Artikel 6, stk. 1, litra a), i GDPR
Samtykke er et af retsgrundlagene
Samtykke er et af de retsgrundlag, som virksomheder kan anvende, når de behandler personoplysninger i henhold til artikel 6, stk. 1, litra a), i GDPR.
Oplysninger om samtykke som retsgrundlag
Samtykke kan gives mundtligt eller skriftligt, men da GDPR kræver, at virksomheder viser, at de overholder reglerne, er skriftligt samtykke bedre. Det er nemmere at bevise.
Det er ikke et krav at indhente samtykke til behandling af personoplysninger. Faktisk er det ikke altid hensigtsmæssigt eller tilladt at basere behandlingen af personoplysninger på dette retsgrundlag.
Ulige magtforhold
I de fleste tilfælde, hvor der er et ulige magtforhold mellem den dataansvarlige og de registrerede, og hvor den dataansvarlige har den stærkeste magtposition, er anvendelse af samtykke som retsgrundlag ikke tilladt.
For eksempel, når en arbejdsgiver er forpligtet til at behandle en medarbejders personoplysninger. I sådanne tilfælde er det mere hensigtsmæssigt at anvende kontrakter som retsgrundlag for behandling af personoplysninger, der er nødvendige for opfyldelsen af ansættelseskontrakten.
Krav til gyldigt samtykke
For at et samtykke er gyldigt, skal det være:
Bevidst
Bevidst samtykke betyder, at virksomheden skal informere de registrerede om behandlingen. Formålet er, at de registrerede bl.a. skal være opmærksomme på, hvilke kategorier af personoplysninger virksomheden vil behandle, hvad formålet med behandlingen er, og hvordan de kan trække deres samtykke tilbage. Bemærk venligst, at tilbagetrækning af samtykke skal være gratis. Desuden bør det være lige så let at trække det tilbage, som det var at give samtykke.
Frivilligt
Samtykket skal desuden være frivilligt og være uden indflydelse udefra. Hvis der er et ulige magtforhold mellem to parter, og den registrerede er den svage part, anses den registrerede ikke for at være i stand til at give frivilligt samtykke. For eksempel i forholdet mellem en arbejdsgiver og en medarbejder eller en myndighed og borgere. I sådanne tilfælde må arbejdsgiveren ikke anvende samtykke som retsgrundlag for behandling af den registreredes personoplysninger. Dette skyldes, at den registrerede ikke må turde nægte at give sit samtykke af frygt for at miste sin ansættelse eller andre konsekvenser, da vedkommende befinder sig i en svagere magtposition i forhold til arbejdsgiveren. Retsgrundlaget for aftalen med den registrerede kan derfor være mere hensigtsmæssigt at anvende.
Aktiv
Samtykke skal desuden gives aktivt. Aktivt samtykke betyder, at den registrerede giver en utvetydig viljestilkendegivelse. For eksempel ved aktivt at afkrydse et felt for samtykke til en bestemt specificeret behandling af personoplysninger. Hvis feltet allerede er afkrydset, har den registrerede ikke givet aktivt samtykke, og et sådant samtykke er derfor ikke gyldigt. Den registrerede kan ikke anses for at have givet sit samtykke til noget som helst gennem sin passivitet. Det kræver snarere en aktiv handling fra den registreredes side. Det forhold, at den registrerede ikke siger "nej", betyder ikke et "ja" til en behandling. Den registrerede skal aktivt give sit samtykke til behandling af personoplysninger, for at samtykket er gyldigt.
Det er almindeligt, at "samtykke- eller betalingsmodeller" på onlinetjenester ikke opfylder kravene til gyldigt samtykke
Databeskyttelsesrådet fandt, at “samtykke- eller betalingsmodeller” på onlinetjenester såsom sociale medier ofte ikke opfylder kravene til gyldigt samtykke i henhold til GDPR. Dette er på betingelse af, at brugerne kun har mulighed for at vælge mellem to valgmuligheder.
- De to valg er ofte:
- Brugeren skal give sit samtykke til, at hans/hendes personoplysninger behandles med henblik på målrettet markedsføring, eller
- Brugeren skal betale for, at hans/hendes personoplysninger ikke anvendes til sådan markedsføring.
