De essentie van ’toestemming’
De vereiste voor ‘voorkeursconsent’ is een belangrijk aspect binnen de GDPR, zoals benoemd in artikel 4(11). Dit artikel definieert toestemming aan de hand van vier vereisten.
Vereisten voor vrijgegeven toestemming
Vrijgegeven
De machtsrelatie tussen de individu en de instantie die om toestemming vraagt, is cruciaal. Als het niet geven van toestemming leidt tot negatieve gevolgen voor de individu, kan die toestemming niet als vrijgegeven worden beschouwd. Werkgevers en publieke autoriteiten zouden zich daarom niet moeten baseren op toestemming van werknemers of burgers, omdat de machtsongelijkheid te groot is. Er zijn enkele uitzonderingen, maar deze zijn beperkt in aantal en soort.
Specifiek
Er is een aanzienlijke overlap tussen de vereisten voor vrijgegeven en specifieke toestemming. Voor een effectieve aanvraag van toestemming moet er een duidelijke, specifieke doelstelling zijn voor elke gegevensverwerking. “Specificiteit” voorkomt function creep, wat de geleidelijke uitbreiding van dataverwerkingen met zich meebrengt. Iedere nieuwe gebruik moet vergezeld gaan van aanvullende informatie en een specifieke kans voor toestemming.
Informatievoorziening
Om toestemming als geïnformeerd te beschouwen, moet de betrokkene over bepaalde cruciale informatie beschikken. Dit omvat:
- Identiteit van de gegevenscontroller.
- Doel van elke verwerking waarvoor toestemming wordt gevraagd.
- Soorten gegevens die worden verzameld en gebruikt.
- Het recht om toestemming in te trekken.
- Informatie over het gebruik van gegevens voor geautomatiseerde besluitvorming, indien relevant.
- Risico’s van gegevensoverdracht wegens afwezigheid van een adequaat besluit en eventuele beschermingsmaatregelen.
In situaties waarbij meerdere controllers op de toestemming rekenen, moeten al deze organisaties expliciet worden vermeld.