Ny vejledning om samtykke

5. december 2017

Den 25. maj 2018 træder den nye persondataforordning i kraft. For at forberede virksomheder og myndigheder på de nye regler, sender Justitsministeriet og Datatilsynet løbende vejledninger ud til dem, så de langsomt og sikkert kan sætte sig ind i og lære at følge de kommende regelsæt.

I den forbindelse er der den 8. november kommet en ny vejledning på banen, som handler om samtykke, og hvordan samtykke fremover kan bruges som grundlag for behandling af persondata. Men det kræver selvfølgelig, at der kan sættes et fint hak ud for flere krav, før det er gyldigt.

BEHANDLINGSGRUNDLAG
For at virksomheder og myndigheder kan få lov til at registrere og behandle personoplysninger, er det et krav, at der ligger et behandlingsgrundlag. Det kan for eksempel være, at registrering eller behandling er nødvendigt for at kunne gennemføre en ordre, eller at der forlægger et lovkrav, som gør det til en nødvendighed at registrere og eller behandle. Et samtykke kan fremover være et sådant behandlingsgrundlag.

Det betyder dog ikke, at det altid vil være det bedst mulige grundlag. Sker samtykket i en situation, hvor der eksempelvis er en relation mellem en henholdsvis ”svag” og ”stærk” part, vil den svages samtykke kunne fremstå som om, at det var tvunget.

Men den situation og flere andre problematikker behandler den vejledning, som Datatilsynet og Justitsministeriet har sendt ud.

MANGE KRAV
For at være sikker på at et samtykke, ifølge forordningen, er både frivilligt, informeret, utvetydigt og specifikt, er der en lang række af krav til det. Ellers betragtes det som ugyldigt og kan derved ikke bruges som behandlingsgrundlag.

Det anbefales, at et samtykke bliver indhentet skriftligt. Det er nemlig den dataansvarlige virksomhed eller myndighed, der selv står for bevisbyrden om, hvorvidt et samtykke overholder reglerne eller ej.

Herunder er en tjekliste, som virksomheder og dataansvarlige kan benytte sig af, hvor de kan sætte kryds ud for, om kravene til samtykke er overholdt eller ej:

• I har taget stilling til, at samtykke er den mest hensigtsmæssige hjemmel til at behandle data i den givne situation
• Samtykkeanmodningen er tydelig og adskilt fra øvrig tekst som f.eks. salgs- og leveringsbetingelsesvilkår
• I indhenter altid samtykke via et aktivt tilvalg fra den samtykkendes side
• I indhenter aldrig samtykke via forudafkrydsede samtykkefelter eller på anden vis, der baserer sig på den samtykkendes passivitet
• Samtykket er formuleret i et klart og enkelt sprog, som er letforståeligt for en person i målgruppen
• Samtykket specificerer formålet med den påtænkte behandling af data
• Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke for hvert formål
• Navnet på den/de dataansvarlige fremgår af samtykketeksten
• I oplyser om muligheden for at trække samtykket tilbage
• Der er ikke negative konsekvenser forbundet med ikke at give samtykke
• Samtykke er ikke en betingelse for levering af en vare/ydelse
• Hvis I udbyder online tjenester direkte rettet mod børn under 13 år, anvender I kun samtykke i det omfang, det er muligt at tjekke barnets alder, og I indhenter forældre- samtykke
• I kan dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blev givet, hvad den enkelte har samtykket til, og at samtykket reelt er afgivet frivilligt
• I følger regelmæssigt op på, at samtykket stadig er aktuelt og korrekt, og at formålet med behandlingen eller selve behandlingen ikke har ændret sig.

Hele vejledningen kan læses her. (Indsæt link – https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Vejledning_om_samtykke__formateret_.pdf)

Har du flere spørgsmål til den nye persondataforordning, så kontakt endelig Fair Advokater for yderligere råd, hjælp og vejledning.



Diskussion