Justitsministeriet og Datatilsynet har offentliggjort en ny vejledning til det persondataretlige samtykke, som kan bruges som grundlag for behandling af personoplysninger.
Som led i arbejdet med at forberede danske virksomheder og myndigheder på den nye persondataforordning, der får virkning fra den 25. maj 2018, har Justitsministeriet og Datatilsynet netop udsendt en vejledning til reglerne om samtykke.
Når en virksomhed eller myndighed registrerer eller behandler personoplysninger, skal dette altid ske på grundlag af lovgivningen (et behandlingsgrundlag). Et samtykke kan give et sådant grundlag for at kunne behandle personoplysninger. Andre eksempler på lovligt behandlingsgrundlag kan være, at det er nødvendigt for at opfylde en aftale fx for at ekspedere en ordre, eller fordi det er en del af den offentlige myndighedsudøvelse fx i forbindelse med skatteansættelse.
Krav til samtykke
Hvis en behandling af personoplysninger baseres på et samtykke, er det vigtigt, at samtykket indhentes korrekt og opfylder de krav, som persondataforordningen stiller til samtykket. Hvis ikke kravene er overholdt, kan samtykket ikke udgøre et grundlag for behandlingen.
Et samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Samtykket er dermed et udtryk for, at den registrerede person gives et reelt valg og kontrol over behandlingen af vedkommendes personoplysninger.
Det er den dataansvarlige virksomhed eller myndighed, der har bevisbyrden for, at et samtykke opfylder kravene i persondataforordningen. Derfor anbefales det også i vejledningen, at et samtykke indhentes skriftligt, eller på anden måde som kan bevises.
Artikel 29 Gruppen har tidligere på året offentliggjort en udtalelse om behandling af personoplysninger i ansættelsesforhold, hvor Artikel 29 Gruppen giver udtryk for, at et samtykke ikke uden videre bør anvendes som behandlingsgrundlag i ansættelsesforhold. Baggrunden for dette synspunkt er, at medarbejderen er i et afhængighedsforhold til arbejdsgiveren, og at medarbejderens beslutning om at afgive samtykke kan være påvirket af en frygt for konsekvenserne af ikke at afgive samtykket. I lovforslaget til den nye persondatalov (Databeskyttelsesloven) slås det fast, at behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den ansattes samtykke. I Justitsministeriets og Datatilsynets vejledning om samtykke anbefales arbejdsgivere dog at være opmærksomme på, om den ansattes samtykke reelt er udtryk for den ansattes valg, eller om samtykket er afgivet med frygt for væsentlige negative konsekvenser.
Vejledningen indeholder desuden et afsnit om børn og samtykke i forbindelse med informationstjenester. Reglerne om samtykke fra børn i forbindelse med udbud af informationssamfundstjenester er en nyskabelse i persondataforordningen, og afsnittet om børn i vejledningen kan derfor være af særlig interesse for dataansvarlige, beskæftiger sig med informationstjenester til børn, såsom som e-handel, online spil og sociale medier, mv.
Endelig indeholder vejledningen en tjekliste, som kan tjene som en rettesnor for, om man som dataansvarlig er på linje med kravene i databeskyttelsesforordningen.
Nyt samtykke
Dataansvarlige, der behandler personoplysninger på baggrund af et samtykke, der er indhentet i overensstemmelse med persondataloven skal ikke indhente et nyt samtykke til at fortsætte behandlingen.
Det nye krav i persondataforordningen, der pålægger den dataansvarlige at informere om muligheden for at trække et samtykke tilbage, inden samtykket afgives, er, ifølge vejledningen, ikke en gyldighedsbetingelse for et eksisterende samtykke, der er indhentet inden den 25. maj 2018. Dog anbefaler Justitsministeriet og Datatilsynet, at dataansvarlige overvejer at orientere de registrerede om muligheden for at tilbagekalde et afgivet samtykke, i det omfang en sådan information er praktisk mulig.
Bech-Bruuns kommentar
Samtykket er et ofte anvendt behandlingsgrundlag. Det er dog Bech-Bruuns anbefaling, at dataansvarlige så vidt muligt baserer behandlingen af personoplysninger på andre grundlag end et samtykke, og dermed alene bruger samtykket som behandlingsgrundlag, hvis der ikke er andre muligheder.
Herudover bør dataansvarlige gennemgå og opdatere eksisterende procedurer for indhentelse af samtykker, så det sikres, at kravene i persondataforordningen er opfyldt, herunder dokumentationskravet.
Flere vejledninger i vente
Justitsministeriet og Datatilsynet vil frem mod starten af 2018 offentliggøre flere vejledninger til persondataforordninger.
Vejledningen om samtykke kan læses
her.
-medium.jpg)
-medium.jpg)
-(2)-(1)-medium.jpg)
-medium.jpg)
