Direct naar de inhoud

Antwoord

Wanneer voor de verwerking van persoonsgegevens toestemming moet worden verkregen, is die toestemming alleen geldig als aan de volgende voorwaarden is voldaan:

  • de toestemming moet vrijelijk zijn gegeven;
  • de toestemming moet geïnformeerd zijn;
  • de toestemming moet voor een bepaald doel worden gegeven;
  • alle redenen voor de verwerking moeten duidelijk zijn vermeld;
  • de toestemming is expliciet en wordt via een positieve handeling gegeven (bijvoorbeeld een elektronisch selectievakje dat de betrokkene online expliciet moet inschakelen, of via een handtekening op een formulier);
  • de toestemming is opgesteld in duidelijke en eenvoudige taal en is duidelijk zichtbaar;
  • het is mogelijk om de gegeven toestemming in te trekken en die mogelijkheid wordt toegelicht (bijvoorbeeld een afmeldlink onderaan in een elektronische nieuwsbrief per e-mail).

Om vrijelijk toestemming te kunnen geven moet de betrokkene vrije keuze hebben en moet hij of zij in staat zijn toestemming te weigeren of in te trekken zonder te worden benadeeld. Toestemming is niet vrij verleend wanneer sprake is van een duidelijke wanverhouding tussen de betrokkene en de onderneming/organisatie (bijvoorbeeld in de relatie tussen werkgever/werknemer) of als uw onderneming/organisatie de toestemming van personen verlangt voor het verwerken van onnodige persoonsgegevens als voorwaarde om een overeenkomst of dienst te kunnen uitvoeren.

Voor geïnformeerde toestemming moet de betrokkene ten minste de volgende informatie ontvangen:

  • de identiteit van de onderneming/organisatie die de gegevens verwerkt;
  • de doeleinden voor het verwerken van de gegevens;
  • het soort gegevens dat zal worden verwerkt;
  • de mogelijkheid om de gegeven toestemming in te trekken (voorbeeld: een afmeldlink onderaan in een e‑mail);
  • indien van toepassing: het feit dat de gegevens zullen worden gebruikt voor besluitvorming die uitsluitend geautomatiseerd tot stand komt, waaronder profilering;
  • als de toestemming verband houdt met een internationale overdracht, de mogelijke risico's van gegevensoverdrachten naar derde landen die niet onderworpen zijn aan een adequaatheidsbesluit van de Commissie en waar er geen passende waarborgen bestaan.

Vergeet niet: wanneer iemand met de verwerking van zijn of haar persoonsgegevens instemt, mag u deze persoonsgegevens alleen verwerken voor de doeleinden waarvoor toestemming is gegeven.

Voorbeelden

Vrije toestemming

Uw onderneming is een vliegmaatschappij en de privacyverklaring van die onderneming geeft aan dat de persoonsgegevens van klanten kunnen worden verwerkt voor een wedstrijd die door uw onderneming wordt georganiseerd waarbij een gratis vlucht als prijs wordt aangeboden. De klanten die het vakje hebben aangevinkt om in te stemmen met deelname aan de wedstrijd hebben duidelijk gemaakt dat zij ermee instemmen dat hun persoonsgegevens zullen worden verwerkt voor het doel van de wedstrijd. Er is toestemming verleend om gegevens te verwerken voor het doel van de wedstrijd, maar niet voor andere doeleinden.

Geen vrije toestemming

Uw onderneming/organisatie biedt online-filmdiensten aan. Bij het verzamelen van de gegevens die nodig zijn voor die overeenkomst vraagt u ook om aanvullende gegevens, zoals iemands seksuele geaardheid of politieke overtuigingen. Die persoon kan geloven dat zijn of haar toestemming voor de verwerking van dit soort gegevens noodzakelijk is om toegang te krijgen tot de films die hij of zij aanvraagt. De toestemming is hier niet vrij, het is een „gebonden toestemming”.

Referenties

Examples

Free consent

You're an airline company and your Privacy Notice indicates that the personal data of customers can be processed for a competition organised by your company offering a free flight as a prize. The customers who ticked the box in agreeing to participate in the competition have clearly signalled their wish to have their personal data processed for the purpose of the competition. There is consent to process data for the purpose of the competition but not for other purposes.

Consent not free

Your company/organisation offers online movie services. When collecting the data needed for this contract you also ask for additional data, such as the sexual orientation or the political beliefs of a person. That person may believe that their consent for the processing of this type of data is necessary to access to the movies they request. The consent in this case isn’t free consent, it is a ‘tied consent’.