Aan welke eisen voor uitdrukkelijke toestemming moet ik als betaaldienstverlener voldoen?

Antwoord

De eis uitdrukkelijke toestemming betekent dat u afzonderlijk van de andere onderdelen van de overeenkomst een consument om toestemming vraagt om zijn of haar persoonsgegevens te verwerken.

Daarnaast moet de manier waarop u toestemming vraagt aan de volgende eisen voldoen.

Vrij
U mag als betaaldienstverlener niemand onder druk zetten om toestemming te geven. Een consument moet toestemming kunnen weigeren en mag daar geen nadeel van ondervinden.

Ondubbelzinnig
Toestemming geven moet een duidelijke actieve handeling zijn. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend.

U mag niet uitgaan van stilzwijgende toestemming. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd
U moet consumenten informeren over:

  • De identiteit van de organisatie die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Dus van uw organisatie als die de verwerkingsverantwoordelijke is.
  • Het doel van elke verwerking waarvoor u toestemming vraagt.
  • Welke persoonsgegevens u verzamelt en gebruikt.
  • Het recht dat betrokkenen hebben om de toestemming weer in te trekken.

U moet deze informatie in een toegankelijke vorm aanbieden en u moet duidelijke taal gebruiken. Zodat iemand de informatie begrijpt en een weloverwogen keuze kan maken.

Specifiek
Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel.

Let op: als betaaldienstverlener kunt u alleen toestemming vragen voor de toegang tot en het verwerken van persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst.

Intrekbaar
Een consument heeft het recht om zijn toestemming ook weer in te trekken. Dat moet net zo gemakkelijk voor de consument zijn als het was om de toestemming te geven. Bijvoorbeeld via een pop-up. U moet een consument hierover informeren vóórdat hij toestemming geeft.

Let op: het gevolg van het intrekken van een eerder gegeven toestemming is dat de consument geen gebruik meer kan maken van uw betaaldienst zoals hij of zij misschien gewend was. U mag de consument daar natuurlijk vooraf op wijzen.

Verantwoordingsplicht
U moet kunnen aantonen dat u op een geldige toestemming heeft gevraagd en gekregen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Dit maakt onderdeel uit van uw verantwoordingsplicht onder de AVG.

Datum: 18 oktober 2018
Bron: AP