Toestemming van betrokkene, hoe?

Toestemming van de betrokkene is één van de grondslagen waar persoonsgegevens op mogen worden verwerkt. Om te spreken van een geldige toestemming, moet de toestemming aan een aantal voorwaarden voldoen. Ten eerste moet de toestemming vrij gegeven zijn. Een natuurlijk persoon moet de keuze hebben om te weigeren, zonder dat er hier negatieve consequenties aan verbonden zijn. Bijvoorbeeld in de arbeidssfeer of relatie overheid-burger zal toestemming niet snel vrij te geven zijn. U mag de verwerking van persoonsgegevens dan niet op basis van toestemming verwerken. Ten tweede moet de toestemming specifiek zijn en geïnformeerd. U als verwerkingsverantwoordelijke moet duidelijke informatie verstrekken over de reden(en) waarom u persoonsgegevens gaat verwerken of met welk doel? Nadere uitleg is nodig over de wijze waarop u de persoonsgegevens verwerkt, met wie u persoonsgegevens gaat delen, hoe lang u deze gaat bewaren en of ze naar landen buiten de Europese Unie worden doorgegeven. Tenslotte moet de toestemming ondubbelzinnig zijn. Er mag geen twijfel bestaan over het feit dat de betrokkene toestemming heeft gegeven. Vaak wordt hiervoor de term 'opt in' gehanteerd (bijvoorbeeld een vinkje in een vakje akkoord). Opt out; het gebruik maken van de optie om je van toestemming te onthouden, is geen toestemming (bijvoorbeeld het vakje is al aangekruist en de betrokkene vinkt het niet uit). Dan is er geen sprake van ondubbelzinnige toestemming tot stand gekomen. Met andere woorden, het afleiden van toestemming uit het feit dat iemand niet handelt of niet protesteert, is niet toegestaan.

Voorwaarden aan de toestemming

De bewijslast voor het aantonen van de toestemming is verkregen ligt bij de verwerkingsverantwoordelijke. Deze moet aantonen dat de betrokkene toestemming heeft gegeven voor het verwerken van persoonsgegevens. Als de toestemming is gegeven in een schriftelijke verklaring die ook op andere zaken betrekking heeft, moet u in begrijpelijke en gemakkelijke wijze en in duidelijke en eenvoudige taal het onderscheid aangeven tussen dat waarvoor de betrokkene toestemming geeft en de andere zaken. De betrokkene mag te allen tijde zijn toestemming intrekken. Deze intrekking heeft geen invloed op de verwerkte persoonsgegevens voor het moment van intrekking. De verwerkingsverantwoordelijke moet de betrokkene op de hoogte stellen over de optie van intrekken toestemming alvorens de toestemming wordt verleend. De optie van intrekken van toestemming moet net zo eenvoudig kunnen plaatsvinden als het geven.

Wanneer toestemming wordt gevraagd in het kader van diensten informatie (online diensten zoals webwinkels en sociale media) en de betrokkene is nog geen 16 jaar, dan moeten ouders of de wettelijke vertegenwoordigers de toestemming geven. U als verwerkingsverantwoordelijke moet redelijke inspanning verrichten, met debeschikbare technologie mogelijk, om te controleren dat de toestemming inderdaad door de ouder of degene met het ouderlijk gezag is gegeven.

Het verwerken van persoonsgegevens op de grondslag van toestemming kan complex zijn voor uw organisatie. Vraag advies om aantoonbaar aan de GDPR te voldoen en een goede relatie met uw klanten op te bouwen. DPO Partner kan betekenisvol zijn voor uw organisatie.

Missie

Vanuit mijn passie om de klantbelofte waar te maken, ben ik sinds 2012 als compliance officer zelfstandig actief. Op het fundament van vertrouwen ambieer ik het functioneren van organisaties te versterken. Privacy is voor iedere persoon een waardevol goed. Ik heb mij daar in gespecialiseerd om voor u een waardevolle partner te zijn.

frans  - Frans Pijnenborg CCP DPO -

Kantoortijden:
Maandag tot en met vrijdag
8.30 – 17.30 uur

Privacy gaat 24/7 door.
In geval van calamiteit zoals een datalek of een default zijn wij altijd bereikbaar. 

Privacy- en cookie statement

Copyright © www.dpopartner.nl

Website gerealiseerd door: Van Laarhoven Websites