Uitleg bij artikel 7 AVG
Van de zes exhaustieve gronden voor een legitieme gegevensverwerking is de eerste (toestemming) een van de meest gebruikte in de private sector. Toch is het niet ‘anything goes’ als het datasubject toestemming heeft gegeven; eigenlijk alle andere regels en verplichtingen uit de AVG blijven van kracht, ongeacht of een persoon nu toestemming heeft gegeven of niet. Als Bob tegen een commerciële organisatie zegt: ‘Ja, ok, verzamel maar alle gegevens over mij die je kunt vinden’, dan betekent dat nog niet dat dat ook mag. Er geldt bijvoorbeeld nog steeds het dataminimalisatiebeginsel. Bovendien gelden er tal van voorwaarden in de AVG voor het geven van legitieme toestemming. Dit zorgt er bijvoorbeeld voor dat toestemming alleen als legitieme verwerkingsgrond kan gelden als het datasubject ook echt begrijpt waarvoor hij toestemming geeft. De eisen uit artikel 7 bouwen voort op de elementen uit de definitie van toestemming, zoals vervat in artikel 4(11): ‘elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt’.
Lid 1 van artikel 7 geeft wellicht het belangrijkste uitgangspunt, namelijk een omkering van de bewijslast. Het is niet aan het datasubject om aan te tonen dat hij geen (legitieme) toestemming heeft gegeven, maar aan de verantwoordelijke om aan te tonen dat dat wel het geval is. De verantwoordelijke moet dus niet alleen kunnen laten zien dat het datasubject uitdrukkelijk zijn toestemming heeft gegeven, maar ook dat hij alle relevante informatie heeft verstrekt over de verwerking en dat het datasubject ook daadwerkelijk vrij was. Dit betekent dus dat de verantwoordelijke, als hij zich op deze verwerkingsgrond wil beroepen, per datasubject goed moet bijhouden wanneer, hoe en onder welke voorwaarden en omstandigheden die toestemming heeft gegeven. Overweging 42 voegt daar aan toe de verklaring mag geen oneerlijke bedingen bevatten. Een oneerlijk beding in het algemeen kan bijvoorbeeld zijn ‘Hierbij verklaar is dat ik opdracht geef voor het plaatsen van een dakkapel en als ik die opdracht meer dan een maand van te voren annuleer, ik alsnog de volledige betaling zal verrichten’; een oneerlijk beding in termen van gegevensverwerking kan zijn ‘Hierbij verklaar ik dat het ziekenhuis mijn medische gegevens mag inzetten voor iedere behandeling die medisch noodzakelijk is en daarna mag verkopen aan een commerciële partij’. Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens.
Lid 2 van artikel 7 ziet op het geven van toestemming middels een schriftelijke verklaring. Zo’n schriftelijke verklaring kan bijvoorbeeld zijn ‘Hierbij verklaar ik dat ik de Terms en Conditions heb gelezen en daarmee akkoord ga en de Privacyverklaring heb gelezen en daarmee akkoord ga’ of ‘Hierbij verklaar ik dat ik snap dat er schade aan het huis kan worden aangericht bij het plaatsen van een dakkapel en ga ik akkoord met het verwerken van de persoonsgegevens die nodig zijn voor het plaatsen van een dakkapel’. Dit lid stelt dat in zo’n schriftelijke verklaring duidelijk onderscheid moet worden gemaakt tussen de verschillende zaken die het datasubject verklaart. Er kan dus geen toestemming worden gevraagd voor alle onderdelen bij elkaar; er moet toestemming worden gegeven voor alle onderdelen apart, of in ieder geval moet het gedeelte over de voorgenomen gegevensverwerking apart staan en moet daar apart toestemming voor worden gegeven. Ook geeft dit lid ten overvloede aan dat zo’n verzoek om toestemming helder, duidelijk en begrijpelijk moet zijn.
