de financiële gegevens van de gebruiker objectief gezien niet noodzakelijk voor de uitvoering van de overeenkomst, zijnde de verlening van hospitalitydiensten op basis van specifieke zoekcriteria die worden ingevoerd door de gebruiker. Artikel 6, lid 1, onder b) is derhalve niet van toepassing op de verwerkingsactiviteit.

Voorbeeld 8:

Een online marktplaats stelt mogelijke kopers in staat om te zoeken naar producten en deze aan te schaffen. De marktplaats wil gepersonaliseerde productsuggesties weergeven op basis van de advertenties die mogelijke kopers eerder op het platform hebben bekeken om de interactiviteit te vergroten. Deze personalisatie is objectief gezien niet noodzakelijk voor de verlening van de marktplaatsdienst. Daarom kan een dergelijke verwerking van persoonsgegevens geen gebruikmaken van artikel 6, lid 1, onder b) als rechtsgrondslag.

---

Footnotes

1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

2. Zie bijvoorbeeld Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad en artikel 8 van de AVG.

3. Zie overweging 18 van Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt.

4. Advies 06/2014 van de Groep artikel 29 over het begrip 'gerechtvaardigde belangen van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG (WP217). Zie met name de pagina's 11, 16, 17, 18 en 55.

5. Zie overweging 38, waarin staat dat kinderen met betrekking tot hun persoonsgegevens recht hebben op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens.

6. Een beding in een overeenkomst waarover niet afzonderlijk is onderhandeld, wordt overeenkomstig de richtlijn oneerlijke bedingen in overeenkomsten als oneerlijk beschouwd 'indien het, in strijd met de goede trouw, het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van de partijen ten nadele van de consument aanzienlijk verstoort'. Net als de transparantieverplichting in de AVG verplicht de richtlijn oneerlijke bedingen in overeenkomsten het gebruik van duidelijke en begrijpelijke bewoordingen. De verwerking van persoonsgegevens die is gebaseerd op wat wordt beschouwd als een oneerlijk beding overeenkomstig de richtlijn oneerlijke bedingen in overeenkomsten, is over het algemeen niet consistent met het vereiste overeenkomstig artikel 5, lid 1, onder a), dat de verwerking rechtmatig en behoorlijk moet zijn.

7. De AVG is van toepassing op bepaalde verwerkingsverantwoordelijken buiten de EER. Zie artikel 3 van de AVG.

8. Zie voor meer informatie over gevolgen in verband met artikel 9 de richtsnoeren van de WP29 inzake toestemming overeenkomstig Verordening 2016/679 (WP259), goedgekeurd door het EDPB, blz. 20-23.

9. Het Hof van Justitie van de Europese Unie heeft in het arrestHuber verklaard dat het 'om een autonoom begrip [noodzakelijkheid] van het gemeenschapsrecht [gaat], dat moet worden uitgelegd op een wijze die volledig beantwoordt aan het doel van de richtlijn [Richtlijn 95/46] zoals omschreven in artikel 1, lid 1'. HvJEU, zaak C -524/06, Heinz Huber tegen Bundesrepublik Deutschland, 18 december 2008, punt 52.

10. Zie de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie.

11. Zie de toolkit van het EDPS: Assessing the Necessity of Measures that limit the fundamental right to the protection of personal data, blz. 5 (beschikbaar in de Engelse taal).

12. Het HvJEU heeft in de zaakSchecke geoordeeld dat de wetgever, bij het onderzoek van de noodzakelijkheid van de verwerking van persoonsgegevens, rekening moet houden met alternatieve, minder indringende maatregelen. HvJEU, gevoegde zaken C -92/09 en C -93/09, Volker und Markus Schecke GbR en Hartmut Eifert tegen Land Hessen , 9 november 2010. Dit is door het HvJEU herhaald in de zaakRīgas , waarin het verklaart dat '[m]et betrekking tot de voorwaarde dat de gegevensverwerking noodzakelijk is, in herinnering [moet] worden gebracht dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke moeten blijven (...)'. HvJEU, zaak C -13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde tegen Rīgas pašvaldības SIA 'Rīgas satiksme' , punt 30. Een test van de strikte noodzaak is vereist voor eventuele beperkingen op de uitoefening van het recht op bescherming van de persoonlijke levenssfeer en het recht op de bescherming van persoonsgegevens met betrekking tot de verwerking van persoonsgegevens, zie de toolkit van het EDPS: Assessing the Necessity of Measures that limit the fundamental right to the protection of personal data, blz. 7 (beschikbaar in de Engelse taal).

13. Advies 06/2014 van de Groep artikel 29 over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG (WP217), blz. 20-21.

14. Zie de richtsnoeren van de WP29 inzake toestemming overeenkomstig Verordening 2016/679 (WP259), goedgekeurd door het EDPB, blz. 36, waarin het volgende staat: 'Krachtens de AVG kan niet worden overgestapt van de ene op de andere rechtsgrond.'

15. Advies 06/2014 van de Groep artikel 29 over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG (WP217), blz. 22.

16. Onlinediensten moeten mogelijk ook rekening houden met Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB L 136 van 22.5.2019, blz. 1) die vanaf 1 januari 2022 van toepassing zal zijn.

17. Advies 06/2014 van de Groep artikel 29 over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG (WP217), blz. 21.

18. Advies 06/2014 van de Groep artikel 29 over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG (WP217), blz. 20-21.

19. Zie Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten.

20. Zie ook de richtsnoeren van de Groep artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679 (WP251rev01), goedgekeurd door het EDPB, blz. 15.

21. Onlinediensten moeten mogelijk ook rekening houden met Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten (PB L 136 van 22.5.2019, blz. 1) die vanaf 1 januari 2022 van toepassing zal zijn.