Minister Koolmees beantwoordt Kamervragen over het bericht dat Just Eat Takeaway de databeschermingswet AVG overtreedt in Duitsland.
Het is aan de Autoriteit Persoonsgegevens of zij aanleiding ziet onderzoek te doen. Niet bekend is of Thuisbezorgd.nl gebruik maakt van een volgapp, wat voor volgapp dat dan is en of en welke
persoonsgegevens exact worden opgeslagen.
AVG en UAVG
Een werkgever die persoonsgegevens van een werknemer wil verwerken, moet zich hierbij houden aan de regels die hierover in het leven zijn geroepen. De belangrijkste regels met betrekking tot het verwerken van persoonsgegevens zijn neergelegd in de Algemene verordening gegevensbescherming (AVG) en, daar waar de AVG ruimte laat voor nationale keuzes, in de Uitvoeringswet AVG (UAVG).
Op de website van de Autoriteit Persoonsgegevens (AP) is een overzicht van en toelichting op alle voorwaarden te vinden.
Rechtmatig, behoorlijk, transparant
Niet elke verwerking van persoonsgegevens is verboden. Wanneer sprake is van het verwerken van persoonsgegevens van een werknemer (of elk ander natuurlijk persoon) bepaalt artikel 5, eerste lid, AVG aan welke beginselen moet worden voldaan.
Zo moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de werknemer rechtmatig, behoorlijk en transparant is. De werknemer moet weten waarom en hoe zijn gegevens worden verwerkt.
De verwerking van de persoonsgegevens moet ook in overeenstemming zijn met de wet en alleen worden verzameld met een gerechtvaardigd doel en voldoen aan het beginsel van minimale gegevensverwerking. De werkgever is als de verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de
beginselen.
Toestemming gegeven
In artikel 6 AVG staat opgenomen in welke gevallen een verwerking rechtmatig is en dus is toegestaan. Dit is bijvoorbeeld het geval wanneer de betrokkene toestemming heeft gegeven voor de verwerking of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene
(de werknemer om wiens gegevens het gaat) partij is.
Wettelijke verplichting
Een andere rechtmatigheidsgrond voor de verwerking kan zijn gelegen in de noodzaak om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke (de werkgever) rust. Hierbij kan bijvoorbeeld gedacht worden aan het bijhouden van de arbeids- en rusttijden van een werknemer in het kader van zijn wettelijke plicht om te voldoen aan artikel 4:3 Arbeidstijdenwet.
Bijzondere categorieën persoonsgegevens
Artikel 9 AVG (en 22 UAVG) ziet op het verwerken van bijzondere categorieën van persoonsgegevens, zoals ras, religieuze overtuiging, lidmaatschap van een vakbond etc. Het verwerken van dergelijke bijzondere categorieën van persoonsgegevens is in principe verboden.
In het tweede lid van artikel 9 AVG staan echter uitzonderingen opgenomen wanneer de verwerking hiervan wel is toegestaan.
Artikel 23 AVG jo. 41 UAVG bepaalt tot slot in welke gevallen bepaalde rechten en verplichtingen uit de verordening mogen worden beperkt.
Geen concrete bewaartermijn
Op grond van de AVG is er geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij moeten zij kijken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Autoriteit Persoonsgegevens
Op grond van artikel 51 AVG jo. artikel 6 UAVG is de Autoriteit Persoonsgegevens (AP) de toezichthoudende autoriteit die in Nederland de bescherming van persoonsgegevens bevordert en bewaakt. Bij overtredingen kan de AP handhavend optreden.
Beantwoording Kamervragen over overtreding AVG door Just Eat Takeaway in Duitsland