Antwoord
Een verzoek om toestemming moet in een duidelijke en beknopte vorm worden gepresenteerd, opgesteld in makkelijk te begrijpen taal. Er moet een duidelijk onderscheid kunnen worden gemaakt met andere onderwerpen, zoals de algemene voorwaarden. Het verzoek dient te vermelden welk gebruik van uw persoonsgegevens zal worden gemaakt en wat de contactgegevens zijn van de onderneming die de gegevens verwerkt. De toestemming moet vrijelijk, specifiek en geïnformeerd worden gegeven en moet ondubbelzinnig zijn. „Geïnformeerd toestemming” houdt in dat u informatie moet krijgen over de verwerking van uw persoonsgegevens, en met name over:
- de identiteit van de organisatie die de gegevens verwerkt;
- de doeleinden van de verwerking van de gegevens;
- het soort gegevens dat zal worden verwerkt;
- de mogelijkheid om gegeven toestemming in te trekken (bv. door een e‑mail te sturen om uw toestemming in te trekken);
- indien van toepassing: het feit dat de gegevens uitsluitend gebruikt zullen worden voor besluitvorming die geautomatiseerd tot stand komt, waaronder profilering;
- de vraag of de toestemming betrekking heeft op een internationale overdracht van uw gegevens: de mogelijke risico’s van gegevensoverdrachten naar landen buiten de EU indien die landen niet onderworpen zijn aan een adequaatheidsbesluit van de Commissie en passende waarborgen ontbreken.
Voorbeelden
Toestemming niet gevraagd in overeenstemming met de AVG
U schrijft zich in bij een muziekschool voor pianoles. Bij het inschrijvingsformulier bevindt zich een lang document met kleine lettertjes en gespecialiseerde juridische en technische termen, waarin onder andere de mogelijkheid wordt opengelaten dat de school uw persoonsgegevens doorgeeft aan winkels die muziekinstrumenten verkopen. De school overtreedt hiermee de AVG, omdat u niet is gevraagd om uw toestemming om reclamemateriaal te ontvangen (mogelijk van verkopers voor muziekinstrumenten), zoals door de AVG is voorgeschreven.
U opent online een bankrekening en u wilt uw verzoek bevestigen. Er wordt een pagina weergegeven met twee vakjes met daarachter „Ik stem in met de algemene voorwaarden” en „Ik stem ermee in dat de beslissing of ik recht heb op een creditcard uitsluitend wordt gebaseerd op profilering, zonder enige menselijke tussenkomst”. Beide vakjes staan standaard aangekruist. U moet op het vakje klikken om het kruisje weg te halen als u niet wilt dat de beslissing of u recht hebt op een creditcard uitsluitend op profilering wordt gebaseerd. Zelfs als u het kruisje niet weghaalt, is de toestemming aan de bank ongeldig, omdat volgens de AVG van tevoren aangekruiste vakjes ongeldig zijn.
Verwijzingen
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.