Rina Steenkamp - Privacy en technologie

Mijn geannoteerde Wbp

Hoofdstuk 1. Algemene bepalingen

Artikel 1 [Definities]

Artikel 1 sub i [Definitie toestemming van de betrokkene]

toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt

[Richtlijn 95/46/EG | Memorie van Toelichting | Aantekeningen | WP29: Opinion 15/2011 on the definition of consent]

Richtlijn 95/46/EG

Artikel 2 sub h

[In de zin van deze richtlijn wordt verstaan onder:]

"toestemming van de betrokkene", elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt

Memorie van Toelichting

De omschrijving van het begrip toestemming als 'elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt' in onderdeel h komt overeen met die in artikel 2, onder h, van de richtlijn.
Om te kunnen spreken van een daadwerkelijk toestemming van de betrokkene zijn drie punten essentieel. Allereerst moet de betrokkene in vrijheid zijn wil kunnen uiten. Ten tweede moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen en ten derde moet de betrokkene voor van een goede oordeelsvorming over de noodzakelijk inlichtingen beschikken. Hieronder zal op de verschillende criteria nader worden ingegaan.
Allereerst geldt dat de betrokkene in vrijheid zijn wil met betrekking tot de betreffende gegevensverwerking moet kunnen uiten en dat deze wil ook daadwerkelijk geuit moet zijn. De artikelen 3:33 en 3:35 BW zijn in deze van overeenkomstige toepassing. Artikel 3:59 BW bepaalt immers dat deze bepalingen op een overeenkomstige wijze worden toegepast voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet. Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan. Van de sollicitant die op verzoek van de aspirant werkgever gegevens over zijn strafrechtelijk verleden bekend maakt, kan bezwaarlijk gezegd worden dat hij in vrijheid deze gegevens heeft verstrekt. Hij handelde immers onder druk van de wens aangenomen te worden door de werkgever. Als tweede voorwaarde geldt dat de wilsuiting van de betrokkene betrekking moet hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. In aansluiting op artikel 12 WPR betekent dit dat een zeer brede en onbepaalde machtiging tot het verwerken van gegevens niet als zodanig kan worden aangemerkt. De ondertekening door de betrokkene van een formulier voldoet niet aan dit criterium, als in het formulier een algemeen geformuleerde machtiging voor de verantwoordelijke is opgenomen, om de persoonsgegevens van de betrokkene te verwerken zonder nadere specificatie van bijvoorbeeld de categorieën van derden aan wie de verantwoordelijke de gegevens voornemens is te verstrekken en de soorten van gegevens die aan deze personen zullen worden verstrekt. Zo is ook de zinsnede in een contract met een reisagentschap, waarin de betrokkene toestemming geeft voor de verstrekking van persoonsgegevens aan een willekeurige derde voor de toezending van reclame, onvoldoende specifiek. De betrokkene moet weten om welke gegevensverwerking het gaat en hiervoor gerichte toestemming geven. Er kan evenmin van een rechtsgeldige toestemming worden gesproken wanneer de betrokkene geconfronteerd wordt met een geheel andere gegevensverwerking dan waarvoor hij toestemming had verleend.
Als derde voorwaarde geldt het 'informed consent': de betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht. Dit houdt in dat indien de betrokkene onvoldoende geïnformeerd zijn toestemming verleent, de bepalingen van dit wetsvoorstel zijn overschreden. Het vragen van de toestemming van de betrokkene impliceert dat hij op de hoogte moet worden gesteld van de gang van zaken met betrekking tot de gegevensverwerking. Deze (informatie-)plicht berust in beginsel bij de verantwoordelijke c.q. bewerker. De betrokkene moet voldoende en begrijpelijk door de verantwoordelijke wordt geïnformeerd over de verschillende aspecten van de gegevensverwerking die voor hem van belang zijn. De informatieplicht van de verantwoordelijke wordt begrensd door de feiten die de betrokkene reeds kent of zou moeten kennen. De informatieplicht van de verantwoordelijke impliceert niet dat de betrokkene geen enkele verantwoordelijkheid draagt. De betrokkene heeft een zekere onderzoeksplicht voor hij een oordeel geeft.
Bepalend voor de mate waarin de verantwoordelijke de betrokkene moet informeren dan wel de betrokkene zelf op onderzoek moet uitgaan is wat in het maatschappelijk verkeer redelijkerwijs mag worden verwacht. Dit zal moeten worden bepaald aan de hand van een weging van alle omstandigheden van het concrete geval. Factoren die bij weging een rol kunnen spelen zijn de betreffende soort gegevens, de verwerkingen die verantwoordelijke wil verrichten alsmede de context waarin deze verwerkingen zullen plaatsvinden, de eventuele derden aan wie de gegevens kunnen worden verstrekt enz., maar ook de maatschappelijke positie en onderlinge verhouding tussen de verantwoordelijke en de betrokkene alsmede de wijze waarop zij met elkaar in contact zijn getreden.
Artikel 12, eerste lid, WPR bepaalde dat indien voor de verstrekking van gegevens uit een persoonsregistratie toestemming van de geregistreerde is vereist, deze slechts schriftelijk kan worden gegeven. In het het wetsvoorstel is er vanaf gezien om voor de derdenverstrekkingen een extra voorwaarde te stellen met betrekking tot de toestemming die door de betrokkene moet worden gegeven. Evenmin is in het algemene toestemmingsvereiste zoals verwoord in de begripsomschrijving opgenomen de voorwaarde dat de betrokkene zijn toestemming slechts schriftelijk kan verlenen. Deze voorwaarde wordt te beknellend geacht met het oog op allerlei technologische ontwikkelingen, waarbij met name gedacht kan worden aan het gegevensverkeer via EDI. Deze ontwikkelingen maken het immers mogelijk bij interactieve diensten toestemming geauthenticeerd elektronisch te verlenen: 'met een simpele druk op de knop'.
