Een van de grondslagen voor de verwerking van persoonsgegevens is toestemming. Er wordt vaak naar de grondslag toestemming gegrepen omdat dit een snelle en eenvoudige manier lijkt om gegevens te mogen verwerken. Even een checkbox aanvinken en de toestemming is binnen, toch? Niets is minder waar. Aan de grondslag toestemming zijn meerdere voorwaarden verbonden. In deze blog bespreek ik aan de hand van een arrest van het Hof van Justitie de voorwaarden voor het verkrijgen van geldige toestemming voor de verwerking van persoonsgegevens.
Arrest Hof van Justitie: toestemming via checkbox
Op 11 november 2020 heeft het Hof van Justitie (“Hof”) zich over de vraag gebogen of een mobiele telecomaanbieder persoonsgegevens mocht verwerken op basis van door de klant gegeven toestemming. In deze zaak was er het volgende aan de hand.
De mobiele telecomaanbieder sluit een overeenkomst met een klant. In de overeenkomst zijn bepalingen opgenomen die betrekking hebben op de verwerking van persoonsgegevens. Er wordt onder meer bepaald dat het de mobiele telecomaanbieder is toegestaan om een kopie van het identiteitsbewijs van de klant op te vragen en te bewaren. Onderaan de overeenkomst kan de klant een checkbox aanvinken. Met het aanvinken van de checkbox verklaart de klant geïnformeerd te zijn over de inhoud van de overeenkomst en verklaart de klant toestemming te hebben gegeven voor de verwerking van zijn persoonsgegevens.
Echter, in de praktijk wordt de checkbox niet door de klant aangevinkt. De checkbox wordt vooraf door een medewerker van de mobiele telecomaanbieder aangevinkt, waarna de klant nog slechts een handtekening hoeft te zetten. Indien de klant aangeeft geen toestemming te willen geven voor de verwerking van een kopie van zijn identiteitsbewijs, moet de klant voor het weigeren van zijn toestemming een ander document ondertekenen.
Het Hof is van oordeel dat de wijze waarop de mobiele telecomaanbieder toestemming vraagt, niet voldoet aan de toestemmingsvereisten waardoor er geen sprake is van geldig verkregen toestemming. De ongeldige toestemming brengt met zich mee dat de mobiele telecomaanbieder de persoonsgegevens niet had mogen verwerken.
Wat zijn de toestemmingsvereisten?
In artikel 4 sub 11 van de Algemene Verordening Gegevensbescherming (“AVG”) wordt de definitie van ‘toestemming’ gegeven. Deze luidt als volgt:
“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking
van persoonsgegevens aanvaardt.”
In de definitiebepaling worden meerdere vereisten vermeld voor geldige toestemming. Hieronder bespreek ik de vereisten.
- Vrije keuze
In de AVG is neergelegd dat er sprake is van een vrije keuze wanneer de betrokkene zijn toestemming kan weigeren of intrekken zonder daar nadelige gevolgen van te ondervinden. Het Hof voegt hier in paragraaf 41 het volgende aan toe:
“om te waarborgen dat de betrokkene een echte vrije keuze heeft, [volgt dat] de contractuele bedingen de betrokkene niet mogen misleiden omtrent de mogelijkheid om de overeenkomst te sluiten zonder in te stemmen met de verwerking van zijn gegevens.”
Het Hof overweegt dat een vrije keuze ontbreekt, indien ten onrechte de verwachting wordt gewekt dat toestemming noodzakelijk is voor het sluiten van de overeenkomst. In het geval van de mobiele telecomaanbieder was de checkbox vooraf aangevinkt. Door de checkbox vooraf aan te vinken, wordt er voorgesorteerd op het verkrijgen van toestemming. De klant wordt hierdoor misleid omdat het keuzemoment om wel/geen toestemming te geven, wegvalt. Anders gezegd, de vooraf aangevinkte checkbox ontneemt de klant de mogelijkheid om een keuze te maken. Door de wijze waarop de overeenkomst wordt aangeboden is het niet duidelijk dat er überhaupt een keuze kan worden gemaakt.
