Contactformulieren - is toestemming vereist?

Hallo aan alle toestemmingslijders,
Stel je voor dat je aan het winkelen bent in de stad en plotseling het perfecte paar schoenen vindt. Je gaat de winkel binnen, klaar om geld uit te geven. Maar de winkelbediende vertelt je dat ze alleen naar je schoenmaat mag vragen als je de verklaring gegevensbescherming (DSE) hebt gelezen en geaccepteerd.

WAT?! ECHT, NU?! - Natuurlijk niet!

Door de winkel binnen te gaan, heb je een intentieverklaring afgelegd voor het mogelijke begin van een juridische transactie. In juridische transacties wordt dit ook wel „impliciete gedraging“ genoemd.

Wikipedia schrijft:
„Er is sprake van stilzwijgend handelen (Latijn concludere „concluderen“, „een conclusie trekken“) (ook stilzwijgend gedrag, stilzwijgende wilsverklaring of stilzwijgende handeling) in juridische transacties als iemand zijn wil uitdrukt door middel van non-verbaal gedrag en de eerlijke ontvanger hieruit een intentie kan afleiden om wettelijk gebonden te zijn, zodat een contract zelfs zonder een uitdrukkelijke wilsverklaring kan worden gesloten.“

Je komt de winkel binnen om schoenen te kopen - je bent dus bereid om een transactie te starten en een overeenkomst te sluiten. En om ervoor te zorgen dat de schoenen passen, realiseer je je meteen dat je schoenmaat een verplicht persoonsgegeven is. Logisch, toch?

Waarom zijn er dan op veel websites contactformulieren met verplichte selectievakjes? U kunt de aanvraag alleen verzenden als u het selectievakje activeert en daarmee bevestigt dat u
- toestemming geeft voor de verwerking van zijn/haar gegevens om de vraag te beantwoorden of
- de DSE heeft gelezen en deze accepteert of ermee instemt.

Wat is het punt? Misschien kiezen websitebeheerders of agentschappen voor toestemming uit onwetendheid of uit angst voor waarschuwingen. Misschien gaan ze er gewoon van uit dat dit de makkelijkste en veiligste manier is.
Maar wees voorzichtig, je kunt je vergissen. Want toestemming is een lastig iets. Aan de ene kant moet worden gedocumenteerd dat toestemming rechtmatig is verkregen. En aan de andere kant hebben betrokkenen het recht om hun toestemming op elk moment in te trekken.

De processen moeten dus worden bijgehouden en gedocumenteerd en in het geval van een annulering moeten de gegevens onmiddellijk worden verwijderd in overeenstemming met de GDPR (actieve systemen, back-ups, enz.). Dus wat zo verleidelijk eenvoudig klinkt, heeft in werkelijkheid een aantal valkuilen en veroorzaakt behoorlijk wat inspanning.

Wat zegt de GDPR?

Artikel 6 van de GDPR voorziet in een hele reeks „autorisatievoorwaarden“ waaronder de verwerking van persoonsgegevens is toegestaan. De artikelen die relevant zijn voor ons contactformulier zijn

Art. 6, lid 1, letter a: Toestemming van de betrokkene
Art. 6, lid 1, letter b: nakoming van een overeenkomst of uitvoering van precontractuele maatregelen
Art. 6, lid 1, lit. f: Gerechtvaardigd belang van de voor de verwerking verantwoordelijke

Art. 6, lid 1, letter a: Toestemming van de betrokkene

Er zijn verwerkingen waarvoor toestemming moet worden verkregen. Hieronder valt bijvoorbeeld het gebruik van bepaalde marketing- of tracking-/analysehulpmiddelen, enz. Volgens de Beierse toezichthoudende autoriteit voor gegevensbescherming „is toestemming vereist voor contactformulieren als er speciale categorieën persoonsgegevens overeenkomstig art. 9 lid 1 GDPR worden verwerkt. Dit kan bijvoorbeeld het geval zijn als het formulier wordt gebruikt om gezondheidsgegevens op te vragen voor afspraken met een arts, als het contactformulier wordt gebruikt om zich aan te melden bij een religieuze organisatie of politieke partij of als de gebruiker bijlagen kan uploaden waaruit conclusies kunnen worden getrokken over religie, etnische afkomst, seksuele geaardheid, enzovoort [1].“

[1] Uittreksel uit het activiteitenverslag 2017/2018 van de LDA Bavaria van maart 2019.

Dit geldt niet voor een contactformulier dat geen bijzonder gevoelige gegevens bevat. Het gebruik van een contactformulier kan daarom voor de meeste toepassingen worden gebaseerd op andere rechtsgrondslagen.

Art. 6, lid 1, letter b: nakoming van een overeenkomst of uitvoering van precontractuele maatregelen

Art. 6, lid 1, lit. f: gerechtvaardigd belang van de voor de verwerking verantwoordelijke

De andere optie is om het gebruik van een contactformulier te baseren op het legitieme belang van de websitebeheerder. Het ligt voor de hand dat de websitebeheerder een duidelijk en gerechtvaardigd belang heeft bij het beantwoorden van een aan hem gerichte vraag.
De wetgever bepaalt wel dat er een belangenafweging moet plaatsvinden bij het verwerken van gegevens op basis van deze rechtsgrond. Bij het gebruik van een contactformulier is het echter logisch om aan te nemen dat de belangen van de betrokken partijen samenvallen: De ene partij doet een aanvraag en verwacht een reactie, de andere partij wil de aanvraag beantwoorden.

