Samtykke til behandling af personoplysninger
I maj 2021 opdaterede Datatilsynet sin vejledning om samtykke.
Samtykke er et af flere ligestillede retlige grundlag, som en dataansvarlig kan bruge til at behandle personoplysninger. Andre retlige grundlag omfatter:
- at behandlingen af personoplysninger er nødvendig for opfyldelse af en kontrakt eller foranstaltninger der træffes forud for indgåelsen af en kontrakt
- at behandlingen er nødvendig for, at den dataansvarlige kan overholde en retlig forpligtelse
- at behandlingen er nødvendig for at beskytte den registreredes eller andre fysiske personers vitale interesser
- at behandlingen er nødvendig for at udføre en opgave i samfundet interesser, herunder myndighedsudøvelse
- at behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse.
Samtykke bør alene benyttes, når den dataansvarlige ikke har et andet retlig grundlag. Årsagen hertil er, at den dataansvarlige ikke vil kunne støtte sin behandling på et andet retlig grundlag ved tilbagetrækning af et samtykke fra den registrerede.
Der er forskellige krav til et samtykke.
Tidspunkt for indhentelse af et samtykke
Mundtligt eller skriftligt?
Det er desuden den dataansvarliges ansvar at bevise, at der er givet et gyldigt samtykke. Af denne årsag er det tilrådeligt så vidt muligt at benytte skriftlige eller digitale samtykker.
Et samtykke skal være frivilligt
Enhver form for upassende pres eller påvirkning af den registreredes frie vilje vil derfor medføre, at samtykket ikke er gyldigt.
Man skal som dataansvarlig være særligt opmærksom på, at et samtykke afgives frivilligt, hvis der er et ulige forhold mellem parterne. Dette forekommer eksempelvis i ansættelsesforholdet, hvor den ansatte kan have en frygt for væsentlige, negative konsekvenser ved afgivelse af samtykket.
Derfor skal en arbejdsgiver undlade at indhente samtykke samtidig med, at en ny medarbejder underskriver sin ansættelseskontrakt, da det kan skabe usikkerhed omkring, hvorvidt ansættelsesforholdet er betinget af afgivelse af samtykket.
På samme måde skal man som dataansvarlig være opmærksom på, at en kontrakt, fx ved køb af en vare eller en serviceydelse, ikke gøres afhængig af et samtykke, hvis samtykket ikke er nødvendigt for købet. Dette kunne eksempelvis forekomme ved, at den dataansvarlige forudsætter, at køberen giver samtykke til at modtage et nyhedsbrev eller andre tilbud, for at købet kan gennemføres. Eller at varen bliver dyrere, hvis køberen ikke giver sit samtykke. Man må dog anse det som acceptabelt, at den dataansvarlige motiverer sine købere til at give et samtykke til fordelsprogrammer eller lignende ved at tilbyde en rabat ved afgivelse af samtykke til disse formål.
Kan man indhente oplysninger til flere formål i et samlet samtykke?
Hvis man ønsker at indhente samtykke til flere formål, kan man eksempelvis opdele sit samlede samtykke, således at den registrerede får mulighed for at afkrydse hvert formål separat, fx ved brug af tjekbokse.
Desuden skal et samtykke klart kunne adskilles fra andre forhold, fx handelsbetingelser og almindelige vilkår.
Ønskes personoplysningerne efterfølgende brugt til et andet formål end det indhentede, skal der indhentes et nyt samtykke hertil.
Et samtykke skal være informeret
At et samtykke er informeret betyder, at den registrerede skal være klar over, hvad der gives samtykke til.
Det skal tydeligt fremgå af samtykketeksten:
- hvem den dataansvarlige er
- hvad formålet med behandlingen er
- hvilke oplysninger der behandles
- at den registrerede til enhver tid har ret til at trække samtykket tilbage, og hvordan dette kan gøres.
Desuden skal det meddeles, hvis oplysningerne anvendes til automatiske afgørelser, fx profilering samt om eventuelle risici ved dataoverførsel til usikre tredjelande, hvis der skal ske overførsel af persondata.
Hvad betyder det, at et samtykke ikke må afgives stiltiende eller passivt?
En utvetydig tilkendegivelse kan fx ske ved, at den registrerede underskriver en samtykkeerklæring eller sætter kryds i et felt ved besøg på en hjemmeside. Generel accept af almindelige betingelser og vilkår kan ikke opfattes som en klar bekræftelse, hvorved den registrerede giver samtykke til behandling af personoplysninger.
Det kan dog godt være tilstrækkeligt, at den registrerede accepterer en forudformuleret erklæring om samtykke ved en aktiv handling. Dette kan for eksempel forekomme ved, at en person tydeligt oplyses om, at når der fx trykkes ”send” ved besvarelse af en spørgeskemaundersøgelse gives samtykke til behandling af personoplysningerne. Samtykkets gyldighed forudsætter, at den registrerede har modtaget de på-krævede oplysninger, for at samtykket kan leve op til kravet om at være informeret.
Tilbagekaldelse af samtykke
Tilbagetrækning af samtykket skal være lige så nemt, som det var at afgive samtykket, og bør kunne ske ved brug af samme løsning som benyttet ved afgivelsen af samtykket. Desuden må der ikke være udgifter eller andre ulemper forbundet med tilbagetrækning af samtykket.
Udgangspunktet er, at den dataansvarlige skal ophøre med at behandle personoplysninger så hurtigt som muligt, efter et samtykket er tilbagekaldt. Herunder ophøre med at opbevare personoplysningerne, hvis den dataansvarlige ikke har en særlig forpligtelse hertil. Tilbagekaldelse af et samtykke berører ikke lovligheden af den behandling, der er baseret på samtykket inden tilbagekaldelsen.
Ved tilbagekaldelse af et samtykke bør den dataansvarlige vurdere, hvordan sletning af de omhandlede personoplysninger kan finde sted. Dels fordi den dataansvarlige ikke længere har et retlig grundlag for opbevaring, dels fordi den registrerede har ret til at få de personoplysninger slettet, som behandles på grundlag af det tilbagetrukne samtykke.
Der er særlige krav til indhentelse af samtykke fra børn, herunder børns samtykke indhentet i forbindelse med informationssamfundstjenester. Dette indlæg omhandler ikke disse krav.
Opsamling
- Samtykke skal alene bruges som behandlingsgrundlag for personoplysninger, hvis ikke andre ligestillede behandlingsgrundlag kan benyttes.
- En samtykkeanmodning skal være tydelig og adskilt fra øvrig tekst og vilkår.
- Et samtykke skal altid indhentes ved et aktivt tilvalg fra den samtykkendes side, og må dermed aldrig baseres på forudafkrydsede samtykkefelter eller anden vis, der baserer sig på passivitet.
- Samtykket skal være formuleret i et klart og enkelt sprog.
- Samtykket skal specificere formålet med den påtænkte behandling af person-oplysninger.
- Der skal indhentes separate samtykker til forskellige formål.
- Navnet på den dataansvarlige skal fremgå af samtykketeksten.
- Det skal tydeligt fremgå af samtykketeksten, at samtykket til enhver tid kan trækkes tilbage.
- Samtykket må aldrig afgives under tvang eller pres, herunder direkte eller indirekte.
- Samtykket må ikke være en betingelse for levering af en vare eller serviceydelse.
- Der er særlige krav til indhentelse af samtykke fra børn
Læs mere i Datatilsynets vejledning om samtykke fra maj 2021. Her findes bl.a. en tjekliste til om et samtykke er gyldigt og relevant praksis fra tilsynet.
Book et gratis møde
Læs også vores artikel om cookieløsninger