INDHENTNING OG TILBAGETRÆKNING AF SAMTYKKE
Procedurer for indhentning og tilbagetrækning af samtykke
Det er nyttigt at have procedurer for indhentning og tilbagetrækning af samtykke, hvis virksomheden anvender samtykke som retsgrundlag for behandling af personoplysninger.
Tilbagetrækning af samtykke skal være lige så let som at give samtykke
Det er vigtigt ikke at gøre det vanskeligt for registrerede at trække deres samtykke tilbage, da samtykke er ugyldigt i sådanne tilfælde. Som hovedregel skal tilbagetrækning af samtykke være lige så let som at give samtykke i henhold til databeskyttelsesforordningens artikel 7, stk. 3.
Det er derfor vigtigt at tilpasse den teknisk, så det er muligt og let at trække samtykke tilbage. F.eks. ved at implementere en knap, der er let at finde til at håndtere samtykke på webstedet eller i en mobilapplikation eller lignende.
Samtykke skal være aktivt og gives frivilligt
- Aktivt samtykke: Et aktivt samtykke betyder, at den registrerede giver det ved en aktiv handling. F.eks. ved at klikke på et samtykkefelt. Hvis der sættes kryds i et afkrydsningsfelt for samtykke, er der tale om passivt samtykke, som ikke er gyldigt i henhold til GDPR.
- Frivilligt samtykke: Det er ikke tilladt at udsætte en person for indflydelse med det formål at tilskynde denne person til at give samtykke. Det er desuden forbudt for den registrerede at lide skade, hvis vedkommende undlader at give sit samtykke til en bestemt behandlingsaktivitet. Bemærk, at det heller ikke er tilladt at medtage samtykke som en obligatorisk del af et kontraktvilkår.
Retten til at trække sit samtykke tilbage er en udtrykkelig ret i henhold til GDPR.
Der er otte (8) grundlæggende rettigheder, som registrerede har i henhold til GDPR. På den anden side er der endnu flere rettigheder end dette, herunder retten til at trække samtykke tilbage i henhold til databeskyttelsesforordningens artikel 7, stk. 3.
Bemærk, at samtykke ikke altid er et passende retsgrundlag
Samtykke er ikke altid et passende retsgrundlag for behandling af personoplysninger. Det er normalt ikke hensigtsmæssigt, når magtforholdet mellem parterne er ulige, f.eks. mellem en arbejdsgiver og en arbejdstager. Det samme gælder mellem en offentlig myndighed og borgerne.
Indholdet af procedurerne for indhentning og tilbagetrækning af samtykke
Procedure for indhentning af samtykke
Hvornår samtykke skal anvendes som retsgrundlag
Præciserer i procedurerne, hvilke behandlingsaktiviteter der skal udføres på grundlag af samtykke som retsgrundlag. Desuden er det nyttigt at præcisere, hvornår samtykke ikke er hensigtsmæssigt at anvende.
Oplysninger, der skal gives til de registrerede, inden de indhenter samtykke
Det er vigtigt, at oplysningerne om behandlingen gives og er letforståelige for de registrerede. Desuden skal oplysningerne gives særskilt fra eventuelle andre kontraktvilkår.
Sikre, at det er frivilligt og aktivt samtykke
Forudafkrydsede samtykkekasser er forbudt, da de ikke udgør aktivt samtykke. Samtykket skal også være frivilligt, hvilket bl.a. betyder, at det ikke må være påkrævet i henhold til kontraktvilkår. Hvis samtykket ikke er givet frivilligt og aktivt, er det ikke gyldigt.
Hvordan skal enheden dokumentere samtykke?
Virksomhederne skal kunne påvise, at de har opnået gyldigt samtykke. Det er derfor nyttigt at dokumentere, hvordan og hvornår dette er sket. F.eks. i et CRM- eller HR-system.
Procedure for behandling af tilbagetrækning af samtykke
De kanaler, hvorigennem tilbagekaldelsen kan finde sted
Det er vigtigt at præcisere de kommunikationskanaler, hvorigennem tilbagetrækning af samtykke kan finde sted. På denne måde er der mindre sandsynlighed for, at personale, der behandler disse sager, går glip af en tilbagekaldelse. Bemærk, at det ikke er tilladt at nægte at trække et samtykke tilbage.
Hvad skal der gøres, når tilbagekaldelsen modtages?
Virksomheden skal straks indstille behandlingen af personoplysningerne på grundlag af samtykke, når den registrerede trækker det tilbage. Desuden skal personoplysningerne slettes, medmindre der er et andet retsgrundlag for behandlingen. Det er også nyttigt at dokumentere tilbagekaldelsen for at kunne påvise overholdelse af databeskyttelsesforordningen.
Informere de relevante tjenestegrene
Intern kommunikation i en virksomhed er vigtig af mange årsager. Nogle afdelinger kan have behov for at blive informeret om tilbagetrækning af samtykke, og dette bør derfor reguleres yderligere i procedurerne. Desuden kan det være nødvendigt at ajourføre nogle systemer for at overholde tilbagekaldelsen.
Dokumentere tilbagetrækningen
Virksomhederne skal kunne påvise overholdelse af GDPR, og det er derfor nyttigt at dokumentere håndteringen af modtagne tilbagetrækninger af samtykke. Angiv f.eks. datoen, den behandling, som tilbagekaldelsen vedrører, de foranstaltninger, som virksomheden har truffet for at efterkomme tilbagekaldelsen osv.
Skal virksomheden slette personoplysninger i backupfiler i tilfælde af tilbagetrækning af samtykke?
Ja, backup-filer skal også screenes med regelmæssige mellemrum. Det er dog ikke nødvendigt straks at slette personoplysninger i backupfiler, hvis de teknisk set er adskilt fra andre oplysninger, ikke anvendes i det daglige arbejde og slettes med faste mellemrum. Backupfiler betragtes ofte som en midlertidigt nødvendig lagring i form af en gennemført teknisk sikkerhedsforanstaltning og dermed ikke som en fortsættelse af behandling i strid med GDPR.
FLERE OPLYSNINGER
Procedurer for styring af sociale medier og fotografering
Mange virksomheder anvender sociale medier i deres aktiviteter, og behandlingen af personoplysninger er almindelig i deres anvendelse. Det kan let glemmes, at virksomheden kan have et dataansvar i henhold til GDPR, ikke kun den udbyder, der driver platformen. Det er f.eks. almindeligt, at virksomheder har en eller anden form for kundeservice på deres sociale medier og offentliggør billeder af deres ansatte, som er to former for behandling af personoplysninger på de sociale medier.