Pas op voor mengen met contractuele bases

Dus laten we duidelijk zijn: een „verplicht selectievakje“ is voor de meeste contactformulieren niet nodig. Met de DSE vervullen we slechts onze plicht om informatie te verstrekken in overeenstemming met de GDPR. Geen enkele geïnteresseerde partij of klant is verplicht om de informatie daadwerkelijk te lezen en al helemaal niet om ermee in te stemmen of het te accepteren.

Er is echter nog een reden - die niets te maken heeft met gegevensbescherming - om deze selectievakjes niet te gebruiken:
De definitie van een verplicht veld voor het erkennen van en akkoord gaan met de DSE kan de indruk wekken dat de DSE een integraal onderdeel van het contract is - vergelijkbaar met de AV. Maar dat is het NIET!

In december 2018 behandelde het Hof van Beroep in Berlijn de zaak van een online winkel die de toestemming van de klant vroeg voor de „gegevensbeschermingsovereenkomst“ van de aanbieder via een selectievakje tijdens het bestelproces. Het Hof van Beroep oordeelde (zaaknummer 23 U 196/13) dat een groot deel van de gegevensbeschermingsbepalingen in strijd was met de wet inzake algemene voorwaarden, omdat ze onverenigbaar waren met de fundamentele ideeën van de GDPR.

Het Hof van Beroep oordeelde dat het onderscheid tussen algemeen bindende contractvoorwaarden en niet-bindende informatie gebaseerd moet zijn op het begrip van de „gemiddelde klant zonder juridische vooropleiding“. Door de formulering van de voorwaarden van de aanbieder en de afzonderlijk te accepteren „gegevensbeschermingsovereenkomst“, zou de gemiddelde klant de voorwaarden van de aanbieder en de toestemmingsverplichting beschouwen als „contractuele voorwaarden“ die hij zou moeten accepteren als hij een bestelling wil plaatsen. De rechtbank onderwierp daarom de hele tekst aan een AV-toetsing.
Het is daarom raadzaam om een duidelijk onderscheid te maken tussen zuivere informatie en contractuele componenten om onaangename confrontaties met advocaten en rechtbanken te vermijden.

Conclusie

Het belangrijkste is:

• HTTPS-encryptie volgens de huidige stand van de techniek is een absolute voorwaarde voor het gebruik van een contactformulier.
• Om gegevens tot een minimum te beperken, moeten alleen de echt relevante velden worden gedefinieerd als verplichte velden in het contactformulier. Welke dat zijn, moet per geval worden bekeken. Voor een online verkoper van koelkasten is de leeftijd van de aanvrager bijvoorbeeld geen relevante datum. Voor een e-sigarettenwinkel kan dat echter wel het geval zijn. Volgens het motto „Zo veel als nodig, zo weinig als mogelijk“.“ Alleen de velden die nodig zijn om de vraag te beantwoorden, moeten worden gedefinieerd als verplichte velden.
• Plaats ook een link naar de DSE in het contactformulier, zodat geïnteresseerden gemakkelijk toegang krijgen tot de gewenste informatie. Zoiets als dit: „Meer informatie over de verwerking van persoonsgegevens vindt u in ons privacybeleid“.“
• In de DSE zelf moet een overeenkomstige opmerking worden toegevoegd aan het contactformulier, die informatie geeft over welke gegevens voor welk doel door wie worden verwerkt, op welke rechtsgrondslag dit gebeurt en hoe lang de gegevens worden opgeslagen.

Meer links en informatie

Meer informatie en hulp is te vinden in Art. 6, lid 1, GDPR en in de Overweging 47 van de GDPR. Ondertussen zijn er ook heel begrijpelijke en praktische publicaties in de vakliteratuur. Het Beierse staatsbureau voor toezicht op gegevensbescherming verwijst naar een publicatie in een persbericht op https://www.lda.bayern.de/media/pm2018_15.pdf. Op de pagina van de gegevensbeschermingsgoeroe kun je een (nog steeds actueel) heel onderhoudend Podcast. Of u kunt het gewoon vragen aan uw vertrouwde deskundige op het gebied van gegevensbescherming.

Juridische informatie

Ik heb de informatie in dit essay samengesteld naar mijn beste weten en overtuiging en ik heb mijn oordeel erbij vermeld. Hoewel ik mijn uiterste best heb gedaan om ervoor te zorgen dat alle informatie actueel is, kan ik de volledigheid of nauwkeurigheid van de informatie niet garanderen.

De inhoud dient uitsluitend ter informatie en is niet bindend. Het is uitdrukkelijk geen juridisch advies in de zin van de Duitse wet op juridisch advies (RBerG) en is daarom geen vervanging voor het advies van een advocaat. Ik ben niet aansprakelijk voor fouten of weglatingen en kan niet aansprakelijk worden gesteld voor schade in contract, onrechtmatige daad of anderszins die voortvloeit uit het gebruik van of vertrouwen op deze informatie of acties of beslissingen die worden genomen als gevolg van het gebruik van deze informatie.