Du kan bruge et samtykke som hjemmel til at behandle personoplysninger om andre mennesker.
Der findes også andre hjemler, som du kan finde i artikel 6 i GDPR-reglerne, men denne artikel omhandler specifikt hjemlen til behandling af personoplysninger “samtykke”.
Betingelserne for et gyldigt samtykke præciseres yderligere i GDPR-reglernes artikel 7, og disse gennemgås i denne artikel herunder.
Reglerne om samtykke
Artikel 7 i databeskyttelsesforordningen omhandler de specifikke krav, som er gældende for brugen af samtykke, som en hjemmel til behandling af personoplysninger.
Et samtykke skal kunne dokumenteres
Et samtykke er kun gyldigt, hvis du kan påvise, at du har fået et samtykke fra vedkommende, som du behandler personoplysninger om.
I de fleste tilfælde, så vil dette indebære, at du har skriftlig dokumentation på, at dette samtykke er givet.
Et samtykke skal være specifikt
Et samtykke skal være specifikt, og det må ikke blandes sammen med andre forhold.
Du må altså ikke bede om samtykke til at sende nyhedsbreve, og samtidigt dele kundens oplysninger med samarbejdspartnere med et enkelt “ja” eller “ok”.
Disse ville være 2 adskilte behandlinger, som vil kræve 2 særskilte tilladelser fra kunden, som skal kunne “skelnes” fra hinanden.
Hvis samtykket ikke efterlever dette, så er samtykket ifølge GPDR-reglerne ugyligt. Enhver behandling med udgangspunkt i et ugyldigt samtykke er ulovligt.
Samtykket skal være letforståeligt. Du må altså ikke skjule, komplicere eller forvrænge information for at skaffe et samtykke, hvilket vil gøre dit indhentede samtykket ugyldigt.
Et samtykke kan tilbagetrækkes
Et samtykke kan altid trækkes tilbage af den person, som har afgivet sit samtykke.
Hvis dette samtykke trækkes tilbage, så må du ikke længere behandle de personoplysninger, som samtykket omfatter. Derfor bør du også overveje om disse personoplysninger skal slettes når samtykket tilbagetrækkes, da princippet om “opbevaringsbegrænsning” gælder.
Et samtykke skal gives frit
Et samtykke skal være givet frit, og du må derfor ikke gøre et samtykke betinget af andre forhold. Hvis samtykket er betinget af andre forhold, så er det tættere på tvang end samtykke.
Derfor kan samtykke sjældent bruges i relationen mellem arbejdsgiver og arbejdstager, da medarbejdere kan have vanskeligt ved at afvise afgivelsen af et samtykke.
Samtykke og oplysningspligt
Ifølge artikel 13, så har du en pligt til at oplyse om behandlingen af personoplysninger i det øjeblik, at du påbegynder indsamlingen af personoplysninger.
Når du beder en kunde, medarbejdere eller lignende om et samtykke til behandling af personoplysninger, så skal du derfor oplyse vedkommende om denne behandling i samme øjeblik. Læs mere om dette i artiklen om oplysningspligten.
Ifølge artikel 12 “gennemsigtig oplysning”, så har du også pligt til at give denne information klart og tydeligt, hvilket derfor underbygger kravet artikel 7, stk. 2 vedrørende samtykket.
Eksempler: samtykke
En virksomhed kan i de fleste sitationer bruge samtykke, som en hjemmel til behandlingen af personoplysninger, men det er sjældent den mest praktiske hjemmel at anvende.
Herunder er nogle eksempler på situationer, hvor et samtykke er nødvendigt at bruge.
- Samtykke til at udsende nyhedsbrev
- Samtykke til at anvende medarbejdernes portrætbilleder på hjemmesiden eller de sociale medier
- Samtykke til sætning af cookies ved brug af app eller hjemmeside.
Opsummering
Et samtykke skal være frivilligt, samt kommunikeres klart, hvis det skal være gyldigt. Derfor bør du altid sikre dig, at dette er tilfældet når du begynder at indsamle personoplysningermed samtykke, som din hjemmel hertil.
Hvis du ikke efterlever reglerne, så er din behandling ulovlig.