Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens.
Het HvJ oordeelt dat een dynamisch IP-adres in beginsel geen gegeven is welke direct is te herleiden naar een persoon. Echter, is een persoonsgegeven in de zin van artikel 2 van de Privacyrichtlijn ook elk gegeven, waarmee een persoon indirect kan worden geïdentificeerd.
Onder indirecte persoonsgegevens vallen gegevens die niet rechtstreeks over de persoon gaan, zoals WOZ-waarde, kentekennummer, de winst van een eenmanszaak en het IP-adres van een computer.
De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Schendingen van het recht op privacy zijn bijvoorbeeld onwettige huisvredebreuk en huiszoeking, onwettige persoonsregistratie en het onwettig afluisteren van iemands telefoongesprekken.
Direct herleidbare gegevens, zijn gegevens die de identiteit van een persoon zonder veel omwegen kan vaststellen. Deze gegevens zijn in bepaalde mate uniek waardoor ze een individu met bepaalde zekerheid kunnen identificeren. Hieronder vallen gegevens zoals naam, adres, geboortedatum en de combinatie van deze gegevens.
Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”); de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
Kentekens van motorvoertuigen zijn in elk geval persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers de tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging is een bijzonder persoonsgegevens.
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
Andere gegevens, zoals een functie of een IP-adres, zijn op het eerste gezicht geen gegevens waar een natuurlijk persoon direct of indirect mee kan worden geïdentificeerd. Ook in zo'n geval kan er echter sprake zijn van een persoonsgegeven.
De service “Have I been pwned”, zie: https://haveibeenpwned.com/ maakt het mogelijk jouw gegevens te checken tegen deze (grote) datalekken.
De AP gaat pas met uw klacht aan de slag als u de klacht eerst schriftelijk heeft ingediend bij de organisatie zelf. En u het bewijs daarvan bij de AP heeft aangeleverd. Als u uw klacht indient bij de organisatie zelf, moet u duidelijk opschrijven dat het om een klacht gaat en waarmee u het precies niet eens bent.
Op schending van het privacyrecht staat nu boetes tot 820.000 euro of 10% van de jaaromzet. Die boete kan echter alleen worden opgelegd bij opzet of ernstig verwijtbare nalatigheid.
Een persoonsgegeven zegt dus iets over een natuurlijk persoon. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat gegevens over organisaties, zoals bedrijven en stichtingen, geen persoonsgegevens zijn in de zin van de Wbp.
Zo kan een schoenmaat, een hobby of een foto geclassificeerd worden als persoonsgegeven indien het mogelijk is om een individu met deze informatie te identificeren. Belangrijk is dat het niet per se de databeheerder zelf (de organisatie die de persoonsgegevens verwerkt) hoeft te zijn die de identificatie kan maken.
Naam, adresgegevens en geslacht. Dit zijn persoonsgegevens die duidelijke informatie geven over een bepaald persoon. Het betreft feitelijke informatie.
Persoonsgegevens zoals ras, lengte, gewicht en DNA zijn bijzondere persoonsgegevens. Psychologische gegevens kunnen dit ook zijn. Het verwerken van deze bijzondere persoonsgegevens is in principe verboden op grond van de Wbp (artikel 16).
Het is toegestaan om persoonsgegevens van betrokkenen (in deze werknemers) te verzamelen als daarvoor een wettelijke grondslag is. Gegevens over salaris, onkostenvergoedingen en de afgedragen loonbelasting/premie volksverzekeringen zijn bijvoorbeeld nodig voor de uitvoering van de arbeidsovereenkomst.