GDPR: Hvornår skal du anmode om samtykke?

Under EU databeskyttelsesforordningen (GDPR) kan det være svært at vide, hvornår og hvordan du skal anmode om samtykke. Mange folk tror fejlagtigt, at organisationer skal have samtykke for at bearbejde persondata, men samtykke er en af seks retsgyldige årsager til at bearbejde data og du rådes til kun at anmode om den, hvis ingen af de andre årsager finder anvendelse.

De andre retsgyldige årsager er:

  • En kontrakt med individet: for eksempel for at levere varer eller tjenesteydelser, som de har anmodet om, eller for at opfylde en pligt i henhold til en ansættelseskontrakt.
  • Overholdelse af en juridisk pligt: når det at bearbejde data til et bestemt formål er et retsligt krav.
  • Vitale interesser: for eksempel når det at bearbejde data beskytter nogens fysiske integritet eller liv (enten som den berørte parts eller en andens).
  • En offentlig opgave: for eksempel for at udføre offentlige funktioner eller opgaver i offentlighedens interesse. Det vil typisk berøre offentlige institutioner såsom offentlige myndigheder, skoler og andre uddannelsesinstitutioner; sygehuse og politiet.
  • Legitime interesser: når en organisation i den private sektor har en ægte og legitim grund (inklusive en kommerciel fordel) til at bearbejde persondata uden samtykke, forudsat det ikke opvejes af negative effekter for individets rettigheder og friheder.

Dog vil der være tidspunkter, hvor samtykke er det mest passende retsgyldige grundlag, så du har behov for kende dine pligter.

Tilsagn versus fravalg

GDPR oplister specifikke krav for retsgyldige anmodninger om samtykke, men den skal også gives med en klar bekræftende handling. Med andre ord skal individer stilles en mekanisme til rådighed, som påkræver en bevidst handling for at give tilsagn i modsætning til kasser med et allerede sat flueben.

Selvom GDPR ikke specifikt forbyder samtykke ved fravalg, siger informationskommissærens kontor (ICO), at fravalgsoptioner “i princippet er det samme som kasser med et allerede sat flueben, hvilke er forbudte”.

Eksempler på retsgyldige anmodninger om samtykke inkluderer:

  • At underskrive en samtykkeerklæring på en papir formular;
  • At klikke på en tilsagnsknap eller link online;
  • At vælge mellem lige iøjefaldende ja/nej optioner;
  • At vælge tekniske indstillinger eller præferencer i et dashboards indstillinger;
  • At svare på en e-mail, der anmoder om samtykke;
  • At svare ja til en klar verbal anmodning om samtykke;
  • Frivilligt at give optional information til et specifikt formål (såsom optionale felter i en formular); og
  • At smide et visitkort i en boks.

Denne liste er ikke udtømmende, men pointen er, at anmodninger om samtykke påkræver, at individet udøver en klar positiv handling. Anmodninger om samtykke må ikke basere på tavshed, inaktivitet, standardindstillinger, at udnytte manglende opmærksomhed eller passitivitet eller standard partiskhed på nogen anden måde.

Problemet med samtykke

Med GDPR får individer mere kontrol over deres data, hvilket betyder, at det kan være farligt og tidskrævende at være afhængig af samtykke.

For eksempel, hvis du har brugt samtykke til at bearbejde persondata og du så gerne vil bruge den information til andre formål, så er du nødt til at spørge efter hver persons samtykke igen. Enhver, som nægter eller ikke svarer, skal fjernes fra dine optegnelser.

Det står også individer frit for at trække deres samtykke tilbage til hver en tid, hvilket betyder, at du skal fjerne dem fra dine optegnelser. Hvis du ikke gør det, risikerer din organisation disciplinære tiltag fra den relevante overvågende myndighed.

Derudover, som Rowenna Fielding skriver på hendes blog, hvis en berørt part tilbagetrækker dens samtykke og du så opdager, at du har en juridisk pligt til at fortsætte med at bearbejde oplysninger, så kan du lande i en såkaldt catch-22 situation: enten krænker loven om privatlivets fred ved at bearbejde data, efter samtykke er blevet trukket tilbage, eller du misligholder din juridiske pligt til at bearbejde de informationer.

Få GDPR Compliance

Vores EU databeskyttelsesforordnings (GDPR) værktøjskasse til dokumentation kan fremskynde dit GDPR konformitetsprojekt. Designet og udviklet af GDPR eksperter giver den dig alle skabeloner, arbejdspapirer og politikker, som er nødvendige for at være konform med de dokumenterede aspekter af forordningen.

Med denne værktøjskasse kan du få professionel vejledning om GDPR konformitetspligter og bedste praksis for personlige informationer og sikre dig, at du i tilstrækkelig grad har identificeret risici for persondata og kan integrere GDPR dokumentation i din ISO 27001 dokumentation.

Find ud af mere om vores EU databeskyttelsesforordnings (GDPR) værktøjskasse til dokumentation >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.