Når EU-persondataforordning træder i kraft den 25. maj 2018, følger også et nyt regelsæt om indhentning af samtykke fra den registrerede. De nye regler skærper kravene til samtykke, og det er derfor afgørende, at man som virksomhed kender til faldgruberne, når man benytter samtykke som retligt grundlag for behandling af personoplysninger.
Den 8. november 2017 udgav
Datatilsynet og Justitsministeriet en vejledning om samtykke som følge af den nye EU-persondataforordning. De nye regler i EU-persondataforordningen giver anledning til, at man som virksomhed sikrer sig, at indhentning af samtykke fra den registrerede person sker i overensstemmelse med de persondataretlige regler på området. Datatilsynets vejledning er i denne forbindelse en fin rettesnor.
Hvilke krav er der til et samtykke?
Den nye EU-persondataforordning giver følgende definition på et samtykke:
”Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling”.
Datatilsynet og Justitsministeriet har i vejledningen uddybet og tydeliggjort de krav, der stilles til, at et samtykke er givet i overensstemmelse med reglerne. Kravene er:
- Samtykket skal først og fremmest være givet før en behandling af den registreredes oplysninger iværksættes.
- Som udgangspunkt er der ikke noget formkrav til dette samtykke. I stedet opererer forordningen med et strengt dokumentationskrav. Dette betyder, at det påhviler den dataansvarlige at kunne bevise, at der er givet samtykke og til hvilke specifikke formål. Kan den dataansvarlige ikke det, anses et samtykke ikke for givet.
- Et samtykke er dertil en frivillig viljestilkendegivelse. Det er afgørende, at der reelt er tale om en frivillig handling fra den registreredes side.
- Udover ovenstående skal samtykket være specifikt og informeret. Dette betyder, at det skal være klart for den registrerede, hvad der gives samtykke til. Samtykket må ikke være formuleret i for generelle vendinger, og den registrerede skal kunne skelne mellem, hvad der gives samtykke til, hvis en skriftlig erklæring også vedrører andre forhold. I ordet ”informeret” ligger der, at den registrerede skal være i stand til at træffe sin beslutning på et oplyst grundlag. Den registrerede skal som minimum være bekendt med den dataansvarliges identitet, formålet med behandlingen, de oplysninger, der behandles samt hvilken behandling, der foretages. Der gælder i denne forbindelse en oplysningspligt for den dataansvarlige.
Grænsefladerne for et retmæssigt samtykke tilnærmes særligt i de situationer, hvor der eksisterer et ulige forhold mellem den registrerede og den dataansvarlige, herunder f.eks. i ansættelsesforhold. Det er bl.a. vigtigt, at man sikrer sig, at den ansatte ikke stilles negative konsekvenser i udsigt, såfremt denne ikke ønsker at give samtykke.
I vejledningen giver Datatilsynet flere eksempler på situationer, hvor et samtykke ikke anses for givet. Et samtykke er f.eks. ikke gyldigt, såfremt en ansat oplyses om, at det kan få negativ betydning for hans arbejde, hvis han ikke giver samtykke til, at et foto af ham påføres en telefonbog over ansatte til intern brug i virksomheden.
Bemærk at alle kravene skal være opfyldt for, at et samtykke ifølge forordningen anses for gyldigt. Dette betyder bl.a., at et samtykke ikke kan gives stiltiende eller som følge af passivitet.
Det skal være nemt at tilbagekalde samtykke
Udover kravene ovenfor indfører den nye EU-persondataforordning også krav om, at den registrerede uden vanskeligheder skal kunne tilbagekalde sit samtykke.
Den dataansvarlige skal informere om muligheden for at tilbagekalde et samtykke, inden samtykket afgives. Det skal være lige så let for den registrerede at tilbagekalde sit samtykke, som det er at afgive det. Har den registrerede trukket sit samtykke tilbage, skal behandlingen af oplysningerne ophøre hurtigst muligt.
Det betyder f.eks., at den registrerede i en situation, hvor denne har givet samtykke ved at klikke et afkrydsningsfelt af på en hjemmeside, skal kunne trække sit samtykke tilbage på en tilsvarende måde. I det konkrete tilfælde vil det derfor ikke være nok, at den registrerede kun har mulighed for at trække sit samtykke tilbage ved at sende en e-mail eller ringe til den dataansvarlige.
Et øget krav til dokumentation – også af samtykke
Den nye EU-persondataforordning forventes at medføre et skærpet fokus på overholdelse af de persondataretlige regler. Det bliver derfor i endnu højere grad afgørende, at man som virksomhed kan dokumentere grundlaget for behandlingen af personoplysninger.
I relation til indhentelse af et gyldigt samtykke betyder det, at virksomheden i højere grad skal kunne bevise, at det indhentede samtykke lever op til kravene i forordningen.
TVC Advokatfirma anbefaler
Med den nye EU-persondataforordning bliver det dyrere ikke at have styr på reglerne.
TVC Advokatfirma anbefaler derfor, at man som virksomhed sikrer sig, at man som minimum overholder kravene i den nuværende persondatalov samt får afdækket de områder, hvor der kan være risiko for overtrædelse af reglerne i den nye EU-persondataforordning.
Anvender jeres virksomhed allerede samtykke som retligt grundlag, vil det være nødvendigt at få en fornyet vurdering af, om disse samtykker fortsat kan bruges til behandling efter den 25. maj 2018.
I den forbindelse kan det være relevant at få vurderet, hvorvidt samtykke er det bedst egnede retlige grundlag for behandlingen af personoplysninger i jeres virksomhed.
Vi anbefaler altid at få en professionel vurdering og vores specialister står altid klar til en uforpligtende drøftelse af din konkrete case.
Læs også mere om vores fokusområde vedrørende persondata.