De GDPR laat de verwerkingsverantwoordelijke toe om persoonsgegevens te verwerken op basis van de toestemming van de betrokkenen. Om van een geldige toestemming te kunnen spreken moet deze vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn.
Een vrij gegeven toestemming impliceert dat de betrokkene een keuze heeft en de controle over die keuze bezit. Wanneer de betrokkene eigenlijk niet anders kan dan toestemmen (omdat hij anders nadelige gevolgen zou ondervinden of omdat het een niet-onderhandelbaar deel is van algemene voorwaarden), kan men niet spreken van een vrij gegeven toestemming.
Wanneer er een wanverhouding bestaat tussen de verwerkingsverantwoordelijke en de betrokkene (de verwerkingsverantwoordelijke is bijvoorbeeld een overheidsinstantie of de werkgever van de betrokkene), zal men vaak, maar niet altijd, niet aanvaarden dat de toestemming vrij gegeven is. Doorslaggevend is of de betrokkene nadelige gevolgen ondervindt wanneer hij zijn toestemming niet geeft.
Een toestemming is pas geldig wanneer de betrokkene een goede omschrijving heeft gekregen van het doel van de verwerking. Als de verwerkingsverantwoordelijke de persoonsgegevens wil verwerken voor meerdere doeleinden, dan zal hij die allemaal uitdrukkelijk moeten omschrijven.
Verwerkingsverantwoordelijken moeten voldoende informatie aan de betrokkene verstrekken over de beoogde verwerking, zodat de betrokkene een geïnformeerde keuze kan maken over het al dan niet verlenen van zijn toestemming. De GDPR legt een aantal minimale vereisten op.
De informatie moet in duidelijke en begrijpelijke taal verleend worden aan de betrokkene.
De toestemming moet een verklaring of een ondubbelzinnige actieve handeling vereisen van de betrokkene. Stilte of inactiviteit van de betrokkene kan niet leiden tot een geldige toestemming.
De verwerkingsverantwoordelijke draagt de bewijslast. Zolang de verwerking loopt, moet hij kunnen aantonen dat hij een geldige toestemming heeft gekregen van de betrokkene.
De toestemming geldt niet voor eeuwig. Wanneer de verwerkingsactiviteit aanzienlijk verandert of evolueert (bijvoorbeeld door nieuwe technologieën), is de toestemming niet meer geldig.
Een betrokkene kan te allen tijde zijn toestemming intrekken. Het intrekken van de toestemming moet even eenvoudig zijn als het geven ervan, moet kosteloos zijn en mag niet leiden tot een minder kwaliteitsvolle dienstverlening.
Dit bericht is een samenvatting/vertaling van een aanbeveling van de Article 29 Data Protection Working Party. Meer weten.
Bron: Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 119 van 4 mei 2016.