Vejledning om samtykkeregler
Fortæller I jeres kunder, hvordan de kalder et samtykke tilbage? Og er det let at gøre?
Når virksomheder og andre organisationer behandler personoplysninger om kunder og medarbejdere, så skal der være en god og lovlig grund til at gøre det. At den person, hvis oplysninger man behandler, har sagt god for det, altså givet sit samtykke, er én af de seks lovlige grunde, der nævnes i EU’s databeskyttelsesforordning eller GDPR. Datatilsynet har netop opdateret sin vejledning om reglerne for samtykke, og her følger en kort introduktion til vejledningen.
De seks lovlige grunde til at behandle almindelige personoplysninger
Inden vi dykker ned i reglerne om samtykke, ridser vi lige de andre grunde eller hjemler op, da de også kan være relevante at anvende. Behandlingen af personoplysninger er:
1. aftalt mellem den registrerede og virksomheden/den dataansvarlige, dvs. samtykke,
2. nødvendig for, at den registrerede kan opfylde kontrakt, som vedkommende har indgået, f.eks. hvis den registrerede har indgået kontrakt om køb af en service, som indebærer løbende kommunikation og opdateringer,
3. nødvendig for, at virksomheden/den dataansvarlige kan overholde en retlig forpligtelse i form af anden lovgivning, der pålægger virksomheden/den dataansvarlige at indhente og behandle personoplysninger, f.eks. hvis en advokat, jf. hvidvaskloven, er forpligtet til at indhente visse oplysninger om en klient,
4. nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, f.eks. når en arbejdsgiver som dataansvarlig registrer kontaktoplysninger for sine medarbejderes nærmeste pårørende,
5. nødvendig for at udføre opgaver, som er i samfundets interesse, f.eks. myndighedsopgaver, eller
6. besluttet ud fra en interesseafvejning, dvs. hvis virksomheden/den dataansvarliges legitime interesse i at behandle oplysningerne vægter tungere end den registreredes. Eksempelvis, når en frivillig forening som dataansvarlig registrer medlemmers navn, adresse, e-mail, alder m.v. Bemærk – generelt er det sådan, at når den registrerede er et barn, så skal der tages endnu mere hensyn til den registrerede.
Hvis det drejer sig om følsomme personoplysninger, så er de i udgangspunktet ikke tilladt at behandle, med mindre særlige forhold gør sig gældende. Da det er de færreste almindelige virksomheder, som har brug for at behandle følsomme personoplysninger, kommer vi ikke nærmere ind på det her, men kan henvise til denne artikel, hvor du kan genopfriske forskellen på almindelige og følsomme personoplysninger.
Derfor er det vigtigt, at et samtykke er udformet korrekt
Hvis reglerne for samtykke ikke er overholdt, så kan det meget vel betyde, at der slet ikke er noget samtykke, fordi det automatisk falder bort. I det tilfælde behandler virksomheden/den dataansvarlige personoplysningerne ulovligt og risikerer, at Datatilsynet udtaler offentlig kritik eller udsteder bøder, hvis omstændighederne er ekstra kritisable.
Her følger et lille udpluk af de faktorer, der skal være på plads, når man udformer et samtykke. Listen er ikke komplet, og vi anbefaler absolut, at man læser hele vejledningen eller som minimum tjeklisten på side 19, hvis man er i tidsnød:
- Samtykket skal gives frivilligt. Hvis der anvendes tvang, er det ikke frivilligt. Og måske mindre synligt - hvis der er en skæv magtfordeling mellem databehandleren og den registerede, kan der også være tale om tvang
- Samtykket skal kun dække et formål. Hvis en virksomhed/dataansvarlig ønsker at behandle personoplysninger til flere formål, så skal der laves en samtykkeerklæring pr. formål
- Samtykket skal dokumenteres. Det betyder, at et samtykke bør afgives skriftligt eller på en anden måde, der kan bevises
- Samtykkeerklæringen skal være let at forstå. Den registrerede må ikke være i tvivl om, hvad samtykket drejer sig om. Og erklæringen skal indeholde information om, hvordan samtykket trækkes tilbage
- Samtykket skal være specifikt. Det skal være ganske tydeligt, hvad formålet med behandlingen er, og hvilke personoplysninger, der behandles.
Et samtykke skal let kunne trækkes tilbage
Det skal være lige så let at trække tilbage, som det var at give et samtykke. Så hvis et samtykke er givet ved at klikke i en boks på en hjemmeside, så skal det kunne trækkes tilbage ved at klikke i en boks på en hjemmeside. Datatilsynet giver dette eksempel:
”En online tøjbutik beder ved ordreafgivelsen om kundens samtykke til at sende e-mails med fordelagtige tilbud og rabatter på udvalgte varer. Samtykke afgives ved at sætte flueben i en boks. Det fremgår af den information, som kunden modtager, at samtykke altid kan tilbagekaldes ved at ringe til tøjbutikken på hverdage mellem 10-16. Butikken lever ikke op til kravet om, at det skal være lige så let at trække sit samtykke tilbage som at give det. Tilbagetrækning af samtykke vil kræve et telefonopkald i arbejdstiden og er derfor ikke lige så let som at sætte flueben i en boks på hjemmesiden.”
Når et samtykke trækkes tilbage, har det betydning for den fremtidige behandling af personoplysninger, men ikke for den historiske.
Podcast for SMV'er om GDPR-regler
Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.