ris-rijkschroeff-juristen
contact

Moet je altijd toestemming vragen om persoonsgegevens te mogen verwerken?

Veel organisaties zijn in de aanloop naar 25 mei 2018, wanneer de Europese privacywetgeving van toepassing zal zijn, bezig om kennis op te doen over de wetgeving en veranderingen door te voeren waar dat nodig is. In gesprekken hoor je regelmatig dat je straks voor alles toestemming moet vragen om persoonsgegevens te mogen verwerken. Maar klopt dat wel? Heb je echt altijd toestemming nodig? In dit artikel zal daar antwoord op worden gegeven.

Grondslag voor het verwerken van persoonsgegevens

Als je persoonsgegevens wilt verwerken, dan moet daar een reden voor zijn. Die reden kan bijvoorbeeld zijn dat je de adresgegevens nodig hebt om het bestelde naar toe te sturen of dat je de gegevens nodig hebt om in een arbeidsovereenkomst te zetten. Hoe dan ook, de verwerking moet op zorgvuldige wijze gedaan worden. Dat houdt onder andere in dat persoonsgegevens alleen mogen worden verwerkt als daarvoor een juridische grondslag aanwezig is.

De Europese privacyverordening geeft zes limitatief opgesomde grondslagen (de verwerking kan onder meerdere grondslagen tegelijkertijd vallen):

  1. Toestemming van betrokkene;
  2. De verwerking is noodzakelijk voor precontractuele maatregelen of voor de uitvoering van een overeenkomst;
  3. Er moet worden voldaan aan een wettelijke verplichting;
  4. De verwerking is noodzakelijk om vitale belangen van betrokkene te beschermen;
  5. De verwerking is noodzakelijk ter vervulling van een publieke taak;
  6. De verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen.

Toestemming als grondslag

Voor commerciële organisaties zullen de meeste verwerkingen vallen onder ‘uitvoering van een overeenkomst’ en ‘wettelijke verplichting’. Bij wettelijke verplichtingen moet worden gedacht aan het eerder aangehaalde versturen van de bestelling en fiscale verplichtingen.

Wanneer persoonsgegevens op grond van toestemming worden verwerkt, dan gelden er zwaardere eisen dan wanneer er op andere gronden verwerking plaatsvindt. Het gaat meestal fout door onjuiste of onvolledige informatie te geven of dat de informatie misleidend is.

Toestemming moet worden gegeven voor een specifieke verwerking van persoonsgegevens. Op het moment dat de informatie onjuist, onvolledig of misleidend is, dan kan de betrokkene nooit geldige toestemming geven. Achteraf zal er dan ook (bijna) altijd worden geoordeeld dat de persoonsgegevens ongeoorloofd zijn verwerkt. 

Daarnaast is het zo, dat wanneer er op grond van toestemming persoonsgegevens worden verwerkt, dat er een administratieplicht ontstaat. Je moet namelijk kunnen aantonen dat de toestemming is gegeven, dat deze ondubbelzinnig is gegeven, op juiste informatie berust, voldoende specifiek is èn dat het door een vrije handeling is gegeven.

Wat ook niet meewerkt is dat toestemming altijd ingetrokken kan worden. Dat betekent dus dat er een kans bestaat dat de verwerking gestaakt moet worden. Ga je toch door met het verwerken van de persoonsgegevens nadat de toestemming is ingetrokken, dan kan de toezichthouder handhavend optreden en boetes opleggen. De boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde omzet.

Omdat bij toestemming meerdere haken en ogen zijn, verdient het de voorkeur om eerst te kijken of de verwerking op basis van een van de andere gronden gedaan kan worden. Pas als dat niet mogelijk is, dan zou toestemming gebruikt moeten worden.

Conclusie

Het verwerken van persoonsgegevens op basis van toestemming is een van de zes limitatief opgesomde gronden om persoonsgegevens te mogen verwerken. Omdat bij toestemming zwaardere eisen gelden, geniet het de voorkeur om eerst te kijken of de verwerking niet op basis van een van de andere gronden gedaan kan worden. Pas als dat niet kan, dan zou er gekeken moeten worden naar de grondslag toestemming.

Mocht u nadere informatie willen over dit onderwerp of een afspraak willen maken, dan kunt u contact opnemen via het telefoonnummer 020 - 491 78 01 of u kunt een email sturen naar info@ris-rijkschroeff.nl.