Is dat dan verboden onder de GDPR? Het is een van de vragen die de privacyjurist dagelijks moet beantwoorden. En het antwoord is steeds hetzelfde: GDPR verbiedt als dusdanig niets, wel formuleert het een aantal algemene spelregels. Sla er de (net geen) honderd bepalingen van de GPDR maar op na; geen enkele van die bepalingen schrijft een ‘gij zult niet’-principe voor.
Privacy-activisten durven dat wel al eens anders voorspiegelen. In tijden waarin private bedrijven en onderzoekers goedbedoelde initiatieven nemen om de coronapandemie het hoofd te bieden door beroep te doen op technologische innovatie, zien we her en der weer de vingertjes opgaan om ons onheilspellend te waarschuwen voor een hellend vlak dat ons binnen de kortste keer onder de knoet zal brengen van multinationals of, uiteindelijk, Vader Staat. ‘GDPR verbiedt u om…!’, roepen de activisten dan. En daar mag weleens wat over gezegd worden.
De GDPR heeft helemaal niet de bedoeling om innovatie en technologische evolutie aan banden te leggen. Integendeel. Ze zorgt ervoor dat (ict-)bedrijven sinds mei 2018 tegen de achtergrond van een duidelijker en uniform wettelijk kader kunnen opereren, wat het voordeel geeft van meer transparantie en rechtszekerheid. Afgelopen dus met door rechters per lidstaat ontwikkelde rechtsregels die niet terug te vinden zijn in de regelgeving zelf.
En ja, ondernemingen dienen daarbij uiteraard rekening te houden met een aantal basisprincipes die de GDPR voorschrijft. Dat is niet anders dan pakweg in het consumenten- of contractenrecht. De meeste van die privacyregels zijn common sense. Het is bijvoorbeeld logisch dat een individu duidelijke informatie krijgt over de manier waarop met zijn persoonsgegevens wordt omgesprongen, en dat we in een wereld van voortschrijdende digitalisering (en sterk stijgend aantal cyberaanvallen) wel even nadenken over informatiebeveiliging binnen een organisatie.
Toestemming
Het is net die set van krijtlijnen die helpt garanderen dat we niet zomaar zullen afglijden naar een situatie van surveillance en dat we onze individuele vrijheid, ook ten aanzien van grote ondernemingen, behouden. Die individuele vrijheid is trouwens ook nog steeds de hoeksteen van het privacyrecht; ze geldt immers als de belangrijkste wettelijke grond op basis waarvan persoonsgegevens zijn te verwerken. Wanneer ik geïnformeerd en vrij toestem met de verwerking van mijn gegevens, dan is die verwerking legitiem.
Dat werkt in twee richtingen. De onderneming moet enerzijds transparant, zeg maar eerlijk zijn. Anderzijds, wie geïnformeerd toestemt om tegen opgaaf van persoonsgegevens een bepaalde dienst af te nemen, van bepaalde financiële voordelen te genieten, gepersonaliseerde reclame te ontvangen, enzovoorts, moet zich daar dan later ook niet over beklagen. You can’t have your cake and eat it too.
Wanneer ik geldig toestem met de verwerking van mijn persoonsgegevens om gebruik te maken van een corona-app, dan is die verwerking legitiem. En ja, het staat ondernemingen meer dan vrij om die apps te ontwikkelen en technologie ondersteunend te laten werken. En maar goed ook!
Ons privacykader kan daarbij zelfs stimulerend werken. De Europese regelgever was immers heel ambitieus en wou met de GDPR de ‘gouden standaard’ zetten voor wat betreft privacyrechten. Ondernemingen die werken binnen dit kader hebben dan ook een substantieel competitief voordeel op niet-Europese bedrijven. Wat ‘GDPR-branded’ of ‘EU-proof’ is, zal immers ontegensprekelijk een sterke reputatie genieten op de wereldmarkt en is een gewaarmerkt exportproduct.
Privacy als boost van innovatie dus.
Juristen geven nooit duidelijke antwoorden op simpele vragen terwijl ‘gij zult niet’ onnodig de persoonsgegevens vragen principe van GDPR best wel eenvoudig uit te leggen is. Uitleggen van doel van persoonsgegevensverwerking geeft er namelijk nog geen legitimiteit aan. En rechtsgeldige toestemming van minderjarigen voor verwerking van persoonsgegevens binnen Europa is nog niet eenduidig, volgens mij geldt ondergrens van 13 jaar voor België en 16 jaar voor Nederland maar ik ben geen jurist.