Ifølge Det Europæiske Databeskyttelsesråd bør onlineplatforme også tilbyde en gratis mulighed for at afvise målrettet markedsføring. Dette skyldes, at mange brugere ønsker at undgå betaling og derfor vælger at give samtykke til målrettet markedsføring, uden virkelig at forstå, hvordan deres personoplysninger behandles i sådanne tilfælde.
Oplysninger, der skal gives til registrerede, når de giver deres samtykke
I forbindelse med en persons samtykke til behandling af vedkommendes personoplysninger skal der angives visse oplysninger om behandlingen. Dette er et krav for samtykke til at være bevidst.
- Der skal navnlig gives følgende oplysninger til den registrerede:
- Hvem er ansvarlig (dataansvarlige, databehandlere og databeskyttelsesansvarlige)
- Formålet med behandlingen af personoplysningerne
- Hvilke kategorier af personoplysninger vil virksomheden behandle baseret på samtykket.
- Hvordan den registrerede kan trække sit samtykke tilbage
- Hvis virksomheden bruger personoplysningerne til automatiske individuelle beslutninger og profilering.
- Hvis virksomheden overfører personoplysningerne til et tredjeland (dvs. et land uden for EU/EØS-området), og hvilke risici det indebærer.
I nogle tilfælde skal virksomhederne indhente udtrykkeligt samtykke.
Kravet om udtrykkeligt samtykke betyder, at den registrerede klart skal give sit samtykke. F.eks. ved hjælp af en signatur, elektronisk signatur eller certificering i flere trin. Dette kan f.eks. gøres ved, at den registrerede aktivt svarer på en e-mail og derefter modtager en kode via SMS, der skal aktiveres for at give samtykke. Jo følsomme personoplysninger en virksomhed behandler, jo større er virksomhedens forpligtelser.
- Et udtrykkeligt samtykke kan være nødvendigt, hvis virksomheden:
- Behandle følsomme personoplysninger, såsom oplysninger om helbred eller religiøst tilhørsforhold.
- Overføre personoplysninger til et tredjeland.
- Udføre profilering eller automatisk individuelle beslutninger.
Samtykke fra børn
I nogle tilfælde har børn lov til at give deres samtykke til behandling af deres personoplysninger. F.eks. i forbindelse med informationssamfundstjenester såsom sociale medier. I henhold til GDPR er aldersgrænsen i disse tilfælde 16 år. Hvis barnet er under 16 år, skal værgen give sit samtykke. På den anden side har ethvert land ret til at sænke sin alder, som flere lande har gjort. Finland og Sverige har sænket aldersgrænsen til 13 år.
Bemærk, at kravene er højere, når virksomheder behandler personoplysninger om børn.
Italien
I Italien havde en 10-årig pige formået at oprette flere brugerkonti uden værgens samtykke på en kendt social medieplatform, hvilket ikke er tilladt. Pigen døde senere, hvilket førte til, at den italienske databeskyttelsesmyndighed indledte en undersøgelse mod virksomheden og senere også mod andre sociale medier.
Holland
Oplysningerne om behandlingen bør f.eks. være skrevet i et enkelt og letforståeligt sprog. I Holland havde en international virksomhed, der driver en mobilapplikation med mange børn som brugere, informeret om behandlingen på engelsk, som ikke var det nationale sprog. Derfor måtte virksomheden betale en bøde. Det er vigtigt, at børn forstår oplysningerne om behandlingen af deres personoplysninger.
DATABESKYTTELSESFORORDNING
Et andet retsgrundlag for behandling af personoplysninger: Legitim interesse i henhold til artikel 6, stk. 1, litra f) i GDPR
En virksomhed kan have en legitim interesse i at behandle visse personoplysninger. Virksomheden mener med andre ord, at deres interesser er højere, og at den registreredes grundlæggende frihedsrettigheder og rettigheder og interesser ikke har forrang og kræver beskyttelse af personoplysninger. For at opnå dette skal virksomheden foretage en interesseafvejning.
To eksempler på, hvornår virksomheder kan have en legitim interesse, er at forhindre svig eller foretage direkte markedsføring til tidligere kunder. Eksempler på direkte markedsføring er, når virksomheder sender markedsføring via e-mail.