Wat valt er onder de GDPR?

De General Data Protection Regulation (GDPR) omvat een brede en precieze definitie van persoonsgegevens, die veel verder reikt dan basisidentificatoren. Volgens artikel 4(1) van de GDPR verwijzen persoonsgegevens naar “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ('de betrokkene')” [1]. Dit omvat, maar is niet beperkt tot:

• Namen
• Identificatienummers
• Locatiegegevens
• Online identificatoren (zoals IP-adressen)
• E-mailadressen, telefoonnummers en fysieke adressen

De GDPR breidt het toepassingsgebied verder uit door bepaalde gegevens te categoriseren als bijzondere categorieën van persoonsgegevens. Deze zijn onderworpen aan verhoogde bescherming vanwege hun gevoelige aard. Artikel 9(1) somt deze categorieën op, waaronder:

• Ras of etnische afkomst
• Politieke opvattingen
• Religieuze of levensbeschouwelijke overtuigingen
• Lidmaatschap van een vakbond
• Genetische gegevens
• Biometrische gegevens (wanneer gebruikt voor identificatie)
• Gezondheidsgegevens
• Gegevens met betrekking tot iemands seksleven of seksuele geaardheid

De verordening verbiedt expliciet de verwerking van dergelijke bijzondere categorieën, tenzij aan specifieke voorwaarden is voldaan, zoals uitdrukkelijke toestemming of een zwaarwegend algemeen belang [2].

Toepasselijkheid
De GDPR is extraterritoriaal van toepassing. Artikel 3 stelt dat elke organisatie, ongeacht haar fysieke locatie, moet voldoen als zij:

• Goederen of diensten aanbiedt aan personen in de EU/EER
• Het gedrag van personen binnen de EU/EER monitort

Empirische analyse toont aan dat niet-EU-organisaties vaak onderworpen zijn aan GDPR-verplichtingen bij het verzamelen of verwerken van gegevens van EU-ingezetenen, met name in scenario's voor digitale handel en webanalyse [3].

Belangrijkste resultaten

• De definitie van persoonsgegevens onder de GDPR is opzettelijk breed, om dekking te garanderen voor traditionele en opkomende vormen van identificatie (bijv. cookies, apparaat-ID's).
• Gevoelige persoonsgegevens, zoals gedefinieerd door de GDPR, vereisen strengere verwerkingsnormen en expliciete wettelijke grondslagen.
• Het bereik van de GDPR is wereldwijd: entiteiten buiten de EU/EER moeten hun gegevensverwerkingsactiviteiten beoordelen op mogelijke dekking.
• De interpretatie van de verordening door toezichthoudende autoriteiten en rechtbanken heeft consequent de voorkeur gegeven aan uitgebreide bescherming, waarbij het doel van de verordening om de rechten van betrokkenen te waarborgen wordt benadrukt [4].

Referenties:
[1] Verordening (EU) 2016/679 (General Data Protection Regulation), artikel 4(1). Publicatieblad van de Europese Unie
[2] Verordening (EU) 2016/679, artikel 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press. OUP Referentie
[4] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): Practical Guide. Springer. Springer Referentie