Lid 3 van artikel 7 gaat om het intrekken van toestemming. Het maakt duidelijk dat dit te allen tijde mogelijk moet zijn en dat het intrekken van toestemming even eenvoudig dient te zijn als het geven er van. Deze bepaling is onder meer opgenomen omdat bij veel websites het geven van toestemming een kwestie van een muisklik was, terwijl er voor het intrekken van de toestemming vaak een omslachtige procedure was. Dat mag dus niet. Als het geven van toestemming een kwestie van een klik is, dan moet het intrekken daarvan ook een kwestie van een klik zijn. Wel zijn twee punten belangrijk. Ten eerste geeft dit lid aan dat het intrekken van toestemming niet de legitimiteit van de verwerking met terugwerkende kracht raakt. Als Marie op 1 november haar toestemming geeft (en deze toestemming is rechtmatig) en ze trekt die op 1 december weer in, dat betekent het alsnog dat de verantwoordelijke tussen 1 november en 1 december legitiem de data van Marie mocht verwerken. Ten tweede is belangrijk dat de verantwoordelijke soms, ondanks dat de toestemming is ingetrokken, toch mag of zelf moet doorgaan met het verwerken van de persoonsgegevens van Marie. Dat moet, bijvoorbeeld, in sommige gevallen voor de Belastingdienst (dan is na intrekking van toestemming de legitieme grondslag de wettelijke basis, artikel 6 lid 1 sub c) en dat mag, in sommige gevallen, bijvoorbeeld als dat nodige is voor wetenschappelijk onderzoek (zie o.a. artikel 5 lid 1 sub e).
Lid 4 van artikel 7 gaat in op een van de meest complexe vraagstukken ten aanzien van toestemming: wanneer is toestemming ‘vrij’ gegeven? Of met andere woorden, wanneer zijn de nadelen van het niet geven van toestemming zo groot dat dit eigenlijk niet meer als een vrije kwestie kan worden beschouwd. Debatten die spelen zijn o.a.: is het voor tieners nog echt een keuze om niet op social media te zitten? Of, stel een voetbalstadium geeft twee keuzes: binnenkomen met een voetbalkaartje (gemiddelde wachttijd 1 uur) en binnenkomen door middel van gezichtsherkenning (gemiddelde wachttijd 1 minuut), is dat dan nog een echt vrij keuze? En wat als de wachttijd 2 uur tegen 1 minuut wordt? Overweging 42 geeft de wat cryptische formulering dat toestemming niet mag geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Wat die nadelige gevolgen precies zijn en waar de lat ligt, wordt niet duidelijk gemaakt. Lid 4 van artikel 7 stelt dat bij de vraag of er vrije toestemming wordt gegeven in ieder geval rekening wordt gehouden met de vraag of voor de uitvoering van een overeenkomst toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Dat gaat bijvoorbeeld om het geval waarin de dakkapelleverancier niet alleen vraagt ‘Hierbij verklaar ik dat ik snap dat er schade aan het huis kan worden aangericht bij het plaatsen van een dakkapel en ga ik akkoord met het verwerken van de persoonsgegevens die nodig zijn voor het plaatsen van een dakkapel’ maar voegt daar nog aan toe ‘en met het verwerken van persoonsgegevens die de dakkapelleverancier in staat stelt mij het komende jaar reizen naar Antarctica aan te bieden’. Overweging 43 geeft aan dat toestemming niet als vrijelijk gegeven wordt beschouwd als er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. In principe moeten overheidsinstanties een beroep doen op de wettelijke basis en/of het publiek belang dat met de verwerking is gemoeid (Artikel 6 lid 1 sub c en e), maar in bepaalde gevallen kan daar, bijvoorbeeld in privaatrechtelijke verhoudingen van worden afgeweken. Dat is al een uitzondering, maar dit artikel geeft aan dat dan zeer strikt moet worden gekeken naar de vraag van vrijelijkheid.
Artikel 7 Voorwaarden voor toestemming
1.Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2.Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3.De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4.Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Overwegingen
(42) Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.
(43) Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.
Bronnen