© 2019 by HumanITi 

BTW 0720 715 047

GDPR en consent

Vicky Buelens, is advocate bij KOBALT legal en gespecialiseerd in ondernemingsrecht en arbeidsrecht. Zij geeft regelmatig voordrachten en workshops over GDPR en het optimaal afstemmen jouw HR en businesscontracten op Office 365 en Business Central. Zij ontwikkelde het eerste Belgische ontslagplatform ontslagadvies.be en schreef verschillende handboeken over ontslag en social media op het werk.

De toestemming is één van de zes mogelijke rechtsgronden voorzien in de GDPR op basis waarvan persoonlijke data verwerkt mogen worden.



De GDPR definieert toestemming als:


(i) een vrije,


Een vrije toestemming betekent dat de betrokkene een werkelijke keuze en een zekere mate van controle over de verwerking van de persoonsgegevens moet hebben. Toestemming zal dus niet geldig zijn als er een wanverhouding in macht bestaat tussen de verwerkingsverantwoordelijke en de betrokkene - zoals bijvoorbeeld in een arbeidsovereenkomst - of wanneer de uitvoering van een overeenkomst afhankelijk wordt gesteld van het verlenen van de toestemming.

Daarnaast moet - als de verwerking meer dan één doel heeft - toestemming voor elk daarvan afzonderlijk worden gegeven.

Tot slot moet de betrokkene kunnen weigeren zijn of haar toestemming te geven of deze terug in kunnen trekken zonder dat dit nadelige gevolgen kan hebben.


(ii) specifieke,

Een toestemming is enkel specifiek als de verwerkingsverantwoordelijke het doel van de verwerking uitlegt, afzonderlijke toestemming vraagt voor een verwerking met meerdere doelen, en de informatie over de toestemming duidelijk onderscheidt van informatie over andere zaken.


(iii) geïnformeerde


De toestemming kan maar geïnformeerd zijn als minstens de volgende info aan de betrokkene werd bezorgd:

· de identiteit van de verwerkingsverantwoordelijke

· het doel van elke gegevensverwerking waarvoor de toestemming gevraagd wordt

· het type van data dat verzameld en gebruikt zal worden

· het recht om de toestemming in te trekken;

· informatie over het gebruik van de gegevens in het kader van geautomatiseerde besluitvorming

· mogelijke risico’s van doorgiften van persoonsgegevens naar derde landen buiten de EER


(iv) En ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een actieve handeling de verwerking van diens persoonsgegevens aanvaardt


De toestemming moet worden gegeven door een actieve handeling of een verklaring waaruit de toestemming duidelijk blijkt zoals een handtekening op een formulier of een click op een scherm. Zogenaamde “preticked boxes’ of impliciete akkoorden zijn voortaan niet meer mogelijk (opt-in ipv opt-out).


Bewijs


Belangrijk hierbij is dat de verwerkingsverantwoordelijke altijd moet kunnen bewijzen dat ze de (geldige) toestemming van de betrokkenen gekregen hebben. Zo moet er bewezen kunnen worden wanneer de toestemming verkregen werd en welke informatie aan de betrokkenen werd gegeven.

Het moet voor de betrokkene ook even eenvoudig zijn om de toestemming in trekken als het was om deze te geven.


Uitdrukkelijke toestemming voor gevoelige data


De GDPR bepaalt dat in bepaalde specifieke situaties (zoals bv. het verwerken van gevoelige persoonsgegevens zoals gezondheidsgegevens, gegevens waaruit ras blijkt, ...) de toestemming ’uitdrukkelijk’ moet zijn. Dit is op te lossen door bijvoorbeeld een schriftelijke verklaring te laten opmaken, een e-mail, een ingevuld elektronisch formulier,...

HumanITi en KOBALT legal helpen je graag met het nazicht van jouw GDPR compliance.

1 view