In het verlengde van de richtlijn wordt in het onderhavige wetsvoorstel naast het begrip 'toestemming', eveneens de begrippen 'ondubbelzinnige toestemming' en 'uitdrukkelijke toestemming' gehanteerd. Zo wordt als algemene grond voor gegevensverwerking in artikel 8 onder a, de ondubbelzinnige toestemming van de betrokkene aanvaard. In artikel 23, eerste lid, onder a, wordt voorzien in een uitzondering op het verbod gevoelige gegevens te verwerken indien de betrokkene uitdrukkelijk heeft toegestemd in een hem betreffende verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt. Deze begrippen stellen extra vereisten aan de toestemming die van de betrokkene verwacht wordt. Als de verantwoordelijke de ondubbelzinnige toestemming van de betrokkene moet verkrijgen, mag hij niet uitgaan van toestemming indien deze geen opmerkingen maakt over de gegevensverwerking, daarbij uitgaande van de kennis die hij op grond van maatschappelijke opvattingen redelijkerwijs bij de betrokkene aanwezig mag achten. Elke twijfel moet bij hem zijn uitgesloten over de vraag òf de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming is gegeven. In de Duitstalige versie van de richtlijn luidt artikel 7, onder a, gesproken van '... dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn .. die betroffene Person ohne Zweifel ihre Einwilligung gegeben hat'. Ten einde alle twijfel ten aanzien van de toestemming van de betrokkene uit te sluiten zal doorgaans op de verantwoordelijke een verdergaande informatieverplichting rusten dan in het geval de betrokkene heeft toe te stemmen in de hem betreffende gegevensverwerking. Er is sprake van een verschuiving van de bewijslast in de richting van de verantwoordelijke: als er twijfel is over de vraag of de betrokkene zijn toestemming heeft verleend dient hij te verifiëren of hij er terecht vanuit gaat dat de betrokkene er mee heeft toegestemd. Tot op zekere hoogte is hier een vergelijkbare situatie als bij de informatieverplichtingen van de verantwoordelijke op grond van de artikelen 33 en 34. Dit verifiëren hoeft niet noodzakelijkerwijs te leiden tot het vragen van een uitdrukkelijke toestemming. Ook anderszins kan de verantwoordelijke informatie verwerven die zijn twijfel dienaangaande wegneemt. Het is bijvoorbeeld mogelijk dat het gedrag van de betrokkene zodanig duidelijk is dat daaruit expliciet blijkt dat hij zijn toestemming verleent en voor welke specifieke verwerkingen deze toestemming geldt. Bij interactieve diensten zal bijvoorbeeld de klik met de muis of een aanslag op het toetsenbord van de computer ten einde de (koop-) overeenkomst te sluiten (veelal nog gevolgd door een aparte klik voor de bevestiging van de koopovereenkomst), als zodanig kunnen worden aangemerkt. Indien de betrokkene in het kader van de financiële afwikkeling van een transactie zijn smart card overhandigt aan de verantwoordelijke, dan zal de verantwoordelijke dit bijvoorbeeld mogen aanmerken als de ondubbelzinnige toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens voor de financiële afwikkeling van deze transactie. In geval de verantwoordelijke de uitdrukkelijke toestemming van de betrokkene dient te verkrijgen, dient de betrokkene expliciet zijn wil daaromtrent te hebben geuit. Een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking. Deze expliciete wilsuiting kan op verschillende wijzen tot stand komen. Het meest voor de hand liggend is uiteraard de expliciete mondelinge of schriftelijke toestemming van de betrokkene voor de verwerking. Maar ook uit het gedrag van de betrokkene kan onder omstandigheden diens uitdrukkelijke toestemming worden afgeleid. Het invullen van een formulier ten behoeve van het aanvragen van een bepaalde dienst zal bijvoorbeeld onder omstandigheden als het verlenen van uitdrukkelijke toestemming door de betrokkene mogen worden beschouwd, namelijk indien het voor de betrokkene uit de context waarin hij het formulier invult, duidelijk is dat zijn persoonsgegevens worden verwerkt en voor welk doel. Ook indien de betrokkene in het kader van een specifieke gegevensverwerking om zijn persoonsgegevens wordt gevraagd en hij vervolgens zijn smart card overhandigt, mag de verantwoordelijke ervan uit gaan dat de persoonsgegevens op deze card mogen worden verwerkt enkel en alleen voor zover dat noodzakelijk is ten behoeve van die verwerking. Bij interactieve diensten zal deze uitdrukkelijke toestemming eerst aanwezig mogen worden geacht als de betrokkene zijn verzoek voor een specifieke dienst nog eens middels een aparte klik heeft bevestigd.
De verantwoordelijke heeft rekening te houden met een dubbele bewijslast. In de eerste plaats moet bij twijfel bewezen kunnen worden, dat een bepaalde toestemming is verleend en waarvoor. Daarnaast zal zo nodig bewezen moeten kunnen worden, dat de toestemming aan de gestelde eisen voldoet. Daarbij zal de verantwoordelijke ook moeten kunnen aantonen, dat hij bijvoorbeeld op het punt van informatieverstrekking aan de betrokkene, alles heeft gedaan wat redelijkerwijs van hem mocht worden verwacht.
Als de toestemming niet aan bovenstaande vereisten voldoet is zij nietig. Het grondrecht op de bescherming van de persoonlijke levenssfeer is een zaak van openbare orde. Artikel 3:40, eerste lid, BW bepaalt dat een rechtshandeling die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, nietig is. De toestemming die met betrekking tot een bepaalde gegevensverwerking niet rechtsgeldig is gegeven, dient als nietig te worden beschouwd.
Een eenmaal gegeven toestemming tot het verzamelen van gegevens kan te allen tijde worden ingetrokken. Een dergelijke intrekking heeft echter geen consequenties voor gegevensverwerkingen die vóór het moment van de intrekking hebben plaatsgevonden. Dit geldt voor alle soorten van verwerkingen. Gezien het dwingende karakter van dit voorschrift is dit expliciet bepaald in artikel 5, tweede lid.
De vraag kan worden gesteld in hoeverre toestemming, door de betrokkene verleend onder de werking van de WPR, rechtsgeldig is onder deze nieuwe wetsvoorstel. Dit is het geval indien deze toestemming voldoet aan alle voorwaarden die de nieuwe wetsvoorstel stelt, niet is verlopen of ingetrokken. Daarbij kan het eveneens gaan om een toestemming voor de verstrekking van gegevens aan een derde, als bedoeld in artikel 12 van de WPR, of een niet in de WPR geregelde toestemming. Daarbij moet er echter wel rekening mee worden gehouden dat de toestemming die de betrokkene onder het vigeur van de WPR heeft verleend, in verband met de reikwijdte van dit wetsvoorstel, geen betrekking hebben op bijvoorbeeld de verwerking van 'losse' geautomatiseerd verwerkte gegevens noch op het verzamelen van gegevens zonder dat een registratie van deze gegevens wordt beoogd. Door het ruime begrip gegevensverwerking vallen deze verwerkingen wel onder de onderhavige wetsvoorstel. Zie ook de toelichting op artikel 5.

