4.2 Toestemming
inbreuk
Om het zekere voor het onzekere te nemen, vragen veel organisaties overal toestemming voor aan klanten. Dat is echter niet altijd nodig. Toestemming vragen, is nodig in twee gevallen:
- als de wet toestemming eist (bijvoorbeeld voor het sturen van een marketingmail).
- als de gegevensverwerking meer inbreuk op de privacy maakt dan de betrokkene redelijkerwijs verwacht.
Voor de duidelijkheid: toestemming vragen voor het verwerken van iemands persoonsgegevens betekent dat uw organisatie zich dus niet kan beroepen op een van de grondslagen uit paragraaf 4.1 en dat uw werkgever extra goed moet uitleggen waarom verwerking toch nodig is.
Vraag niet te snel om toestemming. Ga eerst na of uw organisatie zich echt niet kan beroepen op een van de in paragraaf 4.1 genoemde grondslagen.
4.2.1 Eisen aan toestemming
Als uw organisatie toestemming vraagt voor het verwerken van persoonsgegevens, moet zij aan twee voorwaarden voldoen (zie infographic).
Toestemmingshokje
instellingen
De AVG noemt twee voorbeelden van een geaccepteerde toestemmingsverklaring:
- iemand vinkt actief een toestemmingshokje aan op de website;
- iemand selecteert eigenhandig bepaalde technische instellingen voor elektronische diensten (bijvoorbeeld cookies accepteren van een streamingdienst).
Let op: het gebruik van vooraf aangekruiste aanvinkvakjes telt niet als geldige verklaring, omdat de betrokkene het vakje niet actief heeft aangevinkt, maar de beslissing al voor hem is gemaakt door de website-eigenaar.
Onder de zestien aparte regels
kind
Als een aanbieder van digitale diensten – denk aan apps – toestemming heeft verkregen van een kind, is de verwerking van persoonsgegevens alleen rechtmatig als het kind minimaal zestien jaar is. Is het kind onder de zestien jaar, dan moet de ouder of verzorger toestemming geven. De verantwoordelijke moet in zulke gevallen actief controleren of de persoon met de ouderlijke verantwoordelijkheid inderdaad toestemming heeft verleend.
4.2.2 Webformulieren
aanvinkvakjes
Zoals genoemd, is het niet toegestaan om bij webformulieren aanvinkvakjes vooraf aan te kruisen. Daarnaast is het goed om bij webformulieren zo min mogelijk onnodige data te verzamelen.
Dat betekent in het webformulier geen ruimte bieden voor het doorgeven van aanvullende informatie.In webformulieren moeten organisaties duidelijk aangeven met welk doel de informatie wordt gevraagd en hoe lang de gegevens worden bewaard. Organisaties mogen alleen gegevens vragen die nodig zijn voor het leveren van het product of de dienst. Het is niet toegestaan om de ingevulde gegevens voor een ander doel te gebruiken.
4.2.3 Informeren
identiteit
Als persoonsgegevens worden verzameld, moet de verantwoordelijke organisatie de betrokkene de volgende informatie geven:
- de identiteit en de contactgegevens van de verantwoordelijke organisatie;
- als het van toepassing is, de contactgegevens van de functionaris voor gegevensbescherming;
- de verwerkingsdoelen waarvoor de persoonsgegevens zijn bestemd, en de grondslag voor de verwerking;
- de categorieën van persoonsgegevens;
- eventueel de gegevens van derde partijen waarmee de persoonsgegevens gedeeld worden. Dit is extra belangrijk op het moment dat de persoonsgegevens naar ontvangers buiten de Europese Unie gaan of naar een internationale organisatie.
Transparante verwerking
opslagtermijn
rectificatie
besluitvorming
De verantwoordelijke organisatie is ook verplicht om andere informatie te verstrekken aan de betrokken personen. Het gaat dan om informatie die moet zorgen voor een behoorlijke en transparante verwerking:
- hoe lang de persoonsgegevens (ongeveer) worden opgeslagen, of anders criteria om die opslagtermijn te kunnen bepalen;
- de gerechtvaardigde belangen (zoals de grondslag voor verwerking) van de verantwoordelijke of van een derde. Dit geldt alleen als de verwerking is gebaseerd op een gerechtvaardigd belang;
- dat de betrokkene het recht heeft op inzage, rectificatie, en vergetelheid. Maar ook het recht om beperking van de verwerking, het recht om bezwaar te maken en het recht op het overdragen van gegevens naar een andere partij;
- als verwerking op toestemming is gebaseerd: dat de betrokkene het recht heeft die toestemming te allen tijde in te trekken. Intrekken van toestemming doet overigens geen afbreuk aan de rechtmatigheid van de verwerking vóór het intrekken van toestemming;
- dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder (Autoriteit Persoonsgegevens);
- waar de verantwoordelijke organisatie de persoonsgegevens vandaan heeft gehaald en of die afkomstig zijn uit openbare bronnen;
- eventueel het bestaan van geautomatiseerde besluitvorming (zie hoofdstuk 2) en het belang plus de verwachte gevolgen van die verwerking voor de betrokkene.
Verstrekking
omstandigheden
contact
De verantwoordelijke dient alle informatie te verstrekken:
- binnen een redelijke termijn, maar uiterlijk binnen één maand na het verkrijgen van de persoonsgegevens. De termijn is afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
- als de persoonsgegevens worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene;
- als de gegevens aan een andere ontvanger worden verstrekt, uiterlijk op het moment dat de persoonsgegevens voor het eerst worden verstrekt.
De verantwoordelijke moet ook aangeven als zij van plan is om de persoonsgegevens voor een ander doel te gebruiken dan waar toestemming voor is gegeven. Dit moet gebeuren voordat die verdere verwerking plaatsvindt.