Blogindlæg

Persondataforordningen og samtykke - få guide til regler

Publiceret den af
Del artiklen på:   

Samtykke. Hvad er det? Hvordan er det persondataforordningen og persondataloven? Hvordan er reglerne og kravene? Hvad med tilbagekaldelse af samtykke?

Det og meget mere kan du læse nærmere om i denne artikel.

Samtykke betyder, at du 'får lov' fra en anden til at behandle personoplysningerne. Samtykket er én af flere muligheder for lovligt at behandle personoplysninger. Samtykket er ikke altid en god idé at bruge. 

Dette og meget mere kan du læse mere om herunder.

Hvis du har brug for hjælp til reglerne for samtykker eller bare GDPR generelt, er du velkommen til at kontakte os her:

 

Kontakt os her for at få hjælp til regler for samtykke 

 

Hvad er samtykke?

Der findes flere definitioner af samtykke. Det afhænger bl.a. af, hvilke love og lignende man skal overholde.

Hvis du som organisation (virksomhed, organ, myndighed, forening eller lignende) skal behandle personoplysning, skal du være sikker på at overholde GDPR og persondataforordningen.

I GDPR står der, at du gerne må behandle personoplysninger, hvis du for eksempel har fået samtykke. I GDPR-forstand kan samtykke defineres således:

"Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling."

Det er dog vigtigt at huske på, at du ikke nødvendigvis altid skal have samtykke. Samtykket er én af flere muligheder for at måtte behandle personoplysninger lovligt. Det er også dette, man kalder for 'behandlingsgrundlag'.

De mest relevante behandlingsgrundlag er:

  • Legitim interesse (interesseafvejningsreglen)
  • Retlig forpligtelse (det står i loven)
  • For at leve op til aftale/kontrakt og
  • Samtykke

Oftest vil samtykket ikke være det bedste valg, fordi et samtykke altid kan trækkes tilbage. Derfor bør du istedet forsøge at bruge især aftale/kontrakt og legitim interesse istedet. 

Du skal dog være særligt opmærksom på reglerne om "personfølsomme oplysninger"/følsomme personoplysninger. Hvis du behandler følsomme oplysninger som for eksempel helbredsoplysninger eller seksuelle oplysninger, skal du som udgangspunkt have samtykke. Det skal ikke bare være et almindeligt samtykke, men udtrykkeligt samtykke. Denne artikel vil ikke nærmere komme ind på samtykke i forbindelse med følsomme oplysninger. Du er velkommen til at kontakte os, hvis du har brug for yderligere hjælp til dette. 

Persondataforordningen samtykke

Der er en række krav til samtykket i persondataforordningen.

Der er overordnet 2 krav:

  1. Du skal kunne påvise, at du har indhentet samtykket i overensstemmelse med forordningen
  2. Du skal overholde reglerne om samtykke i forordningen

Det første krav er som nævnt, at du skal kunne påvise, at du har indhentet samtykket korrekt.

Der står i forordningen (artikel 7, stk. 1):

"Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger."

Du skal altså kunne påvise, at du har indhentet samtykket. Det kan ske skriftligt, men kan i princippet også ske på andre måder for eksempel ved at optage et mundtligt samtykke.

Hvis du bruger samtykket til e-mail markedsføring for eksempel MailChimp, vil mange udbydere af sådanne markedsføringsværktøjer sørge for, at du kan påvise, at du har indhentet samtykket med IP-adresse, time-stamp og mulighed for double opt-in (totrins verifikation, hvor modtageren får mail, som skal verificere e-mailadressen).

I forhold til MailChimp kan du også læse vores artikel med vores vurdering af, hvorvidt man må bruge MailChimp ifølge GDPR. Læs artiklen her. Du kan også læse vores artikel om GDPR og nyhedsbreve.

Derudover skal du overholde reglerne om samtykke i forordningen.

(Artiklen fortsætter under billedet...)

SamtykkeDer er mange regler og krav til samtykker. Du overordnet set både overholde reglerne for samtykkerne, men også kunne påvise at du overholder reglerne for samtykkerne.

Samtykke regler og krav

Reglerne er overordnet, at samtykket skal være:

  • Frivilligt
  • Specifikt
  • Utvetydigt
  • Informeret

At samtykket skal være frivilligt betyder bl.a., at du skal være særligt opmærksom som arbejdsgiver. Du må ikke bare 'smugle' samtykket ind i ansættelseskontrakten eller et tillæg, fordi lønmodtageren i så fald vil kunne føle, at det kan få negative konsekvenser ikke at give samtykke. Du skal derfor sikre dig, at samtykket er 100% frivilligt.

