“Duitse AVG” (DSGVO): over toestemming verlenen en intrekken

Een verwerkingsverantwoordelijke moet altijd in staat zijn aan te tonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgerelateerde gegevens

“Duitse AVG” (DSGVO): over toestemming verlenen en intrekken

Toestemming is een manier om te toetsen of iemand ermee akkoord gaat dat zijn persoonsgerelateerde gegevens worden verzameld en gebruikt. In tegenstelling tot de andere in de DSGVO genoemde omstandigheden hoef ik geen contracten te beoordelen of interpreteren of belangen van de verantwoordelijke en de betrokkene af te wegen.

Nee, ik moet gewoon verifiëren of de betrokkene heeft ingestemd met de verwerking van zijn persoonlijke gegevens. De betrokkene kan dit zowel schriftelijk doen, als digitaal of mondeling.

De toestemming is echter alleen rechtsgeldig als de betrokkene deze vrijwillig heeft verleend, als die is verleend met betrekking tot een specifiek geval en als in de toestemmingsverklaring precies wordt geïnformeerd over het doel van de verwerking van de persoonsgerelateerde gegevens. De toestemmingsverklaring is een niet voor misverstanden vatbare wilsuiting. Deze wilsuiting kan alleen actief door de betrokkene worden kenbaar gemaakt. Zo zijn reeds aangevinkte hokjes in internetportalen niet toegestaan. Nee, de betrokkene moet het hokje zelf actief aanvinken. Ook een verwijzing van de aanbieder naar relevante bepalingen in het contract volstaat niet. Ook in dat geval moet duidelijk zijn dat er actief toestemming is verleend voor het gebruik van de gegevens.

Vrijwilligheid

Wanneer heeft de betrokkene zijn toestemming vrijwillig verleend? Dat is uitsluitend aannemelijk als de betrokkene een echte en vrije keuze had. Dat betekent dat men aan de vrijwilligheid twijfelt als de betrokkene niet de mogelijkheid heeft zijn toestemming te weigeren of in te trekken.

Als een verwerkingsverantwoordelijke de betrokkene een kant en klare instemmingsverklaring voorlegt, moet deze verklaring begrijpelijk en helder en in eenvoudige taal zijn geformuleerd. Bovendien moet in de verklaring zijn vermeld wie de verwerkingsverantwoordelijke is, met welk doel de persoonsgerelateerde gegevens van de betrokkene worden verwerkt en welke rechten deze heeft.

Dubbele opt-in

Belangrijk voor de verantwoordelijke is bovendien dat hij te allen tijde in staat moet zijn aan te tonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgerelateerde gegevens. Hoe pakt hij dat aan? Door een document te laten ondertekenen of door te kiezen voor een dubbele opt-in, als online om toestemming wordt gevraagd, en dit proces nauwgezet vast te leggen.

Daarnaast is het van belang dat de betrokkene weet dat hij zijn toestemming op ieder moment weer kan intrekken. Dit betekent niet dat verwerking in het verleden onrechtmatig is zodra de betrokkene de verleende toestemming intrekt. De intrekking van de toestemming heeft alleen betrekking op toekomstige situaties.

Heeft u vragen over gegevensbescherming en de implicaties van de “Duitse AVG”, neem dan contact op met Dr. Romy Latka.

 

Seminar DSGVO

  • In planning

  • gepubliceerd : maandag, 08 april 2019