Gebruikt u foto’s van uw werknemers of klanten voor uw bedrijfssite of voor nieuwsbrieven? Dat moet u expliciet toestemming krijgen volgens de AVG. Aan welke voorwaarden moet die toestemming voldoen?
Toestemming speelt een belangrijke rol in de Algemene verordening gegevensbescherming (AVG). Deze wet, die per 25 mei 2018 is ingegaan, stelt verschillende eisen aan het gebruik van (uitdrukkelijke) toestemming. Een voorbeeld van een vereiste is dat uw organisatie moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens (wie, wanneer, op welke wijze). Er kunnen zowel technische als organisatorische aanpassingen vereist zijn om dit aantoonbaar te maken.
Voorwaarden toestemming
Indien toestemming van de betrokkene wordt gevraagd, moet aan de volgende voorwaarden worden voldaan:
- vooraf wordt vastgesteld of toestemming de juiste wettelijke basis voor de gegevensverwerking is
- de toestemming dient op een duidelijke manier verkregen te worden, er wordt een positieve actie aan de betrokkene gevraagd voor het geven van toestemming (de zogenaamde ‘opt-in’); er mag dus geen gebruik gemaakt worden van vooraf aangevinkte vakjes (de zogenaamde default-instelling)
- indien de betrokkene jonger is dan 16 jaar is toestemming van een wettelijke vertegenwoordiger, zoals ouders noodzakelijk
- er moet een privacyverklaring of privacybeleid zijn waarin alle relevante informatie ten behoeve van de gegevensverwerking wordt gegeven
- indien er op hetzelfde moment toestemming wordt gevraagd voor verschillende doeleinden, wordt er voor elk doeleinde afzonderlijk toestemming gevraagd (bijvoorbeeld bij diverse vormen van cookies op websites)
- gewaarborgd wordt dat betrokkenen weten dat zij kunnen weigeren om toestemming te geven zonder dat dit negatieve gevolgen voor hen heeft. Het mag ook geen voorwaarde zijn voor een bepaalde dienst. Dit kan bijvoorbeeld aan de orde zijn in arbeidsrelaties ten aanzien van uw werknemers.
Deze voorwaarden gelden voor alle verwerkingen die plaatsvinden op basis van de grondslag toestemming.
Intrekken toestemming
Een betrokkene kan op ieder moment besluiten zijn of haar toestemming voor het gebruik van persoonsgegevens in te trekken. Dit dient mogelijk te zijn op dezelfde eenvoudige wijze als dat de toestemming is verkregen. Intrekking van toestemming maakt eerdere verwerking van persoonsgegevens niet ongedaan. Toestemming kan dus niet met terugwerkende kracht worden ingetrokken.
De verwerkingsactiviteiten op basis van deze toestemming dienen dan gestaakt te worden (zo ook bij mogelijke (sub)verwerkers, zoals wanneer u uw salarisadministratie hebt uitbesteed). De betreffende persoonsgegevens dienen dan, indien ze niet voor een ander verwerkingsdoel nodig zijn, verwijderd te worden.
Gebruik foto’s
Foto’s waarop individuen identificeerbaar zijn, vormen ook persoonsgegevens. Uitgangspunt is dat voor het gebruiken van foto’s een wettelijke grondslag aanwezig moet zijn. In de meeste gevallen moet een betrokkene zijn toestemming geven voor het gebruiken van zijn foto. Dit betekent dat de hierboven beschreven voorwaarden met betrekking tot toestemming onverkort gelden. Het is goed u hier als bedrijf bewust van te zijn bij het gebruik van foto’s van bijvoorbeeld werknemers of klanten.
Nieuwsbrief
Het handigste is als uw organisatie bijvoorbeeld in een procedure voor werknemers beschrijft dat het mogelijk is dat er bij verschillende gelegenheden foto’s gemaakt worden. Deze foto’s kunnen gebruikt worden voor de doeleinden, zoals de website van het bedrijf, een nieuwsbrief of voor andere media. Op basis van de procedure vraagt u vervolgens expliciet toestemming aan uw werknemers voor het kunnen gebruiken van foto’s en registreert u dit (zie de eerder beschreven voorwaarden). Ook voor losse evenementen die u organiseert, kun je het voor bijvoorbeeld uw klanten of gasten op deze wijze regelen.
Gebruik foto’s van andere websites
Het gebruiken van foto’s of andere persoonsgegevens van andere websites voor een eigen bedrijfspublicatie op internet is in principe niet toegestaan. Dat deze gegevens al op internet staan, betekent niet dat uw bedrijf ze ook mag gebruiken. De gegevens worden dan namelijk in een andere context en voor een ander doel gebruikt. Hiervoor zult u ook expliciet toestemming moeten verkrijgen. Er geldt een uitzondering voor huishoudelijk/persoonlijk gebruik, dan is de namelijk AVG niet van toepassing. Voorwaarde is dan echter wel dat je de gegevens privé publiceert en dat deze alleen voor een beperkte kring mensen zichtbaar zijn.
Foto’s kinderen
Bij kinderen onder de leeftijd van 16 jaar geldt dat de ouders of wettelijke vertegenwoordigers toestemming moeten geven voor het plaatsten van foto’s of andere persoonsgegevens, bijvoorbeeld op social media of (bedrijfs)websites. De gebruiker moet aan kunnen tonen dat de betreffende toestemming is verkregen.