Toestemming

De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (artikel 6.1.a) AVG).


De verwerking kan steunen op het feit dat een persoon toestemt met de verwerking van zijn persoonsgegevens (artikel 6.1.a) AVG). Dit geeft je geen vrijbrief om, om het even welke gegevens te verwerken. Je mag alleen die maar die gegevens verwerken die nodig zijn voor de realisatie van het doeleinde m.b.t. hetwelk je de toestemming vroeg (artikel 5.1.c) AVG. Dus: zelfs met toestemming mag je geen persoonsgegevens verwerken die je eigenlijk niet nodig hebt om je doel te bereiken.
Artikel 4.11) AVG definieert een geldige toestemming als: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”. De criteria voor de geldigheid van de toestemming in de zin van de AVG vormen een ondeelbaar geheel.

 

De toestemming moet geïnformeerd zijn, d.w.z. dat de persoon die toestemming geeft, moet begrijpen waarvoor en waartoe hij toestemming geeft. Dit is slechts mogelijk voor zover je als verwerkingsverantwoordelijke de betrokkene vooraf informeert.  Deze informatie moet volledig zijn, helder en geformuleerd in een begrijpelijke taal zodat de betrokkene met kennis van zake kan beslissen. Je moet er ook voor zorgen dat de betrokkene ze daadwerkelijk onder ogen krijgt, het feit dat ze “toegankelijk” is volstaat niet.

Wanneer je de gegevens rechtstreeks bij de betrokkene verzamelt, moet je die informatie verschaffen op het moment dat je de gegevens van de betrokkene verzamelt. Wanneer je ze niet rechtstreeks bij de betrokkene verzamelt, moet je de informatie binnen een redelijke termijn bezorgen. Dit is een toepassing van de artikelen 13 en 14 AVG die de te verstrekken informatie oplijsten (voor meer informatie zie het item rechten van de betrokkenen)

De toestemming moet vrij zijn, d.w.z. de betrokkene heeft werkelijk de keuze om te accepteren of te weigeren. Dit is niet het geval wanneer:

  • een weigering om toe te stemmen nadelige gevolgen heeft;
  • er een wanverhouding bestaat tussen de betrokkene en de verwerkingsverantwoordelijke zoals bv. een burger ten aanzien van de overheid, een werknemer ten aanzien van zijn werkgever;
  • er geen aparte toestemming kan worden gegeven voor verschillende verwerkingsverrichtingen bv. n.a.v. het downloaden van een “zaklamp app” wordt de betrokkene verplicht toe te stemmen om je locatiegegevens te delen bij het downloaden van de app. De doorgifte van locatiegegevens niet noodzakelijk is voor het verstrekken van een "zaklampdienst" mag dus niet afhangen van de toestemming om locatiegegevens te delen;
  • de toestemming is een niet-onderhandelbaar deel van de algemene voorwaarden;
  • de betrokkene zijn toestemming niet op elk moment kan intrekken.

De toestemming moet specifiek zijn d.w.z. de betrokkene geeft zijn toestemming voor een welbepaald iets (doeleinde). Vraagt je de toestemming van de betrokkene voor meerdere doeleinden, dan moet hij voor elk doeleinde de keuze krijgen om al dan niet toe te stemmen (opt-in). Pas dan is er sprake van een toestemming voor elk specifiek doeleinde. Bijvoorbeeld een weekblad organiseert als publiciteitsstunt een quiz waardoor je een reis kan winnen. Op het deelnemersformulier vermelden de deelnemers hun contactgegevens zodat het weekblad de winnaar kan contacteren. Het weekblad wenst de contactgegevens van de deelnemers door te geven zowel aan een reeks uitgevers van andere weekbladen als aan een reeks van reisorganisatoren zodat deze 2 groepen publiciteit voor hun aanbod kunnen toesturen aan de deelnemers van de quiz. Het betreft hier andere verwerkingen die niets te maken hebben met de quiz. Opdat het weekblad de gegevens van de deelnemers zou kunnen doorgeven, moet hij de toestemming vragen zowel voor de doorgifte aan de uitgevers als voor de doorgifte aan de reisorganisatoren.

De toestemming moet ondubbelzinnig zijn d.w.z. het vereist in hoofde van de betrokkene een duidelijke positieve handeling. Alzo wordt iedere onduidelijkheid over de wil van de betrokkene om zijn toestemming te geven, uitgesloten. Die positieve handeling kan zowel een schriftelijke verklaring als een mondelinge verklaring zijn evenals een specifieke handeling zoals bijvoorbeeld een swipe in een bepaalde richting van een element op een scherm.

Het feit dat een actieve handeling vereist is, betekent dat je noch het stilzwijgen noch de inactiviteit van de betrokkene kunt beschouwen als een indicatie van zijn keuze. Hetzelfde geldt als een betrokkene een dienst blijft gebruiken of een vooraf aangevinkt vakje niet uitvinkt. Zijn bijgevolg strijdig met deze basisvereiste van de toestemming de methodes waarbij:

  • beroep wordt gedaan vooraf aangevinkte toestemmingsselectievakjes;
  • de betrokkene selectievakjes moeten aanvinken om toestemming te weigeren (opt-out);
  • aan de betrokkene wordt gemeld dat hij door verder te surfen op de website toestemming geeft (bijvoorbeeld voor het verzamelen van gegevens via cookies).

Aandachtspunt: wanneer de betrokkene een minderjarige is, moet je bijkomend rekening houden met de bepalingen van gemeenrecht m.b.t. de rechtsgeldigheid van toestemming gegeven door een minderjarigen (zie ook verder: minderjarigen en diensten van de informatiemaatschappij).

