GDPR: När behöver du söka samtycke?

Under EU General Data Protection Regulation (GDPR), kan vetskap om hur och när du ska söka samtycka vara knepigt.Många tror felaktigt att organisationer måste få samtycke till att behandla personuppgifter, men samtycke är en av sex lagliga grunder för att behandla data, och du bör uppmanas att söka det endast om ingen av de andra skälen gäller.

De andra lagliga skälen är:

  • Ett kontrakt med individen: till exempel att leverera varor eller tjänster som de har begärt, eller att uppfylla en skyldighet enligt ett anställningskontrakt.
  • Överensstämmelse med laglig skyldighet: Vid behandling av data för ett visst ändamål är ett lagligt krav.
  • Viktiga intressen: till exempel när behandling av data skyddar någons fysiska integritet eller liv (antingen den registrerade eller någon annans).
  • En offentlig uppgift: till exempel för att slutföra officiella funktioner eller uppgifter av allmänt intresse.Detta kommer normalt att omfatta offentliga myndigheter som statliga myndigheter, skolor och andra utbildningsinstitutioner; sjukhus; och polisen.
  • Legitima intressen: När en privat sektor har en äkta och legitim anledning (inklusive kommersiell nytta) att behandla personuppgifter utan samtycke, förutsatt att den inte uppvägs av negativa effekter för individens rättigheter och friheter.

Det finns emellertid tillfällen då samtycke är den lämpligaste grunden, så du måste vara medveten om dina skyldigheter.

Välj in vs välja bort

GDPR listar specifika krav på lagliga samtyckes krav, men måste också ges med en tydlig bekräftande åtgärd.Med andra ord behöver individer en mekanism som kräver en avsiktlig åtgärd att väljas in, i motsats till förmarkerade rutor.

Även om GDPR inte specifikt förbjuder uteslutet samtycke, säger Information Commissioner’s Office (ICO) att de bortvalda alternativen “i stort sett är desamma som förmarkerade rutor, vilka är förbjudna”.

Exempel på lagliga samtycke krav är:

  • Underteckna ett samtyckes uttalande på pappersform;
  • Klicka på en inloggningsknapp eller länka online;
  • Val av lika framträdande ja/nej alternativ;
  • Välja tekniska inställningar eller inställningar för preferenspanelen;
  • Svara på ett e-postbegärs samtycke;
  • Svara ja till en klart muntligt samtyckes begäran;
  • Erbjuda valfri information för ett visst syfte (till exempel frivilliga fält i ett formulär); och
  • Släppa ett visitkort i en låda.

Denna lista är inte uttömmande, men poängen är att samtyckesförfrågningar kräver att individen tillhandahåller en tydlig positiv åtgärd.Samtyckesförfrågningar får inte förlita sig på tystnad, inaktivitet, standardinställningar, utnyttja ouppmärksamhet eller tröghet eller standardförskjutning på något annat sätt.

Problemet med samtycke

Enligt GDPR får individerna mer kontroll över deras data, vilket innebär att det kan vara farligt och tidskrävande att förlita sig på samtycke.

Om du till exempel använder samtycke till att behandla personuppgifter och sedan vill använda den informationen för ett annat ändamål måste du be om allas samtycke igen.Den som vägrar samtycka eller som inte svarar måste tas bort från dina uppgifter.

Personer kan också när som helst frångå sitt samtycke, vilket innebär att du måste ta bort dem från dina uppgifter.Om du inte gör det, riskerar din organisation disciplinära åtgärder från den behöriga tillsynsmyndigheten.

Dessutom, som Rowenna Fielding skriver på hennes blogg, om en registrerad återkallar sitt samtycke och du då inser att du har en laglig skyldighet att fortsätta bearbeta uppgifterna, befinner du dig i en moment-22 situation: Du bryter antingen sekretesslagen genom att bearbeta data efter det att samtycket har återkallats, eller så misslyckas du med att uppfylla din lagliga skyldighet att behandla den datan.

Gör dig redo för GDPR

Vår EU General Data Protection Regulation (GDPR) dokumentationsverktyg kan påskynda ditt GDPR-efterlevnadsprojekt.Utformad och utvecklad av expert GDPR utövare, tillhandahåller den alla mallar, arbetsblad och policyer som behövs för att följa de dokumenterade aspekterna av förordningen.

Med denna verktygslåda kan du få professionell vägledning om GDPR-överensstämmelseförpliktelser och bästa praxis för personlig information, se till att du har tillräckligt identifierade risker för personuppgifter och integrera GDPR dokumentation med din ISO 27001 dokumentation.

Läs mer om vårt EU General Data Protection Regulation (GDPR) dokumentationsverktyg >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.