Stel: een vriend(in) post een selfie van jou op Instagram met jouw toestemming maar daar heb je wat later al spijt van. Of: je gaat akkoord met de publicatie van jouw foto op de website van een (bedrijfs)event maar achteraf verander je van gedacht. Wat dan? Is er nog een weg terug?
In onze vorige blogpost werd uiteengezet dat een foto waarop een individu identificeerbaar is, een persoonsgegeven uitmaakt en dat het plaatsen van iemands foto of afbeelding op sociale media (of meer algemeen op het internet), een ‘verwerking van persoonsgegevens’ in de zin van de AVG uitmaakt.
Een geldige toestemming?
Concreet moet voor dergelijke handeling dus een wettelijke grondslag (verwerkingsgrond) zijn. In de meeste gevallen zal men de toestemming van de betrokkene vragen om een foto te gebruiken. Om te kunnen spreken van een geldige toestemming, moet de persoon in kwestie niet alleen duidelijk geïnformeerd wordt over de doeleinden van de verwerking maar is het minstens even belangrijk om de betrokkene te informeren over hoe die toestemming ook weer kan ingetrokken worden.
Het recht om je toestemming in te trekken
De AVG maakt duidelijk dat het intrekken van jouw toestemming even eenvoudig moet kunnen als het verlenen ervan (maar het hoeft daarom niet op exact dezelfde manier te gebeuren) en is op die manier een noodzakelijk aspect van een geldige toestemming.
Bijvoorbeeld: Wanneer je jouw toestemming gaf door een eenvoudige muisklik op een website, dan moet je in principe met eenzelfde eenvoudige klik die toestemming weer kunnen intrekken. Als je echter om jouw toestemming te kunnen intrekken, moet bellen naar een callcenter, staat die effort niet in verhouding tot het gemak waarmee jouw toestemming initieel gaf.
Wanneer je dus als onderneming of organisatie foto’s van personen online zet, moet je ervoor zorgen dat de toestemming voor het plaatsen van de foto minstens even eenvoudig weer kan ingetrokken worden. Wanneer je als onderneming foto’s online plaatst met toestemming van de betrokken, kan je inderdaad niet op je lauweren rusten: de stelling “gegeven is gegeven” gaat in deze context niet zomaar op!
Gevolgen van het intrekken van toestemming
Wat zijn nu de concrete gevolgen wanneer iemand de eerder gegeven toestemming voor het plaatsen van een foto op een website intrekt?
De vriendin in kwestie moet jouw foto van Instagram halen maar wat moet je als onderneming doen wanneer een werknemer vraagt om een foto van de bedrijfswebsite of uit de fotoreeks van het bedrijfsevent te wissen? Van zodra de toestemming is ingetrokken, moet de onderneming meteen stoppen met alle verdere gegevensverwerkingen die gebaseerd waren op die toestemming én moet de onderneming in kwestie die gegevens ook wissen.
Concreet mag je als onderneming de bewuste foto dus niet meer laten verschijnen op de bedrijfswebsite van zodra de toestemming werd ingetrokken én moet deze foto onmiddellijk gewist worden.
Betekent dit dan ook dat alle gegevensverwerkingen die gebeurden voor het intrekken van de toestemming niet meer te rechtvaardigen zijn? Neen, het gebruik van de foto’s dat dateert van voor het intrekken van de toestemming blijft rechtmatig: het recht op intrekking van de toestemming heeft enkel invloed op elk toekomstig gebruik van de gemaakte foto’s (bijvoorbeeld in reclamecampagnes die nog moeten plaatsvinden).
Geen toestemming meer? Dan maar een andere rechtsgrond?
Vaak gebruiken bedrijven persoonsgegevens echter voor verschillende doeleinden. Als onderneming moet je daarom vanaf het begin duidelijk zijn over het doel van de verwerking van de gegevens en de rechtsgrond die daarvoor ingeroepen wordt.
Indien een werknemer de toestemming voor het gebruik van persoonsgegevens zoals een foto intrekt, ben je als onderneming verplicht om die persoonsgegevens te wissen wanneer deze verwerkt zijn op basis van toestemming. Je kan op dat moment niet zomaar ‘stilzwijgend’ overschakelen van toestemming (die ingetrokken is) op een andere rechtsgrond.
Bijvoorbeeld: je kan als bedrijf foto’s van je werknemers voor informatieve doeleinden op de website zetten onder de ‘who-is-who’- of ‘meet-the-team rubriek’. Maar daarnaast kan je ook foto’s van de werknemers gebruiken als sfeerbeeld op de website of je kan foto’s publiceren van een bedrijfsevent.
In dit voorbeeld is de verwerking van foto’s van een werknemer gebaseerd op meer dan één rechtsgrond: de toestemming (sfeerbeeld) en het gerechtvaardigd belang (de ‘who-is-who’). Wanneer de werknemer in kwestie de eerder gegeven toestemming intrekt voor het publiceren van de foto van het bedrijfsevent, betekent dit daarom niet noodzakelijk dat de foto van die werknemer ook uit de ‘who-is-who’ moet verwijderd worden. Die verwerking is immers gebaseerd op een andere rechtsgrond.
Conclusie
Vertegenwoordig je een onderneming/organisatie en heb je in het verleden gewerkt met toestemmingen om foto’s te verwerken? Besef dan dat deze toestemmingen te allen tijde kunnen ingetrokken worden. Zet je regelmatig foto’s van werknemers of externe medewerkers online? Zorg er dan voor een juiste rechtsgrond. Is deze rechtsgrond de toestemming van de betrokkene, zorg dan dat deze geïnformeerd is, en dat je dit documenteert!
Vind je dit als organisatie toch behoorlijk ingewikkeld? Of wil je aftoetsen of er geen andere rechtsgronden mogelijk zijn dan de toestemming? We helpen je graag verder via hallo@dejuristen.be
Geschreven door Sarah Dello , Senior Legal Adviser deJuristen, en Kris Seyen, Partner deJuristen
