De AVG heeft in heeft totaal zes verwerkingsgrondslagen om persoonsgegevens te verwerken, opgesomd in artikel 6 lid 1 AVG. Een van die verwerkingsgrondslagen is de toestemmingsgrondslag. Voor de andere verwerkingsgrondslagen zie het | themadossier AVG.
De toestemmingsgrondslag (artikel 6 lid 1 sub a AVG) luidt als volgt:
‘‘1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: (..)
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; (..) ’’
Art. 4 onder 11 AVG definieert het begrip toestemming als:
‘‘elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt’’
Toepassingsgebied AVG
De AVG is niet altijd van toepassing, ondanks dat dit vaak wel wordt gedacht. Dit kan bijvoorbeeld het geval zijn wanneer de gegevensverwerking niet binnen het toepassingsgebied van de AVG valt. Daarnaast kunnen sectorspecifieke wetten prevaleren boven de AVG, waardoor een andere wet van toepassing is op de gegevensverwerking. Een voorbeeld hiervan is de Wet politiegegevens (Wpg), waarbij de gegevens als politiegegevens kunnen worden aangemerkt. Zie voor een uitgebreide toelichting van het toepassingsgebied | themadossier AVG
Noodzakelijkheid en subsidiariteit
Belangrijk om te realiseren is dat aan iedere AVG-grondslag de vereisten van subsidiariteit en proportionaliteit ten grondslag liggen. Bij iedere verwerking moet daarom worden stilgestaan of de verwerking
– proportioneel is, ofwel: bestaat er een redelijke verhouding tussen de aantasting van het recht enerzijds en de doelstelling die wordt nagestreefd anderzijds?
– subsidiair is, ofwel: is er een minder vergaande manier waarmee de doelen kunnen worden bereikt?
Deze toets moet bij iedere grondslag worden uitgevoerd, ook wanneer deze vereisten niet expliciet worden genoemd. Bij de gerechtvaardigd belang grondslag maken deze vereisten wel expliciet onderdeel van de toets. (1) | Themadossier AVG| Gerechtvaardigd belang
Noodzakelijkheid en subsidiariteit zijn voorbeelden van AVG-beginselen. Ook de overige beginselen moeten altijd in acht worden genomen. De EDPB benadrukt bij social media targeting ook de behoorlijkheid en kwaliteit van gegevens, zie art. 5 en overweging 39 AVG. (22)
Wil je gebruikmaken van de toestemmingsgrondslag? Let dan op de volgende voorwaarden bij het gebruik van deze grondslag.
Vrijwillig
De toestemming moet vrijwillig worden gegeven, zonder druk of dwang van de verwerkingsverantwoordelijke. De persoon moet een werkelijke keuze hebben. Als een werkgever de werknemer onder druk zet om toestemming te geven voor het delen van zijn persoonsgegevens met derde partijen, dan kan dit als ongeldige toestemming worden beschouwd (overweging 43 AVG). Ook wanneer toestemming als een verplicht onderdeel van de voorwaarden is opgenomen, wordt ervan uitgegaan dat de toestemming niet vrijwillig is verleend (art. 4 onder 11 AVG, art. 7 lid 4 AVG, overweging 32 AVG).
Specifiek
De toestemming moet specifiek zijn voor de gegevensverwerking die plaatsvindt. Er kan geen algemene toestemming worden gegeven. Als een organisatie dus toestemming vraagt voor het verwerken van persoonsgegevens voor verschillende doeleinden en de betrokkene alleen toestemming geeft voor een deel van deze doeleinden, dan kan de toestemming voor de overige doeleinden als ongeldig worden beschouwd (art. 4 onder 11 AVG, overweging 32, 43 AVG).