[MvT, pagina 65-68]

Aantekeningen

WP29: Opinion 15/2011 on the definition of consent

WP29: Opinion 15/2011 on the definition of consent, 13 juli 2011 (PDF)
[Open link in dit venster | Open link in nieuw venster]

WP29
[Open link in dit venster | Open link in nieuw venster]

The Opinion provides a thorough analysis of the concept of consent as currently used in the Data Protection Directive and in the e-Privacy Directive. Drawing on the experience of the members of the Article 29 Working Party, the Opinion provides numerous examples of valid and invalid consent, focusing on its key elements such as the meaning of "indication", "freely given", "specific", "unambiguous", "explicit", "informed" etc. The Opinion further clarifies some aspects related to the notion of consent. For example, the timing as to when consent must be obtained, how the right to object differs from consent, etc.

Consent is one of several legal grounds to process personal data. It has an important role, but this does not exclude the possibility, depending on the context, of other legal grounds perhaps being more appropriate from both the controller’s and from the data subject’s perspective. If it is correctly used, consent is a tool giving the data subject control over the processing of his data. If incorrectly used, the data subject’s control becomes illusory and consent constitutes an inappropriate basis for processing.

This Opinion is partly issued in response to a request from the Commission in the context of the ongoing review of the Data Protection Directive. It therefore contains recommendations for consideration in the review. Those recommendations include:

(Bron: Opinion 15/2011 on the definition of consent, pagina 2.)