GDPR: Hebben we altijd toestemming van de persoon nodig?

Heb je volgens de GDPR altijd toestemming nodig van een betrokken persoon om zijn/haar data te mogen verzamelen en gebruiken? Het is een van de meest gestelde vragen van klanten tijdens opleidingen.

Verschillende redenen

Het antwoord is heel duidelijk: nee. Toestemming is slechts 1 van de 6 rechtmatige redenen om persoonlijke data te mogen verwerken. De andere mogelijke redenen zijn om persoonsgegevens te mogen gebruiken zijn:

  1. Voor de uitvoering van een contract
  2. Om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust
  3. Om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen
  4. Voor de vervulling van een taak van algemeen belang
  5. Voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke

Dit laatste, de zogenaamde “legitimate interest”, wordt door sommigen gepromoot als argument om geen toestemming te vragen.

Strategie

Persoonlijk ben ik van mening dat dit niet de beste strategie is. Want GDPR vraagt immers dat we open en transparant zijn naar de consument toe. Het gebruik van een gerechtvaardigd belang houdt alleen rekening met het belang van de eigen organisatie. En dus niet met het belang van de persoon van wie de data wordt verzameld. Ik verwacht dan ook dat de Privacy Commissie deze reden met de nodige kritische zin zal bekijken.

Inzet

Doorgaans is mijn advies aan onze klanten om per verwerking goed na te denken over de inzet van de verschillende redenen. En bijvoorbeeld ook gebruik te maken van het contract.

Zo kan je dit voor bijvoorbeeld het gebruik van een loyalty card op 3 manieren bekijken:

  • gerechtvaardigd belang: het is onze commerciële strategie om trouwe klanten meer te laten kopen
  • toestemming: je vraagt toestemming voor commerciële communicatie op het ogenblik dat iemand een loyalty card aanvraagt
  • maar ook contract: de loyalty card is een dienst, waarbij we gegevens over je koopgedrag nodig hebben om promoties op maat te kunnen sturen

Het vergt een goed begrip van de verschillende mogelijke rechtmatige redenen. Maar het vraagt vooral een scherp inzicht in de strategie van je bedrijf om de juiste keuze te maken. Wees creatief, maar houd steeds de geest van GDPR in gedachten. De consument is de enige echte eigenaar van zijn/haar data. Hij/zij heeft recht op transparantie en moet de controle over zijn eigen data kunnen behouden.

Heb je hulp nodig voor deze strategische oefening? Dan kan je ons altijd contacteren via onze website. Maar neem misschien eerst een kijkje in ons aanbod.