Bovendien trekt het Hof de vrije aard van de keuze in twijfel omdat aanvullende eisen worden gesteld aan het niet geven van toestemming. In plaats van de mogelijkheid te bieden om de checkbox niet aan te vinken, moet de klant in een aanvullend document schriftelijk expliciet verklaren niet in te stemmen met het opslaan en bewaren van een kopie van het identiteitsbewijs. De klant moet dus meer moeite doen om toestemming te weigeren dan toestemming te geven. Door de aanvullende eisen is er geen evenwichtig keuzemoment met als gevolg dat er geen vrije keuze is.
- Specifieke toestemming
Toestemming dient voor specifieke doeleinden te worden gegeven. Zijn er meer doeleinden, dan moet de toestemming voor elk van de doeleinden te worden verleend. Voor het geven van specifieke toestemming geldt verder dat de klant zich bewust moet zijn van de toestemmingshandeling en de reikwijdte van de toestemming.
In het geval van de mobiele telecomaanbieder was er geen sprake van specifieke toestemming. In de overeenkomst werden meerdere doeleinden voor de verwerking van persoonsgegevens vermeld. Bovendien had de toestemming niet alleen betrekking op de verwerking van persoonsgegevens, maar ook op andere uiteenlopende bedingen zoals het tariefplan.
- Geïnformeerde toestemming
Met geïnformeerde toestemming wordt gedoeld op een toestemmingsverklaring die in een “begrijpelijke en gemakkelijk toegankelijke vorm en in een duidelijke en eenvoudige taal” wordt verstrekt. De informatie in de toestemmingsverklaring dient ten minste de identiteit van de verantwoordelijke en de doeleinden van de verwerking van persoonsgegevens te bevatten.
Het Hof lijkt hier een brug te slaan tussen het toestemmingsvereiste en het transparantiebeginsel. Het verschaffen van onvoldoende informatie, en daarmee het bieden van onvoldoende transparantie, kan tot gevolg hebben dat de klant onvoldoende is geïnformeerd om geldige toestemming te kunnen geven. Niet alleen het toestemmingsmoment an sich moet helder en duidelijk zijn, maar ook de informatie op basis waarvan toestemming wordt gevraagd.
- Ondubbelzinnige actieve handeling
Zoals in het vereiste al staat vermeld, moet het gaan om een actieve handeling. Het aanvinken van een checkbox is een actieve handeling. Uit de actieve handeling moet blijken dat de klant de verwerking van persoonsgegevens aanvaardt (zie ook deze uitspraak van het Hof). Het gebruik van een reeds aangevinkte checkbox is onvoldoende. Dit staat expliciet vermeld in overweging 32 AVG en wordt nog eens door het Hof bevestigd. Feit blijft dat er in de zaak van de mobiele telecomaanbieder geen actieve handeling heeft plaatsgevonden om toestemming te geven. De omstandigheid dat de klant middels een actieve handeling en een afzonderlijke overeenkomst de toestemming kan weigeren, doet aan voorgaande niets af.
Bij wie ligt de bewijslast dat aan de toestemmingsvereisten is voldaan?
Voorts is het goed om voor ogen te houden dat het aan de verantwoordelijke is om aan te tonen dat aan de toestemmingsvereisten is voldaan. Het risico dat de toestemming niet kan worden aangetoond, ligt daarmee ook bij de verantwoordelijke. In bovengenoemd arrest stelde de mobiele telecomaanbieder dat de klant mondeling toestemming had gegeven. Dit kon echter niet worden aangetoond en werd dan ook niet door het Hof aangenomen.
Gelet op de bewijslast die op de verantwoordelijke rust, is het aan te raden om toestemmingsverklaring te bewaren. Dit geldt ook voor toestemmingsverklaringen die online zijn verkregen.
Toestemmingsformulier laten checken?
Twijfelt u over de wijze waarop u toestemming vraagt voor bijvoorbeeld het versturen van direct marketingberichten of het gebruiken van persoonsgegevens voor meerdere doeleinden? Neem dan contact met ons op. Wij checken de voorwaarden en geven advies voor het verkrijgen van geldige toestemming.