Der har længe været behov for en præcisering af reglerne for brug af samtykke som grundlag for behandling af personoplysninger, og Datatilsynet har nu udgivet en opdateret vejledning herom.
Det er efterhånden gået op for de fleste virksomheder, at behandling af personoplysninger skal ske i overensstemmelse med reglerne i databeskyttelsesforordningen. For mange virksomheder har reglerne om samtykke som behandlingsgrundlag imidlertid givet anledning til en række tvivlsspørgsmål. Datatilsynet har derfor udgivet en vejledning, hvori reglerne om samtykke til behandling af personoplysninger efter databeskyttelsesforordningen præciseres.
Det følger af databeskyttelsesforordningen, at man som dataansvarlig skal have et retligt grundlag for enhver behandling af personoplysninger. Samtykke er et af flere ligestillede retlige grundlag, som både har fordele og ulemper.
Fordelen ved et samtykke er, at samtykke nogle gange kan anvendes som behandlingsgrundlag i situationer, hvor der ikke er andre behandlingsgrundlag. Det gælder f.eks. ved offentliggørelse af billeder af medarbejdere på en hjemmeside.
Ulempen ved at benytte samtykke som behandlingsgrundlag er bl.a. de mange formkrav, der skal overholdes, før samtykket anses for lovligt. Dertil kommer risikoen for, at den registrerede trækker sit samtykke tilbage.
Krav til samtykke
Samtykke er defineret som en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, bliver behandlet.
Kravet om at et samtykke skal være ”informeret” indebærer, at det der samtykkes til, skal være anført i et klart og enkelt sprog. Samtykket skal kunne skelnes fra andre betingelser, man accepterer i forbindelse med en aftale.
Kravet om, at et samtykke skal være udtryk for en ”viljestilkendegivelse” indebærer, at man ikke kan acceptere en behandling vha. passivitet – f.eks. i form af forudafkrydsede felter på en hjemmeside. Der skal ske en aktiv handling fra den registreredes side.
Kravet om at et samtykke skal være ”frivilligt”, indebærer at samtykket ikke må være en betingelse for levering af en vare eller ydelse, der ikke kræver, at den dataansvarlige behandler de pågældende personoplysninger.
I Datatilsynets vejledning præciseres det desuden, at et samtykke ikke antages at opfylde betingelsen om frivillighed, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter.
Ifølge vejledningen gælder det også, hvis behandlingen af en bestemt oplysning tjener flere formål. I så fald skal den dataansvarlige indhente et særskilt samtykke til hvert enkelt formål, så den registrerede får mulighed for at tage stilling til, præcis hvilke formål den enkelte personoplysning må bruges til.
Der er ikke noget formkrav til et samtykke, men det er den dataansvarlige, der har bevisbyrden for, at det er afgivet. I praksis bør samtykket således afgives eller bekræftes skriftligt.
Tilbagetrækning af samtykke
Reglerne om samtykke har til formål at give den registrerede et reelt valg og kontrol over, hvordan vedkommendes personoplysninger behandles.
Den registrerede skal derfor have mulighed for at trække sit samtykke tilbage. Det er den dataansvarliges opgave at sikre, at den registrerede kan trække sit samtykke tilbage på en enkelt og lettilgængelig måde.
Den registrerede skal informeres om, hvordan samtykket kan trækkes tilbage, inden samtykket bliver afgivet. Er denne betingelse ikke opfyldt, er samtykket ikke gyldigt.
Hvis den registrerede kalder sit samtykke tilbage, skal den dataansvarlige som udgangspunkt ophøre med at behandle de oplysninger, samtykket vedrører hurtigst muligt. I nogle tilfælde vil det dog være muligt at fortsætte behandlingen, selvom den registrerede har tilbagekaldt sit samtykke.
Fortsat behandling efter et samtykke er trukket tilbage, kræver at der foreligger et andet grundlag for behandlingen, og at den fortsatte behandling er rimelig i forhold til den registrerede. Det er vigtigt at være opmærksom på, at det ifølge Datatilsynet ikke er rimeligt, hvis man vælger at basere en behandling på ”legitime interesser”, når et samtykke er tilbagekaldt, da man i en sådan situation burde have anvendt ”legitime interesser” som behandlingsgrundlag til at starte med.
Overvejelser
Set i lyset af de mange krav til samtykke, bør man som dataansvarlig overveje, om samtykke er det mest hensigtsmæssige behandlingsgrundlag i en given situation.
Hvis man vælger at basere en behandling af personoplysninger på samtykke, er det vigtigt at man nøje overholder alle formkrav til samtykket og overvejer konsekvensen af, at en behandling på grundlag af et samtykke kan begrænse de efterfølgende muligheder for behandling på andre grundlag, hvis samtykket trækkes tilbage.
Har din virksomhed helt styr på jeres behandlingsgrundlag?
Såfremt du måtte have behov for rådgivning, er du altid meget velkommen til uforpligtigende at kontakte os - så kan vi hjælpe dig i mål.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.