Als men gebruik wilt maken van het gerechtvaardigd belang als rechtsgrond, dan moet men een belangenafweging maken. Enerzijds moet het belang van de verwerkingsverantwoordelijke (jullie als school) worden afgewogen tegen het (privacy)belang en fundamentele rechten en vrijheden van de betrokkenen (de leerlingen/ouders).
De Article 29 Working Party (voorganger van de huidige EU toezichthouder) heeft in één van haar richtlijnen een aantal factoren geformuleerd die moeten worden meegenomen bij de belangenafweging i.h.k.v. gerechtvaardigd belang:
- Is er een gerechtvaardigd belang bij de verwerkingsverantwoordelijke?
- De verwerking van persoonsgegevens moet een bepaalde “waarde” hebben voor de verwerkingsverantwoordelijke
- Voorbeelden: beveiliging, fraudebestrijding en/of commerciële waarde
- Is verwerking van persoonsgegevens noodzakelijk om het gerechtvaardigd belang te bereiken?
- Staat het gebruik van de persoonsgegevens in verhouding tot het gerechtvaardigd belang? (proportionaliteit)
- Kan het gerechtvaardigd belang op een – voor de betrokkene – minder ingrijpende manier worden bereikt? (subsidiariteit)
- Maken van een daadwerkelijke belangenafweging, waarbij de volgende factoren van belang zijn
- Welke impact heeft de verwerking voor de betrokkene?
- Wat is de aard van de persoonsgegevens? (regulier, gevoelig, of bijzonder)
- Op welke manier worden de persoonsgegevens verwerkt? (waaronder de genomen technische en organisatorische maatregelen)
- Welke reasonable expections of privacy heeft de betrokkene? (wat mag deze redelijkerwijs verwachten?)
- Wat is de status van de verwerkingsverantwoordelijke en betrokkene (ten opzichte van elkaar)?
- Welke aanvullende maatregelen kunnen worden genomen om de impact voor de betrokkene te verminderen? (voorbeelden: dataminimalisatie, anonimiseren/pseudonimiseren, encryptie, etc.)
- Conclusie: welke belang weegt zwaarder?
