Grondslagen bij wifitracking en bluetoothtracking

Grondslag voor wifitracking en bluetoothtracking

In artikel 6 van de AVG staan  6 grondslagen genoemd. Hiervan komen 3 grondslagen in aanmerking voor wifitracking en bluetoothtracking door bedrijven: 

• toestemming;
• overeenkomst;
• gerechtvaardigd belang.

Of u wifitracking en bluetoothtracking kunt baseren op een van deze grondslagen, hangt af van uw specifieke situatie. Het kan bijvoorbeeld uitmaken of u alleen een commercieel doel heeft of niet.

Grondslag toestemming

Volgens deze grondslag mag u persoonsgegevens verwerken als de betrokkenen hiervoor toestemming hebben gegeven. De grondslag toestemming komt in aanmerking voor wifi- en bluetoothtracking. Alleen is het praktisch en technisch gezien lastig uitvoerbaar door de voorwaarden waaraan toestemming moet voldoen. Want toestemming is alleen geldig als deze aan een aantal eisen voldoet.

Grondslag overeenkomst

Is het noodzakelijk om iemand te volgen met wifi- en bluetoothtracking om een overeenkomst met die persoon uit te voeren? Dan kunt u deze verwerking van persoonsgegevens mogelijk baseren op de grondslag overeenkomst. Of dit zo is, hangt af van het volgende:

• Is de verwerking van persoonsgegevens strikt noodzakelijk?
• Geeft de gebruiker toestemming voor eventuele verwerking van informatie uit randapparatuur?

Verwerking persoonsgegevens noodzakelijk?

Een betrokkene en u zijn vrij om overeen te komen wat u wilt (contractsvrijheid). Mits u aan het Burgerlijk Wetboek voldoet (niet in strijd met goede zeden etc.). Dat u een overeenkomst met iemand sluit, betekent echter niet automatisch dat u zich ook kunt beroepen op de grondslag overeenkomst.

U moet namelijk afwegen of het verwerken van de gegevens noodzakelijk is. Daarbij moet u vaststellen wat de precieze redenen zijn voor het contract. Dat wil zeggen: de inhoud, het doel en of de gegevensverwerking echt noodzakelijk is om dat doel te behalen.

Dat u wifitracking en bluetoothtracking opneemt in de overeenkomst, wil dus niet automatisch zeggen dat u ook voldoet aan de eis dat deze verwerking noodzakelijk is om de overeenkomst uit te voeren.

Toestemming verwerking informatie uit randapparatuur

Krijgt u bij wifitracking en bluetoothtracking toegang tot informatie in de randapparatuur van een gebruiker door de manier waarop de wifi- of bluetoothsensoren gegevens hiervan uitlezen? Zoals identifiers en locatiegegevens? Dan mag dit alleen als de gebruiker hiervoor toestemming heeft gegeven.

Is deze verwerking van informatie uit de randapparatuur van de gebruiker niet noodzakelijk om de overeenkomst uit te voeren? Dan geldt de toestemming alleen als:

• de betrokkene afzonderlijk toestemming kan geven voor deze verwerking;
• u de overeenkomst ook uitvoert als de betrokkene géén toestemming geeft.

Grondslag gerechtvaardigd belang

Of u de grondslag gerechtvaardigd belang kunt gebruiken, hangt ervan af in welke omgeving u mensen wilt volgen met wifitracking en bluetoothtracking. Het maakt verschil of u dit in de openbare ruimte (zoals winkelstraten) wilt doen of in semi-openbare ruimte die privaat bezit is. Ook speelt mee wat het doel is van de wifitracking en bluetoothtracking.

Openbare ruimte

De verwerking van persoonsgegevens in de openbare ruimte valt primair onder de verantwoordelijkheid van, of moet mogelijk zijn gemaakt door, de (wetgevende) overheid. Een private partij, zoals een bedrijf, heeft hier doorgaans geen gezag. Daarom kan een private partij in dit geval niet zomaar een beroep doen op gerechtvaardigd belang. 

Soms kunt u als bedrijf wel een beroep op deze grondslag doen. Bijvoorbeeld als wifi- en bluetoothtracking onvermijdelijk is om het private eigendom te beschermen in de openbare ruimte. Of als u een beroep kunt doen op de journalistieke uitzondering.

Semi-openbare ruimte die privaat bezit is

Wilt u als bedrijf met wifitracking en bluetoothtracking mensen volgen in de semi-openbare ruimte die privaat bezit is? En is uw doel bijvoorbeeld om de veiligheid van voorbijgangers te waarborgen? Dan kan een beroep op gerechtvaardigd belang mogelijk zijn. 

De bescherming van de fysieke veiligheid van mensen betreft een gerechtvaardigd belang. Om dit belang te beschermen, kan het voor u als bedrijf noodzakelijk zijn om (ook) persoonsgegevens te verwerken. Bijvoorbeeld om gevaarlijke drukte op bepaalde punten te voorkomen (‘crowd control’).

U voldoet daarmee aan de eerste eis om een beroep te kunnen doen op de grondslag van gerechtvaardigd belang. U moet dan nog wel voldoen aan de andere voorwaarden van artikel 6, eerste lid, onder f van de AVG:

• uw verwerking moet voldoen aan de vereisten van proportionaliteit en subsidiariteit;
• u moet uw belangen en die van de betrokkenen tegen elkaar afwegen.

Proportionaliteit en subsidiariteit

Het vereiste van proportionaliteit houdt in dat de inbreuk op de privacy van de betrokkenen in verhouding moet staan tot het doel van de wifitracking of bluetoothtracking.

Het vereiste van subsidiariteit houdt in dat er geen minder zwaar middel mogelijk is dan wifitracking of bluetoothtracking, dat minder inbreuk maakt op de privacy.

Zo moet u toelichten waarom u uw gerechtvaardigd belang niet op een andere manier en zonder de verwerking van persoonsgegevens even effectief kan beschermen.

Belangenafweging

Bij de belangenafweging speelt mee of u extra maatregelen treft om de ongewenste gevolgen voor betrokkenen te voorkomen of beperken. Bijvoorbeeld door:

• de trackinggegevens onmiddellijk, op de sensor, te anonimiseren;
• per meetlocatie de gegevens telkens op een andere manier te hashen, zodanig dat er geen technische mogelijkheid is om betrokkenen door de tijd heen over meerdere locaties te volgen;
• nadere waarborgen te treffen, zoals het beperken van de metingen in ruimte en tijd tot specifieke tijden en locaties (in plaats van 24 uur per dag en 7 dagen per week meten).
• Een andere manier is om betrokkenen de mogelijkheid te bieden zich af te melden voor wifitracking en bluetoothtracking (opt-out). Hierdoor kunnen zij zich onttrekken aan metingen in hun (privé)omgeving. Het is hierbij belangrijk dat u de opt-outmogelijkheid duidelijk kenbaar maakt.