De basisregel van GDPR is dat de gebruiker uitdrukkelijk en met een actieve handeling toestemming moet geven voor het bewaren en verwerken van zijn persoonlijke gegevens.
Dus geen vooraf aangevinkte vakjes (opt-out) meer om een nieuwsbrief of commerciële meldingen te ontvangen.
Een voorbeeld
Je verzamelt gegevens van je klanten waaronder het e-mailadres. Dit laatste gebruik je om een maandelijkse mailing toe te sturen met een overzicht van aangeboden diensten en promo’s.
Niet in lijn met GDPR
Bij het aanmaken van het klantenaccount stond dit in erg kleine letters ergens onderaan de website en stond reeds proactief het vakje “ik ga akkoord” aangevinkt.
Dit is duidelijk geen actieve handeling vanwege de klant en dus geen rechtmatige verwerking van persoonsgegevens.
In lijn met GDPR
Bij het aanmaken van het klantenaccount stond dit in blokletters en vet weergegeven op de website samen met een disclaimer “ik ga akkoord met deze verwerking” die de klant moet aanvinken om de mailing te activeren. Dit vergt duidelijk een actieve handeling vanwege de klant en is dus perfect in lijn met de GDPR.
Uitzonderingen
Heb je nu altijd die toestemming van de klant nodig? Neen, er bestaan gelukkig een aantal logische uitzonderingen.
Toestemming bij contractuele verplichting
De belangrijkste uitzondering is misschien wel dat de toestemming niet nodig is wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst met de klant.
Wanneer een klant diensten bij je afneemt, ontstaat een contractuele samenwerking. Je levert de dienst en de klant vergoedt je voor de geleverde prestatie. Als je dus de gegevens van de klant verwerkt voor het opmaken en versturen van de factuur, dan doe je dit om uitvoering te geven aan het contract dat je met de klant afsloot. Je hebt hier dus geen toestemming van de klant voor nodig.
Wettelijke verplichting
Een andere uitzondering is een wettelijke verplichting die de verwerking nodig maakt.
Voorbeeld: Je verzamelt tal van gegevens van je werknemers die je bijhoudt in een bestand en vervolgens doorgeeft aan je sociaal secretariaat die deze gegevens gebruikt om loonstaten op te maken en je medewerkers te betalen. Bovendien moeten de sociale secretariaten kopieën van de loondocumenten overmaken aan de overheid. De fiscus is perfect op de hoogte van je salaris. In dit voorbeeld is er duidelijk sprake van een wettelijke verplichting die dus geldt als equivalent van de toestemming door de betrokkene.
Tot slot bestaan er nog enkele andere uitzonderingen:
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen;
- De verwerking is noodzakelijk om een taak van algemeen belang te vervullen;
Registratiegegevens
Bij DNS Belgium kennen we een heel duidelijk geval dat onder deze categorie valt. Dat is het opvragen van registratiegegevens van particuliere houders. Wij tonen geen contactgegevens meer van particuliere domeinnaamhouders. Dit betekent niet dat deze gegevens voor altijd achter slot en grendel zitten.
Via een webformulier kan je bij ons een verzoek indienen om de contactgegevens van de domeinnaamhouder toegestuurd te krijgen. Uiteraard moet dit verzoek voldoende gemotiveerd worden en wordt het slechts ingewilligd na verificatie door de juridische dienst.