Samtykke som behandlingshjemmel – hvornår og hvordan?
Når du behandler personoplysninger i din mindre virksomhed eller forening, så er samtykket ofte en af de mest anvendte – men også mest misforståede behandlingshjemler. Der er både fordele og ulemper ved at bruge samtykke som behandlingshjemmel.
Efter min opfattelse er der dog flest ulemper. Dels fordi samtykket er den svageste behandlingshjemmel du har, og dels fordi kravene til et gyldigt samtykke kan være vanskelige at opfylde. Endelig har samtykket den ulempe, at det altid skal kunne trækkes tilbage. Og hvad gør du så?
Her får du overblik over brugen af samtykke som behandlingshjemmel – hvornår og hvordan.
Hvornår kan du bruge samtykke som behandlingshjemmel
Et samtykke er blot et af flere lovlige grundlag for behandling af personoplysninger i artikel 6 i GDPR. Det er dog ikke altid det bedste valg. På den anden side, så er det nogen gange den eneste mulighed du har.
Du skal for eksempel altid indhente forudgående samtykke
- når du beder besøgende på din hjemmeside om at abonnere på nyhedsbreve, generelle tilbudsmails osv.
- når du gerne vil offentliggøre billeder eller videoer – og husk også at foretage en konkret, forudgående vurdering af de mulige konsekvenser for de pågældende personer i materialet inden offentliggørelse.
- når du vil videregive personoplysninger til andre modtagere.
I andre situationer er samtykket ikke nødvendigt, selvom mange virksomheder og foreninger tror, at de altid skal bede om samtykke. Det gælder for eksempel, hvis du har indgået en konkret kontrakt eller aftale med en kunde om at levere en bestemt vare eller ydelse. Ellers hvis du har pligt til at behandle oplysninger iht. gældende lov. Det kan f.eks. være bogføringsloven.
Hvordan bruger du samtykke som behandlingshjemmel
Problemet – hvis man kan sige det sådan – er, at kravene til et lovligt samtykke kan være meget svære at opfylde. Vær desuden opmærksom på, at der kræves udtrykkeligt samtykke ved behandlinger af følsomme personoplysninger og behandlinger som indebærer høj risiko fro den registrerede. Det udtrykkelige samtykke udmærker sig ved, at der skal være tale om en mere eksplicit og aktiv, og helst skriftlig, bekræftelse af, at den registrerede samtykker til behandlingen.
For at et samtykke er lovligt, så skal det ifølge artikel 4(11) og artikel 7 i databeskyttelsesforordningen opfylde følgende krav:
- Frivilligt – den registrerede må ikke føle sig presset eller risikere negative konsekvenser af at sige nej
- Specifikt – det skal være klart, hvad der gives samtykke til. Det betyder, at du ikke må samle en masse ting under samme samtykke, som den registrerede tvinges til at acceptere. Det skal være muligt at sige nej eller ja til dele af behandlinger, du gerne vil foretage.
- Informeret – den registrerede skal vide, hvad hun siger ja til, herunder hvad formålet er, hvilke oplysninger, du ønsker at behandle samt at oh hvordan, den pågældende kan trække sit samtykke tilbage.
- Utvetydigt – den registrerede skal være i stand til at foretage en aktiv handling. Derfor må du ikke bruge forudfyldte afkrydsningsbokse eller på anden måde afskære den pågældende fra at vælge til eller fra.
Du kan for eksempel skrive:
- Jeg giver samtykke til, at GDPR-hotline må bruge mine personoplysninger til at behandle min henvendelse og at sende mig relevant information om produkter og ydelser. Jeg kan til enhver tid trække mit samtykke tilbage iht. GDPR-hotlines persondatapolitik.
Husk lige at erstatte “GDPR-hotline” med navnet på din egen virksomhed eller forening 
Typiske faldgruber
Fordi samtykke er en vanskelig behandlingshjemmel, så er det let at forfalde til lette løsninger. Men et samtykke er ikke gyldigt, hvis du forsøger at tvinge en kunde til at afgive et samtykke for at få adgang til at bruge en tjeneste eller købe en vare eller ydelse.
Det er blandt andet denne snævre fortolkning af samtykke-begrebet, som Meta har lagt til grund for sin “pay-or-consent”-“løsning”, og som er kendt ugyldig af det Europæiske DatabeskyttelsesRåd (EDPB).
Hvis du stiller som betingelse, at kunden skal acceptere markedsføring, så lever samtykket ikke op til kravene til lovlighed.
Du må heller ikke bede om samtykke til flere formål, uden at den registrerede kan vælge mellem dem. Det kaldes manglende granularitet, altså manglende opdeling eller finkornethed.
Derudover så skal den registrerede altid kunne trække sit samtykke til behandlingen tilbage, og dertil skal du gøre det let for vedkommende at gøre det. Hvis du håndterer mange samtykkeregistreringer i din virksomhed eller forening, så kan du opbygge et konkret behov for at investere i en såkaldt consent manager-løsning, som kan styre de afgivne samtykker for dig.
Og husk, at hvis et samtykke trækkes tilbage, så må du ikke længere behandle de indsamlede oplysninger. Dog vil det være sådan, at den behandling du har foretaget frem til det tidspunkt, hvor samtykket trækkes tilbage, stadig vil være lovlig.
“In most cases, it will not be possible for large online platforms to comply with the requirements for
valid consent if they confront users only with a binary choice between consenting to processing of
personal data for behavioural advertising purposes and paying a fee.”
Samtykke som behandlingsgrundlag – sådan gør du det rigtigt
Brug ovenstående tips til at sikre, at du har styr lovligheden af de behandlinger du foretager på grundlag af et samtykke.
- Sørg for at være konkret – beskriv præcist, hvad du vil bruge oplysningerne til
- Gør det nemt at sige ja eller nej – helt eller delvist.
- Opbevar dokumentation for de indsamlede og tilbagetrukne samtykker.
Og hvis du vil videre mere, så book et gratis vejldningsmøde her eller læs Datatilsynets vejledning om samtykke.
GDPR-trappen™ er en veltilrettelagt genvej til god databeskyttelse og høj informationssikkerhed.
GDPR-trappen er baseret på Datatilsynets koncepter “GDPR-Universet for små virksomheder” og “GDPR-Universet for små foreninger.”
Når du følger Datatilsynets syv trin ved hjælp af GDPR-trappen, så er du sikker på at komme omkring det nødvendige og tilstrækkelige.