 

Als je als verwerkingsverantwoordelijke persoonsgegevens verwerkt op basis van de toestemming, heb je ingevolge artikel 7 AVG een aantal verplichtingen:

  • je moet kunnen aantonen dat de betrokkene toestemming gaf voor de verwerking, de bewijslast berust dus bij jou;
  • je moet de betrokkene duidelijk inlichten over de mogelijkheid om zijn toestemming in te trekken;
  • je moet ervoor zorgen dat de betrokkene zijn toestemming even gemakkelijk kan intrekken als ze geven bv. wanneer je toestemming geeft door op een website een vakje aan te vinken, mag niet gevraagd worden om een brief te sturen om je toestemming in te trekken.
 

De AVG legt niet vast hoe lang de toestemming die je verkreeg geldig is. Dit hangt af van de context zoals het doeleinde waarop de toestemming betrekking heeft, de draagwijdte van de initiële toestemming, de aard van uw activiteit, de rechtmatige en redelijke verwachtingen van de persoon die de toestemming heeft gegeven. Bijvoorbeeld je stemt in om je medewerking te verlenen aan een sociologisch onderzoek naar het stemgedrag. Je toestemming heeft alleen betrekking op dit specifiek onderzoek. Eens dit onderzoek is afgerond is de toestemming “uitgeput”.

Na verloop van tijd moet je moet als verwerkingsverantwoordelijke nagaan of de toestemming nog een voldoende rechtsgrond vormt om bijvoorbeeld gegevens van iemand te bewaren rekening houdend met het doeleinde waarvoor die toestemming werd gegeven (= toepassing van het proportionaliteitsbeginsel – artikel 5.1.e) AVG.

 

De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken (artikel 7.3 AVG)

De AVG zegt niet hoe die intrekking moet gebeuren. Het Europees Comité voor gegevensbescherming (EDPB) stelt in dit verband: “Wanneer toestemming echter wordt verkregen via elektronische middelen, door middel van slechts één muisklik, veeg of toetsenaanslag, moet de betrokkene deze toestemming, in de praktijk, ook even eenvoudig kunnen intrekken”.  

Betrokkenen verplichten om een complex pad te volgen via links naar onderliggende elektronische documenten of dat hen verplicht om een wachtwoord in te voeren, voldoet niet aan de eis dat de intrekking even eenvoudig moet kunnen plaatsvinden. Wanneer er cookies “van derden” geplaatst worden, voldoet het doorverwijzen van de betrokkene naar de informatiepagina's van die derden en hem verplichten daar voor elk van die partijen te zoeken naar de manier om zijn intrekking/weigering van toestemming uit te drukken, evenmin aan die eis.

Wanneer een betrokkene zijn toestemming intrekt, moeten je alle verwerkingen die op zijn toestemming berusten, stopzetten. Dit doet echter geen afbreuk aan de rechtmatigheid van de verrichtingen uitgevoerd op basis van de geldig gegeven toestemming vóór de intrekking.

Wanneer u actief bent in de sector van de diensten van de informatiemaatschappij en uw publiek minderjarigen kan omvatten, moet u de regels van artikel 8 van de AVG in acht nemen die aanvullende verplichtingen invoeren met het oog op een beter niveau van gegevensbescherming voor kinderen. De redenen hiervoor vindt je in overweging 38 van de AVG: " [...] aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens [...]"  en voegt daar nog aan toe dat "Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten."

Een dienst van de informatiemaatschappij is: elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten wordt verricht. (artikel 4. 25) AVG dat verwijst naar artikel 1.1.b) van de Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij).

In de context van dergelijke diensten, kan je in België persoonsgegevens van minderjarigen alleen verwerken op basis van hun toestemming als ze de leeftijd van 13 jaar hebben bereikt. Is het kind jonger dan 13 jaar dan moet je de toestemming hebben van de volwassene die de ouderlijke verantwoordelijkheid draagt.

Je moet als verwerkingsverantwoordelijke een redelijke inspanning doen om te controleren of de betrokkene inderdaad de leeftijd heeft waarop hij toestemming voor een dienst van de informatiemaatschappij kan geven. Heeft hij die niet, dan zal je verwerking in de mate dat ze op de toestemming is gebaseerd, onrechtmatig zijn. Verklaart de betrokkene dat hij niet de vereiste leeftijd heeft, dan moet je de toestemming van een ouder krijgen en met in achtneming van de beschikbare technologieën redelijke inspanning doen om te controleren of die persoon inderdaad de ouderlijke verantwoordelijkheid heeft (artikel 8.2 AVG). In het kader van je verantwoordingsplicht als verwerkingsverantwoordelijke moet je ervoor zorgen dat je de redelijke inspanningen die je doet, documenteert

Let op:

  • bij grensoverschrijdende verwerkingen: de leeftijd voor toestemming met diensten van de informatiemaatschappij is niet in alle EU-landen dezelfde. In Frankrijk bijvoorbeeld bedraagt die 16 jaar;
  • de regeling van artikel 8 AVG doet geen afbreuk aan de algemene regels die van toepassing zijn met betrekking tot de geldigheid van een overeenkomst en de gevolgen van overeenkomsten ten overstaan van kinderen. (artikel 8.3 AVG).

Voor meer informatie over de rechtsgrond “toestemming”: lees “Richtsnoeren inzake toestemming overeenkomstig verordening 2016/679” van de Groep gegevensbescherming artikel 29 vastgesteld op 28 november 2017 en laatstelijk herzien en vastgesteld op 10 april 2018 en bekrachtigd door de EDPS.