Samtykkeerklæring persondataforordning

Samtykkeerklæring persondataforordning – regler for samtykke

Samtykkeerklæring og persondataforordningen. Hvordan er reglerne? Hvad siger persondataloven? Hvad er et samtykke overhoved? Og hvad er reglerne for, hvornår en virksomhed eller myndighed skal have samtykke for at overholde GDPR?

Det og meget mere kan du læse om herunder.

Har du brug for hjælp til GDPR, kan du få tilbud på, hvad det vil koste her.

Du kan læse hele artiklen herunder.

Hvad er en samtykkeerklæring?

At give samtykke betyder med andre ord, at “der gives lov” til en bestemt handling.

Inden for GDPR og databeskyttelsesreglerne betyder samtykke dermed, at en organisation eller myndighed har fået lov til at behandle visse personoplysninger.

Før en organisation eller myndighed har fået lov skal den registrerede have givet en tilkendegivelse ved erklæring eller bekræftelse i forhold til behandlingen af personoplysningerne. Det er organisationen/myndigheden, der har ansvaret for at kunne bevise, at de har fået det tilstrækkelige samtykke til behandling af personoplysningerne.

At give samtykke
At give samtykke betyder, at en myndighed/organisation får lov til noget bestemt. Det kan for eksempel være lov til at behandle personoplysninger (opbevare dem, benytte dem osv.).

Hvornår skal man have en samtykkeerklæring?

Det er ikke altid, at en organisation eller myndighed skal have samtykke. Det afhænger af, hvilke “behandlingsgrundlag” organisationen/myndigheden kan benytte.

I følge databeskyttelsesforordningen (GDPR) artikel 6, kan man behandle personoplysninger lovligt, hvis man har behandlingsgrundlag. Udover samtykke kan et behandlingsgrundlag være:

  • Hvis den dataansvarlige eller tredjemand har en “legitim interesse
  • Hvis det er nødvendigt for at opfylde en kontrakt
  • Hvis det er nødvendigt for at overholde en retlig forpligtelse
  • Hvis det er nødvendigt for at beskytte den registreredes eller lign. vitale interesser
  • Hvis det er nødvendigt af hensyn til udførelse af en opgave i samfundets interesser eller lignende

I visse tilfælde skal den dataansvarlige dog have samtykke. Det vil for eksempel være, hvis der er tale om behandling af personfølsomme oplysninger (behandling af “særlige kategorier” af personoplysninger).

Hvis der ikke er tale om følsomme personoplysninger, bør du som dataansvarlig dog overveje, om der er andre behandlingsgrundlag, du kan benytte. Ulempen ved samtykke er nemlig bl.a., at det til enhver tid kan trækkes tilbage. Derudover gælder der altid en række krav til samtykket. Det kan du læse mere om herunder.

 

FÅ TILUD PÅ HJÆLP TIL GDPR HER

 

Hvilke krav er der til et samtykke?

For at kunne overholde GDPR (og de øvrige persondataregler) er der en række krav til samtykket.

Hvis du benytter samtykke som behandlingsgrundlag, skal samtykket efter persondataforordningens artikel 4, nr. 11 være:

  1. Frivilligt
  2. Specifikt
  3. Informeret
  4. Utvetydigt

Derudover skal samtykket være en “tydelig” tilkendegivelse om den registreredes hensigt. Det betyder for eksempel, at et samtykke ikke kan gives stiltiende, ved passivitet eller være underforstået inden for persondataforordningens regler.

1. Samtykket skal være frivilligt

Den, der giver samtykket (den registrerede), skal have et reelt eller frit valg. Den registrerede må efter GDPR derfor ikke føle sig tvunget eller på anden måde presset til at skulle afgive samtykket.

Datatilsynet giver et eksempel på dette med en sportsforening, hvor medlemmerne af foreningen skal give samtykke til, at der bliver taget billeder af dem, som bliver lagt på foreningens hjemmeside.

I dette eksempel vil samtykket være frivilligt, medmindre det medfører negative konsekvenser, hvis der ikke gives samtykke – det kunne for eksempel være, hvis et medlem af foreningen nægter at give samtykke og derefter bliver smidt ud af foreningen.

Den dataansvarlige bør ligeledes være opmærksom på eventuelle ulige forhold som fx forholdet mellem en arbejdsgiver og lønmodtager.

Er der en negativ konsekvens ved ikke at give samtykke?
Hvis der er en negativ konsekvens ved ikke at give samtykke, kan det være i strid med reglerne om, at samtykket skal være frivilligt. Det kan for eksempel være, hvis et manglende samtykke medfører, at en ansat bliver fyret, får mindre i løn, eller at et medlem af en forening bliver smidt ud.

2. Samtykket skal være specifikt

Det skal klart og tydeligt fremgå, hvad der gives samtykke til. Det skal derfor fremgå, hvilke formål der er med behandlingen af personoplysningerne.

Kravet om specifikt samtykke betyder også, at det skal ske i en letforståelse og lettilgængelig form og i et klart og enkelt sprog.

