Met de deadline van 25 mei 2018 in het verschiet, hebben ondernemingen nog enkele maanden om zich in regel te stellen met de nieuwe privacyregels neergelegd in de Algemene Verordening Gegevensbescherming, beter bekend als de General Data Protection Regulation (‘GDPR’).
Toch heerst er nog onzekerheid over de gevolgen van de GDPR, zoals bijvoorbeeld met betrekking tot je bestaande mailinglijst. Dit is ook logisch aangezien veel ondernemingen al jarenlang bezig zijn met de opbouw hiervan.
Net zoals in de huidige regeling, is ‘toestemming’ ook in de GDPR één van de zes mogelijke rechtsgronden op basis waarvan persoonsgegevens kunnen worden verwerkt. De vereisten om te spreken van een geldige toestemming zijn echter aangescherpt, waardoor ondernemingen case-by-case dienen na te gaan of de reeds verkregen toestemming ook na de GDPR nog volstaat.
Toestemming
In de GDPR wordt de toestemming van de betrokkene gedefinieerd als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.
Net zoals in de huidige privacywet, dient de toestemming van betrokkenen onder de GDPR “vrij, specifiek, geïnformeerd en ondubbelzinnig” te zijn. Hoewel deze geldigheidsvoorwaarden niet nieuw zijn ten opzichte van de huidige privacywet, legt de GDPR hogere standaarden op om hieraan te voldoen. Zo moet de toestemming van de betrokkene op een duidelijke wijze blijken uit een verklaring of een actieve handeling.
Ook worden de informatieverplichtingen ten aanzien van de betrokkenen sterk uitgebreid. De betrokkene van wie gegevens worden verwerkt, moet op een begrijpelijke en toegankelijke wijze worden geïnformeerd over bijvoorbeeld de rechtsgrond waarop de gegevensverwerking is gebaseerd en de rechten waarover zij in dit kader beschikt (bijvoorbeeld het recht op vergetelheid of het recht op beperking van de verwerking).
Dit kadert allemaal binnen de geest van de GDPR: de betrokkene meer controle en zeggenschap geven over gegevens die op haar betrekking hebben.
Gevolgen
Dit heeft tot gevolg dat ondernemingen na 25 mei 2018 enkel gebruik kunnen blijven maken van hun bestaande mailinglijst, wanneer dit gebruik berust op een reeds verkregen toestemming die voldoet aan de vernieuwde standaarden van de GDPR.
In bijna alle gevallen zal een in het verleden verkregen toestemming de GDPR-test echter niet doorstaan. Toestemming die werd verkregen via een vooraf aangevinkte check-box of door middel van een algemene toestemming op basis van de algemene voorwaarden is immers niet meer voldoende. Indien je bestaande mailinglijst daarop gebaseerd was, zal je die gegevens daarom niet meer mogen gebruiken.
Je voelt het al aankomen: dit kan een grote impact hebben op je bestaande database!
Dit betekent dat je voor de reeds verzamelde persoonsgegevens (meestal) opnieuw toestemming zal moeten vragen.
GDPR-compliant
Je doet er als onderneming goed aan om er nu al voor te zorgen dat je als onderneming GDPR-compliant denkt én handelt. Dit zal in het begin een flinke inspanning vergen, maar op langere termijn zal het je onderneming ten goede komen. Controleer dus op welke wijze je vandaag iemands toestemming vraagt en hoe je deze bewaart. Zorg daar waar nodig voor aanpassingen. Je moet als verwerkingsverantwoordelijke immers kunnen bewijzen dat er een geldige toestemming is voor de persoonsgegevens die je hebt bewaard.
Het kan dan ook zinvol zijn om een reactiveringscampagne op te zetten, waarbij je uitdrukkelijk aan je klantenbestand vraagt of je hen in de toekomst nog mag contacteren. Dit betekent echter wel dat wanneer de betrokkenen hier niet op reageren, je de persoonsgegevens niet meer mag gebruiken.
Andere rechtsgrond?
Op grond van de GDPR is het cruciaal om steeds een wettelijke basis te bepalen voor elke gegevensverwerking. Gezien de strenge voorwaarden om te kunnen spreken van een geldige toestemming en het gegeven dat een betrokkene haar toestemming op elk ogenblik kan intrekken, is toestemming niet altijd de meest geschikte rechtsgrond.
We mogen dan ook niet uit het oog verliezen dat toestemming slechts één van de zes mogelijke verwerkingsgronden is op basis waarvan we gegevens mogen verwerken. In bepaalde gevallen kan de verwerking dan ook beter worden gebaseerd op één van de vijf andere verwerkingsgronden, met name: het noodzakelijk karakter voor de uitvoering van een overeenkomst, voor de behartiging van een gerechtvaardigd belang, om te voldoen aan een wettelijke verplichting, voor de vervulling van een taak van algemeen belang of om de vitale belangen van de betrokkene te beschermen.
No (more) cherry-picking
Artikel 6.1 van de GDPR bepaalt dat “de verwerking alleen rechtmatig is indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan”. Er dient dus ten minste één rechtsgrond voorhanden te zijn, maar betekent dit ook dat wanneer de ene verwerkingsgrond niet succesvol is, er op een andere kan worden teruggevallen? Met andere woorden, kan je bij een ongeldige toestemming bijvoorbeeld het gerechtvaardigd belang inroepen als rechtsgrond voor de verwerking?
Deze vraag wordt negatief beantwoord in een adviserende richtlijn van 28 november 2017 van de Working Party 29 (‘WP29’), een Europees adviesorgaan over gegevensbescherming.
De WP29 verduidelijkt dat een verwerking voor een specifiek doel niet op meervoudige rechtsgronden kan worden gebaseerd. Wanneer een gegevensverwerking daarentegen meerdere specifieerbare doeleinden heeft, dan kan elke afzonderlijke doelstelling wel worden gekoppeld aan één van de zes rechtsgronden. In een aantal gevallen zouden er ook meerdere rechtsgronden kunnen worden gekoppeld aan een doelstelling, maar dit is niet toegestaan. De verwerkingsverantwoordelijke moet op een transparante wijze een keuze maken en de rechtsgrond voorafgaand aan de verwerking bepalen. Het is aangeraden om dit keuzeproces te documenteren en te motiveren, aangezien dit een belangrijke rol kan spelen bij betwistingen of klachten achteraf.
Eenmaal het proces van de gegevensverwerking is gestart, is het niet meer mogelijk om te ‘wisselen’ van rechtsgrond. Wanneer bijvoorbeeld blijkt dat de toestemming als rechtsgrond voor een verwerking niet (meer) geldig is, is het niet toegestaan om de verwerking te rechtvaardigen op een andere grond als back-up.
Het is dus belangrijk om vooraleer aan een verwerking te beginnen, goed na te denken over een geschikte rechtsgrond. Zoals is gebleken gelden er hoge standaarden voor een geldige toestemming en kan de betrokkene op elk ogenblik de toestemming terug kan intrekken. Bovendien is het tijdens het proces van de gegevensverwerking niet meer mogelijk om de verwerking te rechtvaardigen op een andere rechtsgrond.
Auteurs: Jill Leen en Kristof Zadora, Advocaten Monard Law