Det finns viss specifik information som ska framgå vid inhämtande av samtycke från en person, innan personuppgifterna blir behandlade. Företag måste bland annat informera om syftet med behandlingen av personuppgifterna, när de inhämtar ett samtycke från den registrerade.
När ett företag behandlar personuppgifter, ska företaget inte heller behandla fler personuppgifter än nödvändigt för ändamålet. Ett ändamål får inte vara otydligt eller ospecifikt. I vissa fall kan företaget vilja använda personuppgifterna för andra ändamål i framtiden. Vid sådana fall ska företaget begära ett nytt samtycke för den nya behandlingen.
Enligt principen om ansvarsskyldighet som regleras i artikel 5(2) i GDPR, måste företag kunna visa att företaget följer förordningen samt hur det sker. Därför bör företaget inte behandla personuppgifter med stöd i muntliga samtycken, eftersom de är svåra att bevisa i efterhand. Om ett företag får ett muntligt samtycke, bör företaget säkerställa även ett skriftligt samtycke till behandlingen för att bevara det som ett bevis.
Den information som ska framgå vid inhämtande av samtycke är åtminstone:
- Vem: Vem som är personuppgiftsansvarig för behandlingen, och eventuellt personuppgiftsbiträde samt, om tillämpligt, dataskyddsombud. Om det är flera personuppgiftsansvariga eller gemensamt personuppgiftsansvariga, ska detta också framgå av informationen.
- Syfte: Ändamålet med personuppgifterna som samtycket avser, det vill säga vad syftet är med behandlingen.
- Vad: Vilka typer av personuppgifter det är som företaget behandlar med stöd i samtycket som rättslig grund för behandlingen. Exempelvis är namn, personnummer och e-postadress tre typer av personuppgifter. Dessa faller inom kategorin “vanliga personuppgifter”, eftersom de inte anses vara “särskilda kategorier av personuppgifter” enligt artikel 9 i GDPR.
- Återkallelse: Att den registrerade har rätt att återkalla samtycket när som helst. Dessutom måste det framgå hur denne ska gå tillväga i praktiken vid sådana fall. Exempelvis om denne måste skicka in återkallelsen till en specifik e-postadress, klicka på någon specifik knapp eller liknande.
- Automatiserat individuellt beslutsfattande: Om personuppgifterna kommer att bli använda för att företaget ska fatta någon form av automatiska enskilda beslut, med eller utan profilering. Ifall detta kommer att ske, måste företaget även informera om att den registrerade har rätt att bestrida det automatiserade beslutet ifråga.
- Tredjeland: Om företaget överför personuppgifter till tredjeland (det vill säga, länder utanför EU/EES-området) och vilka risker sådan överföring medför. Observera att den registrerade behöver ge sitt uttryckliga samtycke vid sådana fall.
Tänk på att separera informationen som företaget ger till de registrerade när de inhämtar ett samtycke från annan information, såsom allmänna villkor. Dessutom behandlar företag personuppgifter för olika syften i vissa fall. Vid sådana fall ska företaget ge möjligheten för den registrerade att kunna ge sitt samtycke specifikt för varje syfte.
Var extra tydlig när de registrerade är barn
Om ett företag inhämtar ett samtycke från ett barn, är reglerna striktare. Exempelvis måste företaget informera barnet genom att använda ett enkelt språk så att de förstår innebörden. Dessutom bör företaget undvika att använda långa meningar eller för mycket och invecklad information, eftersom det kan vara svårare för barn att förstå.
Dessutom ska informationen ges på det språk som används i det nationella landet. Om en mobilapplikation i Finland har barn som användare, bör informationen om behandlingen av barnens personuppgifter framgå på finska. Ett företag som bedriver en mobilapplikation med många barn som användare från olika länder fick betala en sanktionsavgift i Holland. Anledningen var att informationen till de registrerade barnen var på engelska istället för Holländska.
Information som företag ska dokumentera gällande inhämtade samtycken:
Vilken: Vilken information som den registrerade fick från företaget i samband med att samtycket blev inhämtat.
Hur: Hur företaget inhämtade samtycket från den registrerade.
När: När företaget inhämtade samtycket från den registrerade.