Derudover skal det være specifikt, utvetydigt og informeret. Det betyder, at det klart og tydeligt skal fremgå, hvad der gives samtykke til. Ifølge Datatilsynet skal informationen som minimum bestå af:

  • den dataansvarliges identitet
  • formålet med den påtænkte behandling
  • hvilke oplysninger, der behandles og
  • hvilken behandling, der finder sted
  • oplysning om, at samtykket til enhver tid kan trækkes tilbage

Det afhænger af den konkrete situation, hvad der skal gives af oplysninger, og hvor i dybden du behøves at gå i forbindelse med samtykket.

Samtykket må ikke være en del af handelsbetingelserne eller lignende. Samtykket skal klart kunne skelnes fra de andre forhold.

Samtykket skal være utvetydigt og må derfor ikke være skrevet for "kludret" og juridisk. Samtykket skal ske i en letforståelig og lettilgængelig form i et enkelt og klart sprog, som er målrettet modtageren af samtykket.

Der er med andre ord mange krav til samtykket. Hvis du vil være sikker på at overholde reglerne, er du derfor velkommen til at kontakte os for at høre nærmere om, hvordan vi kan hjælpe dig.

Tilbagekaldelse af samtykke

En stor ulempe ved at anvende samtykke som 'lovhjemmel' til at behandle personoplysninger er, at den registrerede altid kan trække samtykket tilbage. Altså tilbagekalde samtykket. Derfor vil det være en fordel at anvende kontrakt/aftale eller legitim interesse som lovhjemmel til at behandle oplysninger i stedet.

Er det dog ikke muligt, og benyttes der i stedet samtykke, har den registrerede ret til at tilbagekalde samtykket.

Der står direkte citeret i forordningens artikel 7, stk. 3 om tilbagekaldelse af samtykke:

"3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det."

Det betyder, at du ikke kan forhindre den registrerede i at trække samtykket tilbage. Den registrerede har ret til at gøre det til 'enhver tid'. 

Derudover skal det være lige så let at trække samtykket tilbage, som det var at give det. Hvis et samtykke for eksempel indhentes ved et enkelt klik, skal den registrerede også kunne trække samtykket tilbage ved et enkelt klik. Hvis samtykket er indhentet for eksempel via en hjemmeside, skal den registrerede også have mulighed for at kunne trække samtykket tilbage på en hjemmeside.

Du skal huske på, at samtykket skal være gebyrfrit. Du må derfor ikke tage betaling i form af gebyrer eller på anden måde kræve noget, der er til skade for den registrerede, hvis samtykket tilbagetrækkes.

Hvis du møder en anmodning om tilbagekaldelse af samtykke, skal du naturligvis stoppe med at behandle oplysninger, som behandles på baggrund af samtykket. Husk også på, at opbevaring af personoplysninger også er behandling af personoplysninger. Du må derfor ikke opbevare personoplysninger som er indhentet på baggrund af samtykket, hvis samtykket trækkes tilbage.

Brug for mere hjælp omkring samtykke og GDPR?

Der er mange regler og krav til samtykke i forbindelse med GDPR og persondataforordningen.

Du kan risikere store bøder, hvis du ikke overholder dem. 

Særligt samtykke er et af de steder, hvor det er vigtigt, at du har 100% styr på reglerne. Den registrerede kan hurtigt blive irriteret over for eksempel reglerne for tilbagekaldelse af samtykke ikke overholdes, og den registrerede kan derfor godt finde på at klage over det. Hvis den registrerede klager til Datatilsynet, skal de reagere på klagen. Du kan læse Datatilsynets gode vejledning om samtykke her.

Her hos Persondatakonsulenterne hjælper vi med reglerne for samtykker, GDPR og persondataforordningen. Vi kan hjælpe med at udfærdige samtykkerne korrekt, så de overholder de mange regler og kan hjælpe med processen ved tilbagekaldelse af samtykke.

Du kan kontakte os herunder for at høre nærmere om, hvordan vi kan hjælpe dig:

  

Kontakt os her

 

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.

Del artiklen på:   
Kunder vi rådgiver