Tot slot verdient het verduidelijking dat het concept van de verenigbare verdere verwerking enkel betrekking heeft op de verwerking van persoonsgegevens door de oorspronkelijke verwerkingsverantwoordelijke. Immers, telkens wanneer er sprake is van een overdracht van persoonsgegevens is het de ontvanger die als verwerkingsverantwoordelijke instaat voor de AVGconforme verwerking van deze gegevens. Deze verwerking staat op zich en kan niet als zodanig aangemerkt worden als een verdere verwerking in hoofde van de oorspronkelijke verwerkingsverantwoordelijke. Dit laat evenwel onverlet de verplichting voor de eerste verwerkingsverantwoordelijke om erop toe te zien dat deze overdracht an sich verenigbaar is met de bepalingen van de AVG, wat zonder meer impliceert dat hij erop moet toezien dat de door de ontvanger beoogde doeleinden verenigbaar zijn met het doel waarvoor de persoonsgegevens oorspronkelijk werden verzameld.
3. Proportionaliteit De verplichte proportionaliteitstoets blijkt indirect uit artikel 5.1, a) (behoorlijkheid) en c) (minimale gegevensverwerking) AVG en vereist evenredigheid bij het afwegen van de respectieve belangen van enerzijds de verwerkingsverantwoordelijke en, anderzijds, de betrokkenen. Daartoe moet de verwerkingsverantwoordelijke zich steeds afvragen of de door hem beoogde verwerkingsactiviteiten (1) geschikt (is de maatregel relevant voor het realiseren van de doeleinden?), (2) noodzakelijk (is de maatregel nodig voor het realiseren van de doeleinden?) en, (3) niet-excessief (gaat de maatregel verder dan wat noodzakelijk is voor het realiseren van de doeleinden?) zijn. Meer concreet schuilt de verplichte proportionaliteitstoetsing in het nakomen van de verplichtingen
die
worden
opgelegd
door
de
AVG.
Slechts
wanneer
de
verwerkingsverantwoordelijke op afdoende wijze kan aantonen dat alle beginselen van de gegevensbescherming werden gerespecteerd kan er sprake zijn van een rechtmatige en aldus proportionele gegevensverwerking. Denk bijvoorbeeld aan de identificatie van een passende rechtsgrond, het duidelijk omschrijven van de doeleinden, het verzekeren dat er niet meer gegevens verwerkt worden dan noodzakelijk voor deze doeleinden, de keuze van de specifieke verwerkingsactiviteiten, het nakomen van de transparantieverplichting, ervoor zorgen dat de gegevens niet langer verwerkt en bewaard worden dan nodig is, de garantie van de integriteit van de gegevensverwerking, het in acht nemen van de principes van ‘data protection by design’ en ‘data protection by default’, … In het bijzonder voor wat betreft de verwerking van biometrische gegevens speelt de notie proportionaliteit een belangrijke rol. Immers, overeenkomstig artikel 5.1, c) AVG moeten 31 Aanbeveling betreffende biometrie | Versie 1.1 – 01/12/2021