3. Samtykket skal være informeret

Du skal være sikker på, at den registrerede som minimum har oplysninger om:

  • Den dataansvarliges identitet
  • Formålet med den påtænkte behandling
  • Hvilke oplysninger der behandles
  • Retten til at trække samtykket tilbage

Det er dog altid en konkret vurdering, hvilke oplysninger den registrerede skal have i en samtykkeerklæring. Udover informationerne i samtykkeerklæringen, skal du huske på, at en dataansvarlig også har en oplysningspligt efter GDPR. Det kan derfor være en god idé at få hjælp fra en jurist eller lignende specialist til at sørge for overholdelse af persondatareglerne.

Få tilbud her på få hjælp til udarbejdelse af samtykkeerklæringer, oplysningstekster m.v.

4. Samtykket skal være utvetydigt

Den registrerede skal klart tilkendegive en accept af, at personoplysninger om vedkommende behandles.

Det kan for eksempel være ved at sætte “hak” i en boks, ved underskrift eller lignende erklæring om samtykke. Et felt på en hjemmeside, der allerede er afkrydset vil derfor være ulovligt efter GDPR, da det ikke vil være utvetydigt, at der er givet samtykket. Derudover vil det også være i strid med de markedsføringsretlige regler.

Samtykke og oplysningspligten

Udover reglerne for samtykke skal den dataansvarlige (organisationen/myndigheden) altid også være opmærksom på reglerne om oplysningspligten.

Efter persondataforordningens artikel 13 og 14 har den dataansvarlige en oplysningspligt (alt afhængig af, om personoplysninger er indsamlet hos den registrerede eller ej).

Disse regler betyder, at den dataansvarlige altid ved indsamlingstidspunktet skal give meddelelse om:

  • Identitet og kontaktoplysninger på den dataansvarlige og evt. dennes repræsentant
  • Formålene med behandlingen
  • Behandlingsgrundlaget (er det på baggrund af samtykke, legitim interesse, kontrakt eller?)
  • Eventuelle modtagere af personoplysningerne
  • Om personoplysningerne bliver overført til tredjeland
  • Tidsrummet hvor personoplysningerne opbevares
  • Retten til indsigt, berigtigelse, sletning, indsigelse, begrænsning og dataportabilitet
  • Retten til at klage til Datatilsynet
  • Evt. øvrige oplysninger afhængig af behandlingen

Det er derfor ikke nok blot at skrive: “Ved køb af denne vare giver du samtidig samtykke til, at vi må behandle dine indsendte personoplysninger”. Du skal ligeledes beskrive formålene, tidsrummet opbevaringen. Ovenstående liste over oplysninger er ikke udtømmende.

Få tilbud på, hvordan du kan få hjælp til at overholde oplysningspligten.

Kan du juridisk undgå at skulle have samtykke?

I visse tilfælde kan det være, at du skal overveje at undgå at benytte samtykke.

Som nævnt tidligere i artiklen er det nemlig ikke altid, at du skal bruge samtykke som “behandlingsgrundlag”. Du kan med andre ord have lov til at behandle personoplysninger uden nødvendigvis først at skulle have samtykke.

Det kan for eksempel være, at du kan behandle personoplysningerne lovligt ved at bruge “legitim interesse” som behandlingsgrundlag.

Du skal dog være opmærksom på, at i visse tilfælde kan du kun bruge samtykke som det eneste lovlige behandlingsgrundlag. For eksempel står der i GDPR (persondataforordningen/databeskyttelsesforordningen), at behandling af følsomme personoplysninger (den “særlige kategori” af oplysninger” ikke er lovligt, medmindre den registrerede har givet udtrykkeligt samtykke.

Er der et alternativ til samtykkeerklæringen?
Hvis du er dataansvarlig bør du altid overveje, om der er et alternativ til et samtykke. Kan du bruge et andet behandlingsgrundlag end samtykket? For eksempel legitim interesse eller behandling for at overholde ‘retlig forpligtelse’.

Husk også artikel 30-fortegnelsen

Alle organisationer/myndigheder skal have en artikel 30-fortegnelse.

Fortegnelsen skal kunne vises til Datatilsynet, hvis de ønsker at se den. I artikel 30 i databeskyttelsesforordningen står der, hvad artikel 30-fortegnelsen som minimum skal indeholde. Du skal generelt kunne vise over for Datatilsynet, at du er ‘compliant’ og dermed overholder GDPR.

Derfor skal du også i artikel 30-fortegnelsen beskrive, hvordan I behandler personoplysningerne lovligt efter forordningens artikel 6.

Hvis du i en proces behandler personoplysninger lovligt med med samtykke som begrundelse, skal du derfor anføre dette i artikel 30-fortegnelsen. Det kan være en god idé at få juridisk hjælp til at få udfærdiget artikel 30-fortegnelsen juridisk korrekt.

Kontakt os for at få hjælp til samtykkeerklæring

Har du brug for hjælp til reglerne for samtykkeerklæring? Eller generelt brug for hjælp til GDPR?

Så kan vi hjælpe dig.

Kontakt os herunder for at høre mere om hvordan.

1Beskriv din sag
2Dine oplysninger
  • Du behøver ikke bruge lang tid på at beskrive sagen. Du vil blive kontaktet af os, hvor du kan uddybe dine behov.