Wanneer de Algemene Verordening Gegevensbescherming (GDPR) op 25 mei 2018 volledig zal worden toegepast is de hele Europese Unie, zal het in bepaalde gevallen nodig zijn om de uitdrukkelijke toestemming van gebruikers te verkrijgen om hun persoonlijke gegevens te mogen verzamelen.
Maar wat is uitdrukkelijke toestemming? In welke specifieke gevallen moet het worden verkregen? Deze en meer vragen beantwoorden we in deze post over de GDPR (EU) 2016/679.
Deze post is ook beschikbaar in het Engels.
|
Inhoudsopgave
|
GDPR: wat is uitdrukkelijke toestemming?
In principe moeten de definitie en vereisten van uitdrukkelijke toestemming hetzelfde zijn als die van algemene toestemming, zoals vermeld in de GDPR:
“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige indicatie van de wensen van de betrokkene waarmee hij of zij, door een verklaring of actieve bevestigende handeling toestemt met de verwerking van persoonsgegevens die op hem of haar betrekking hebben”.
De GDPR stelt een formele vereiste vast om toestemming te verkrijgen en te zorgen dat deze ondubbelzinnig is: de toestemming moet worden verkregen door middel van een verklaring of een duidelijke actieve handeling.
De term “duidelijke actieve handeling” geeft de GDPR een speciaal belang en verwijdert de mogelijkheid van stilzwijgende toestemming, zowel als de klassieke vooraf aangevinkte vakjes die waren toegestaan met de vorige wetgeving.
|
Daarnaast legt het Britse Information Commissioner’s Office (ICO) uit dat de verzoeken voor toestemming het volgende moeten zijn:
|
Wat is het grootste verschil met algemene toestemming?
Het verschil met uitdrukkelijke toestemming zit hem in het feit dat er geen ruimte mag zijn voor vrije interpretatie en het op een precieze en duidelijke manier moet worden verzameld.
Het verschil is dus dat degenen die verantwoordelijk zijn voor de gegevens ervoor moeten zorgen dat zij de toestemming op een onbetwistbare manier verkrijgen.
Zoals aangegeven door de Britse ICO: "de verklaring om expliciete toestemming te verkrijgen moet de aard van de te verzamelen gegevens specificeren, alsook de details van de geautomatiseerde beslissing en de effecten of de details van de gegevens die zullen worden overgedragen en de risico's van genoemde doorgifte".
Wanneer is de uitdrukkelijke toestemming van klanten nodig?
De GDPR stelt de situaties vast waarin toestemming zowel ondubbelzinnig als uitdrukkelijk moet zijn:
-
Bij de verwerking van gevoelige gegevens (artikel 9.2.a)
Deze gegevens krijgen speciale bescherming in de verordening vanwege hun aard of de relatie die ze zouden kunnen hebben met de fundamentele rechten en vrijheden van mensen: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
-
Bij geautomatiseerde individuele besluitvorming, waaronder profilering (artikel 22.2.c)
Deze praktijken die worden uitgevoerd in digitale reclame, hoewel ze tal van voordelen bieden, kunnen ook aanzienlijke risico's met zich meebrengen voor de rechten en vrijheden van mensen. Om de gegevens wettelijk te verwerken, is daarom de uitdrukkelijke toestemming van de betrokken partij vereist.
-
Bij de internationale doorgifte van gegevens (artikel 49.1.a)
De GDPR bepaalt dat de doorgifte van gegevens naar andere landen mogelijk zal zijn zonder een bepaald beschermingsniveau, zolang de uitzonderingen voor overdracht tussen hen worden nageleefd en de versterkte toestemming van de belanghebbende partij wordt verkregen.
De belanghebbende moet uitdrukkelijk instemmen met deze voorgestelde doorgifte, na te zijn ingelicht over de mogelijke risico's die deze doorgifte met zich meebrengen.
Als er geen rechtsgrond voor de verwerking van persoonsgegevens opgaat, zoals de uitvoering van een contractuele overeenkomst of een wettelijke verplichting, is het ook nodig om toestemming te ontvangen van de betrokkene.
Achteraf verifieerbaar, de sleutel tot uitdrukkelijke toestemming
Bij deze gevallen wordt het passend geacht om de mate van zeggenschap van belanghebbende partijen ten opzichte van hun persoonsgegevens te verhogen. Daarom vereist de verordening dat personen deze verwerking accepteren door middel van een duidelijke schriftelijke verklaring, elektronische methoden zoals een elektronische handtekening, een mondelinge verklaring of door een vakje op een website aan te vinken.
Zoals aangegeven in artikel 7.1 van de Europese verordening, is het echter belangrijk om er rekening mee te houden dat de toestemming achteraf verifieerbaar moet zijn, en dat degenen die de persoonsgegevens verzamelen moeten kunnen aantonen dat zij de toestemming van de betrokkene hebben verkregen.
“Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens."
art. 7.1 GDPR
Een voor de hand liggende manier om onbetwistbare, uitdrukkelijke toestemming te kunnen aantonen, is door middel van een schriftelijke verklaring ondertekend door de belanghebbende partij. Een mondelinge verklaring is bijvoorbeeld veel moeilijker te bewijzen wanneer dat nodig is.
Bovendien kan deze ondertekende, schriftelijke verklaring in een digitale context gemakkelijk worden verkregen door het gebruik van een elektronische handtekening, rechtstreeks aanbevolen door WP29 - een onafhankelijk adviesorgaan dat is geïntegreerd door de gegevensbeschermingsautoriteiten van alle lidstaten, de Europese toezichthouder voor gegevensbescherming en de Europese Commissie - in het document Richtlijnen voor toestemming op grond van Verordening 2016/679 (Engels).
Op deze manier worden alle mogelijke twijfels en het potentiële gebrek aan bewijs weggenomen bij het verkrijgen van uitdrukkelijke toestemming.
Conclusie
Bedrijven moeten dus hun mechanismen aanpassen die ze gebruiken voor het verkrijgen van toestemming om aan de nieuwe vereisten van de verordening te voldoen en er zo voor te zorgen dat de toestemmingen die zij verkrijgen vrij, geïnformeerd, specifiek, ondubbelzinnig en (in de bovengenoemde gevallen) expliciet zijn.
Het gebruik van tools die de toestemming van gebruikers kunnen aantonen zodat er geen discussie is over hun vrije wil is een van de belangrijkste uitdagingen die verwerkingsverantwoordelijken moeten aangaan. De beste optie om hieraan te voldoen is de elektronische handtekening van Signaturit.
Als u vragen heeft over het verkrijgen van uitdrukkelijke toestemming met onze oplossing voor elektronische handtekeningen, kunt u ons een e-mail sturen naar: info@signaturit.com of bel ons op +31 208 086 203.
Deze post is ook beschikbaar in het Engels.
