Waarom een LIA belangrijk is
De afkorting LIA (Legitimate Interest Assessment) is een term die niet als zodanig wordt genoemd in de Algemene Verordening Gegevensbescherming (AVG). Met een LIA weeg je belangen tegen elkaar af. Een LIA moet worden uitgevoerd wanneer een verwerking van persoonsgegevens is gebaseerd op een ‘gerechtvaardigd belang’. In Hongarije is recentelijk een boete opgelegd wegens het niet zorgvuldig uitvoeren van een LIA.
Gerechtvaardigd belang
Als het om ‘gewone’ persoonsgegevens gaat – geen bijzondere of strafrechtelijke – is een gegevensverwerking rechtmatig als de verwerkingsverantwoordelijke dit kan baseren op minimaal een van de zes grondslagen. Het gerechtvaardigd belang lijkt de meest flexibele wettelijke basis voor een gegevensverwerking, maar u bent verplicht om deze keuze goed te onderbouwen. Bij de keuze voor het gerechtvaardigd belang is de verwerkingsverantwoordelijke van mening dat hij – net als de betrokkene – zich kan beroepen op belangen die door het recht eveneens gerespecteerd en beschermd worden. En waarin hij vindt dat het noodzakelijk is om persoonsgegevens te verwerken om die belangen adequaat te kunnen behartigen. In deze situatie is er dus een botsing van belangen, namelijk het grondrecht van de betrokkene en het (grond)recht van de verwerkingsverantwoordelijke. Als u dus kiest voor het gerechtvaardigd belang als grondslag, moet u dit extra goed motiveren. Een LIA is hiervoor het juiste instrument.
Legitimate Interest Assessment (LIA)
Een LIA bestaat uit een concreet toetsingskader met drie cumulatieve voorwaarden, waaraan moet zijn voldaan opdat een verwerking van persoonsgegevens rechtmatig is. Iedere voorwaarde bestaat uit een aantal concrete vragen die beantwoord moeten worden. Hiermee toont u aan de juiste afwegingen ten aanzien van het gerechtvaardigd belang en dat deze momenteel wel/niet zwaarder wegen dan de privacy van de betrokkene personen. Een LIA dient u op te nemen in uw AVG administratie en uw LIA zal ook helpen aantonen dat u voldoet aan uw verantwoordingsverplichtingen uit hoofde van artikel 5, lid 2 AVG en artikel 24 AVG.
De drie voorwaarden voor een rechtmatige verwerking:
Beoordeel of er een gerechtvaardigd belang aanwezig is
De legitieme belangen kunnen uw eigen belangen of de belangen van derden zijn. Het belang moet steeds echt, concreet en rechtstreeks zijn. En dus niet speculatief, toekomstig of afgeleid. Voorbeelden van mogelijk gerechtvaardigde belangen zijn bijv. zorgplichten na te komen voor werknemers en/of klanten, fraude, oplichting of ander onrechtmatig gedrag tegen te gaan of bestaande klanten na een aankoop te informeren over soortgelijke, eigen producten of diensten.
Beoordeel of de verwerking noodzakelijk is voor het doel dat u wilt bereiken
Als u redelijkerwijs hetzelfde resultaat op een andere, minder indringende manier kunt bereiken, heeft u geen gerechtvaardigd belang.
Beoordeel de impact op de belangen en rechten en vrijheden van de betrokkenen.
Als de betrokkene de verwerking redelijkerwijs niet zouden verwachten, of als het schade zou veroorzaken, zullen belangen van betrokkenen waarschijnlijk zwaarder wegen dan uw belangen.
Het beantwoorden van de drie bovenstaande vragen en het documenteren van uw antwoord moet u in staat stellen een onderbouwde conclusie geven over de rechtmatigheid van uw verwerking. Hierbij kunt u mogelijke risico’s vermijden en aantonen dat u alles in uw beoordeling in aanmerking hebt genomen.
Boete
De Hongaarse Autoriteit Persoonsgegevens (NAIH) legde in april 2022 aan een garagebedrijf een boete op van € 1.300, - wegens een overtreding van het artikel 5, 6 en 13 van de AVG [NAIH-1006-3/2022] Het garagebedrijf had haar medewerkers niet goed geïnformeerd over het toegepaste cameratoezicht. De boete werd opgelegd na een klacht van een betrokkene. De verwerkingsverantwoordelijke was o.a. in overtreding omdat de verwerking plaats zou vinden op grond van een gerechtvaardigd belang, terwijl hij niet kon aantonen dat hij alle belangen had afgewogen. De boete was maar gering omdat de verwerkersverantwoordelijke niet opzettelijk de AVG had geschonden, en het was de eerste overtreding van het garagebedrijf. Dit is een recent voorbeeld van een gegevensverwerking waarbij geen goede belangenafweging is gemaakt en waarbij een gegevensbeschermingsautoriteit ook aan kleinere bedrijven boetes uitdeelt.