Ondubbelzinnig
De toestemming moet ondubbelzinnig zijn. Het moet gegeven worden door middel van een duidelijke en actieve handeling. Dit betekent dat toestemming voor het verwerken van persoonlijke gegevens expliciet moet zijn en niet mag worden verondersteld uit stilzwijgen, vooraf aangevinkte vakjes of inactiviteit. Toestemming wordt wel gegeven door het zelf aanvinken van een vakje op een website of het zelf uitkiezen van de technische instellingen, waarbij het duidelijk is dat de persoon akkoord gaat met de voorgestelde verwerking van zijn of haar persoonsgegevens (art. 4 onder 11, overweging 32 AVG).
Geïnformeerde toestemming
De verwerkingsverantwoordelijke moet de betrokkene informeren over de verwerking van exact welke persoonsgegevens en de betrokkene moet begrijpen waarvoor hij toestemming geeft (art. 7 lid 2 AVG en overweging 32 AVG). Hij moet altijd informatie ontvangen over de identiteit van de verantwoordelijke en de specifieke doeleinden van de verwerking, voordat deze plaatsvindt (art. 13 en 14 AVG). Dit is onderdeel van de informatieplicht en het beginsel van transparantie.
Intrekken van toestemming
De betrokkene heeft te allen tijde het recht om zijn toestemming in te trekken en moet daarover geïnformeerd worden. Het intrekken moet net zo makkelijk zijn als het verlenen van toestemming. Als een organisatie de betrokkene niet informeert over het recht om toestemming in te trekken en niet de nodige middelen biedt om dit te doen, kan dit als ongeldige toestemming worden beschouwd (art. 7 lid 3 AVG).
Geen nadelige gevolgen
Als iemand niet instemt of zijn toestemming intrekt, mogen er geen negatieve gevolgen zijn voor die persoon. Als iemand ervoor kiest om niet te worden gevolgd op een website, moet die persoon nog steeds in staat zijn om de website te gebruiken. De website mag niet vragen dat die persoon bijvoorbeeld betaalt om toegang te krijgen tot de site. Het is belangrijk om om keuzemogelijkheden aan te bieden. Dit onderstreept ook het vereiste van vrijwilligheid.
Minderjarigen
Als een kind jonger is dan 16 jaar, is het alleen toegestaan om zijn of haar persoonsgegevens te verwerken als de persoon die de ouderlijke verantwoordelijkheid draagt over dat kind toestemming geeft (art. 8 lid 1 AVG). Opmerking verdient wel dat artikel 8 AVG zich beperkt tot een rechtstreeks aanbod van diensten van de informatiemaatschappij. Gezien de verhoogde bescherming van kinderen in de AVG (overweging 38) kan mogelijk worden aangenomen dat kinderen ook in andere gevallen niet zelfstandig toestemming kunnen geven.
Verantwoordingsplicht
Een organisatie moet kunnen aantonen dat de betrokkene toestemming heeft gegeven. De persoon die verantwoordelijk is voor het verwerken van gegevens moet een toestemmingsverklaring opstellen die makkelijk te begrijpen is. Dit betekent dat de verklaring geen moeilijke taal of oneerlijke voorwaarden mag bevatten en gemakkelijk te vinden moet zijn (art. 7 lid 1 en overweging 42 AVG). | Themadossier Verantwoordingsplicht
Bijzondere categorieën van persoonsgegevens
Organisaties die bijzondere categorieën van persoonsgegevens verwerken, zoals gezondheidsgegevens, moeten kunnen aantonen dat er uitdrukkelijke toestemming is gegeven, zie art. 9 AVG en par. 3.1 UAVG. Voor meer informatie over de verwerking van gezondheidsgegevens zie het boek Privacy in de zorg, 2.4.1, verkrijgbaar via het Data&Privacyweb Pro en Expert lidmaatschap en in onze bookshop.
Voorbeelden uit de praktijk
Cookie tracking op website (Planet49-arrest)
Verzamelen en bewaren van kopieën van identiteitsbewijzen (Orange România)
Uitdrukkelijke toestemming bij bijzondere gegevens of strafrechtelijke gegevens (GC/CNIL)
Geen toestemming nodig, andere grondslag
Verder leren
Actualiteitencursus AVG