In onze organisatie hebben we freelancers voor ons werken, die geen zakelijk e-mailadres hebben gekregen. De vraag is of we deze personen mogen vragen om gebruik te maken van hun privé e-mailadres voor de leuke dingen naast werk. Denk aan een gezamenlijke lunch, een bedrijfsuitje, een kaartje sturen als diegene ziek, bevallen of getrouwd is. Indien het antwoord hierop 'ja' is, is er dan een standaard formulier dat wij door hen kunnen laten ondertekenen om toestemming hiervoor te vragen?
E-mailadressen zijn, wanneer deze herleidbaar zijn naar een persoon, persoonsgegevens. Dat betekent dat deze alleen mogen worden verwerkt als voldaan wordt aan de regels uit de AVG. Zo volgt uit artikel 6 van de AVG dat het verwerken van persoonsgegevens slechts rechtmatig is als er een grondslag bestaat voor de verwerking. Een van die grondslagen is dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens. De AVG stelt strenge eisen aan deze grondslag. Zo dient een toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven:
Een toestemming is ‘vrij’ gegeven als de betrokkene zijn toestemming kan weigeren of intrekken zonder (de vrees) dat dit nadelige gevolgen voor hem heeft. Volgens de AVG is geen sprake van ‘vrij gegeven toestemming’ als tussen de partij die de gegevens verwerkt en de betrokkene een machtsverhouding bestaat.
Een toestemming is ‘specifiek’ gegeven als duidelijk is voor welke specifieke verwerking(en), van welke persoonsgegevens en voor welk doel de toestemming is verleend.
De toestemming moet ‘geïnformeerd’ gegeven zijn. Hierbij is het allereerst van belang dat de toestemming van betrokkene is gebaseerd op een juiste en volledige voorstelling van zaken. Daarnaast is van belang dat het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm wordt aangeboden en in een duidelijke en eenvoudige taal.
Tot slot is voor een ondubbelzinnige toestemming vereist dat elke twijfel moet zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven.
Worden persoonsgegevens verwerkt op basis van toestemming, dan moet rekening worden gehouden met het feit dat de betrokkene op ieder moment zijn toestemming weer kan intrekken. Het intrekken van de toestemming moet voor de betrokkene net zo gemakkelijk zijn als het geven van toestemming. Bovendien dient de betrokkene over dit recht geïnformeerd te worden. Aangetoond moet kunnen worden dat een geldige toestemming van de betrokkene is ontvangen om diens persoonsgegevens te mogen verwerken.
Kijkende naar de gestelde vraag, mag het privé e-mailadres gebruikt worden op basis van toestemming mits wel rekening wordt gehouden met de voorgaande vereisten. Gezien het voorgaande wordt geadviseerd om de betrokkene toestemming te laten geven door middel van het laten ondertekenen van een formulier. Op dit formulier moet duidelijk omschreven zijn waarvoor toestemming wordt gegeven. Ook wordt geadviseerd daarop aan te geven dat de mogelijkheid bestaat de toestemming weer in te trekken en op te nemen hoe intrekking plaats dient te vinden. Gezien het voorgaande betreft dit geen standaard formulier.
