Hoe moet het begrip ‘toestemming’ worden begrepen in de GDPR?

5 januari 2018

Toestemming is één van de zes mogelijke rechtsgronden voorzien in de GDPR op basis waarvan persoonsgegevens verwerkt kunnen worden. Op 28 november 2017 heeft de zogenaamde ‘Artikel 29-werkgroep’, afgekort de WP29  - het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders - een advies gepubliceerd waarin het begrip ‘toestemming’ behandeld wordt.

Zoals besproken werd in een eerdere Newsflash, voert de GDPR nieuwe en strengere voorwaarden in met betrekking tot toestemming. De GDPR definieert toestemming als (i) een vrije, (ii) specifieke, (iii) geïnformeerde en (iv) ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een actieve handeling de verwerking van diens persoonsgegevens aanvaardt. In haar advies gaat de WP29 nader in op wat deze vier geldigheidsvoorwaarden precies inhouden en besluit dat - om geldig te zijn - toestemming moet:

  • vrij gegeven zijn: de betrokkene moet een werkelijke keuze en een zekere mate van controle over de verwerking van de persoonsgegevens hebben. Toestemming zal bijgevolg niet geldig zijn als er een wanverhouding in macht bestaat tussen  de verwerkingsverantwoordelijke en de betrokkene - zoals het geval is in het kader van een arbeidsovereenkomst - of wanneer de uitvoering van een overeenkomst afhankelijk wordt gesteld van het verlenen van de toestemming. Daarnaast moet - indien de verwerking meerdere doeleinden heeft - toestemming voor elk daarvan afzonderlijk worden verleend. Tot slot moet de betrokkene kunnen weigeren zijn / haar toestemming te geven of deze terug in kunnen trekken zonder dat dit nadelige gevolgen kan hebben.
     
  • specifiek zijn: volgens de WP29 is toestemming enkel specifiek als de verwerkingsverantwoordelijke (i) het doel van de verwerking uitlegt, (ii) afzonderlijke toestemming vraagt voor een verwerking met meerdere doeleinden, en (iii) de informatie met betrekking tot het verkrijgen van toestemming voor gegevensverwerking duidelijk onderscheidt van de informatie met betrekking tot andere zaken.
     
  • geïnformeerd zijn: toestemming kan - zo stelt de WP29 - enkel geïnformeerd zijn als minstens de volgende informatie aan de betrokkene werd verschaft:
    • de identiteit van de verwerkingsverantwoordelijke;
    • het doel van elke gegevensverwerking waarvoor de toestemming gevraagd wordt;
    • het type van data dat verzameld en gebruikt zal worden;
    • het recht om de toestemming in te trekken;
    • informatie over het gebruik van de gegevens in het kader van geautomatiseerde besluitvorming;
    • mogelijke risico’s van doorgiften van persoonsgegevens naar derde landen buiten de EER.
  • ondubbelzinnig zijn: toestemming moet worden gegeven door een actieve handeling of verklaring waaruit de toestemming duidelijk blijkt zoals een handtekening op een formulier of een click op een scherm. Zogenaamde “preticked boxes’ of impliciete akkoorden zijn voortaan niet meer mogelijk.

De WP29 stelt verder dat een verwerkingsverantwoordelijke steeds moet kunnen bewijzen dat ze de (geldige) toestemming van de betrokkenen gekregen hebben. Zo moet er bewezen kunnen worden wanneer de toestemming verkregen werd en welke informatie aan de betrokkenen werd gegeven.

De Werkgroep benadrukt daarnaast dat de betrokkene steeds de mogelijkheid heeft om zijn / haar toestemming in te trekken. Het moet voor de betrokkene even eenvoudig zijn om de toestemming in trekken als het was om deze te geven. Als de toestemming bijvoorbeeld gegeven werd met een eenvoudige muisklik, moet deze even eenvoudig kunnen worden ingetrokken.

Wat is uitdrukkelijke toestemming?

De WP29 gaat daarnaast nader in op het begrip ‘uitdrukkelijke toestemming’. De GDPR bepaalt immers dat in bepaalde specifieke situaties (zoals bv. het verwerken van gevoelige persoonsgegevens zoals gezondheidsgegevens, gegevens waaruit ras blijkt, ...) toestemming ’uitdrukkelijk’ moet zijn. Volgens de WP29 is in dat geval een uitdrukkelijke verklaring van toestemming verplicht bv.: een schriftelijke verklaring, een e-mail, een ingevuld elektronisch formulier,...

Bijzondere aandachtsgebieden

Daarnaast identificeert de Werkgroep twee bijzondere aandachtsgebieden in de GDPR:

  • kinderen: met betrekking tot rechtstreeks aangeboden online diensten bepaalt de GDPR dat kinderen enkel geldig hun toestemming kunnen geven als zij minstens 16 jaar oud zijn (tenzij de lidstaat een lagere leeftijd bij wet voorzien heeft). Als het kind jonger dan 16 is, moet toestemming gegeven worden door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. Volgens de WP29 moeten verwerkingsverantwoordelijken redelijke inspanning leveren om de leeftijd van het kind te achterhalen en daaraan aangepaste taal gebruiken.
     
  • Wetenschappelijk onderzoek: de GDPR voorziet voor wetenschappelijk onderzoek bij wijze van uitzondering dat het doel van de gegevensverwerking meer algemeen omschreven kan worden. De Werkgroep wijst er in haar advies op dat deze uitzondering strikt geïnterpreteerd moet worden, zeker wanneer het gevoelige gegevens betreft.

Toestemming gegeven voor de GDPR

Indien toestemming gegeven was voor de inwerkingtreding van de GDPR, zal deze - zo stelt de Werkgroep - enkel geldig zijn na de inwerking van de GDPR als deze voldoet aan de nieuwe voorwaarden. De Werkgroep adviseert verwerkingsverantwoordelijken om - indien de toestemming niet meer geldig zou zijn vanaf de inwerkingtreding van de GDPR - ofwel een nieuwe toestemming te bekomen die wel in overeenstemming met de GDPR is, ofwel de gegevensverwerking op grond van een andere wettelijke rechtsgrond uit te voeren.

In dat verband herinneren we er graag aan dat voor vele verwerkingen andere rechtsgronden mogelijk zijn en toestemming dus niet nodig is. De meest nuttige rechtsgronden zijn:

  • Noodzaak voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen (bv. arbeidsovereenkomst);
  • Noodzaak om te voldoen aan een wettelijke verplichting (sociaal recht, boekhoudrecht, ...);
  • Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen.