GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 6 (1) (A) GDPR

Samtykke er et av de rettslige grunnlagene

Samtykke er et av de juridiske grunnlagene som selskaper kan bruke ved behandling av personopplysninger i henhold til artikkel 6 (1) (a) GDPR. 

Informasjon om samtykke som rettslig grunnlag

Samtykke kan gis både muntlig og skriftlig, men ettersom GDPR krever at selskaper demonstrerer samsvar, er skriftlig samtykke bedre. De er lettere å bevise. 

Det er ikke et krav å innhente samtykke for å behandle personopplysninger. Faktisk er det ikke engang alltid hensiktsmessig eller tillatt å basere behandlingen av personopplysninger på dette juridiske grunnlaget. 

What breaches of the GDPR can lead to an administrative fine?

Ulik maktforhold

I de fleste tilfeller, der det er et ulikt maktforhold mellom den behandlingsansvarlige og de registrerte, der den behandlingsansvarlige har den sterkere maktposisjonen, er det ikke tillatt å bruke samtykke som rettslig grunnlag. 

For eksempel når en arbeidsgiver er pålagt å behandle personopplysningene til en arbeidstaker. I slike tilfeller er det mer hensiktsmessig å bruke kontrakter som det juridiske grunnlaget for behandling av personopplysninger som er nødvendig for utførelsen av arbeidskontrakten.

Krav til gyldig samtykke

For at samtykket skal være gyldig, må det være: 

Kjent

Bevisst samtykke betyr at selskapet må informere de registrerte om behandlingen. Målet er at de registrerte skal være klar over blant annet hvilke kategorier av personopplysninger selskapet vil behandle, hva formålet med behandlingen er og hvordan de kan trekke tilbake sitt gitte samtykke. Vær oppmerksom på at tilbaketrekking av samtykke skal være gratis. I tillegg bør det være like enkelt å trekke det tilbake som det var å gi samtykke.

Frivillig

Samtykke skal være fritt og fritt for ytre påvirkning. Der det er et ulikt maktforhold mellom to parter og den registrerte er den svakeste parten, anses den registrerte ikke for å kunne gi fritt samtykke. For eksempel i forholdet mellom en arbeidsgiver og en ansatt, eller en offentlig myndighet og borgere. I slike tilfeller skal arbeidsgiveren ikke bruke samtykke som rettslig grunnlag for behandling av den registrertes personopplysninger. Dette skyldes at den registrerte kanskje ikke er redd for å nekte samtykke på grunn av frykt for å miste jobben eller andre konsekvenser, da han eller hun har en svakere maktposisjon overfor arbeidsgiveren. Derfor kan det juridiske grunnlaget for kontrakter med den registrerte være mer hensiktsmessig å bruke.

Aktive brukere

I tillegg må samtykke gis aktivt. Aktivt samtykke innebærer at den registrerte gir en entydig indikasjon på sine ønsker. For eksempel ved å aktivt krysse av en boks for å samtykke til en bestemt spesifisert behandlingsoperasjon. Hvis boksen allerede er krysset av, har den registrerte ikke gitt aktivt samtykke, og slikt samtykke er derfor ikke gyldig. Den registrerte kan ikke anses å ha samtykket til noe ved sin passivitet. Snarere krever det en aktiv handling av datasubjektet. At den registrerte ikke sier «nei», betyr ikke et «ja» til en behandlingsoperasjon. Den registrerte må aktivt samtykke til behandling av personopplysninger for at samtykket skal være gyldig.

Det er vanlig at modeller for «samtykke eller betaling» på nettjenester ikke oppfyller kravene til gyldig samtykke

EDPB fant at ”Samtykke eller betal”-modeller på nettjenester, som sosiale medier, ofte ikke oppfyller kravene til gyldig samtykke etter GDPR. Dette er på betingelse av at brukerne bare får valget mellom to valg. 

  • De to alternativene er ofte:
  • Brukeren skal samtykke til behandling av sine personopplysninger med det formål å målrette; eller
  • Brukeren skal betale for sine personopplysninger som ikke skal brukes til slik markedsføring.

Ifølge European Data Protection Board bør online plattformer også tilby muligheten til å nekte målretting gratis. Dette skyldes at mange brukere ønsker å unngå betaling og derfor velger å samtykke til målretting, uten egentlig å forstå hvordan deres personopplysninger vil bli behandlet i slike tilfeller. 

Opplysninger som skal gis til de registrerte når de gir sitt samtykke

Når en person samtykker til behandling av hans eller hennes personopplysninger, må visse opplysninger om behandlingen utleveres. Dette er et krav for at samtykke skal være bevisst. 

  • Det skal særlig gis følgende opplysninger til den registrerte:
  • Ansvarlig person(er) (behandlingsansvarlige, databehandlere og databeskyttelsesansvarlige).
  • Formålet med databehandlingen.
  • Kategoriene av personopplysninger som skal behandles av foretaket på grunnlag av samtykke.
  • Hvordan den registrerte kan trekke tilbake samtykket som er gitt.
  • Om selskapet bruker personopplysningene til automatiserte individuelle beslutninger og profilering.
  • Hvis selskapet overfører personopplysningene til et tredjeland (dvs. et land utenfor EU/EØS) og hva risikoen er.

I noen tilfeller må selskapene innhente uttrykkelig samtykke

Kravet om eksplisitt samtykke innebærer at den registrerte tydelig må uttrykke sitt samtykke. For eksempel gjennom en signatur, elektronisk signatur eller sertifisering i flere trinn. Dette kan for eksempel gjøres ved å aktivt svare på en e-post og deretter motta en kode per SMS som skal aktiveres for samtykke til å bli gitt. De sensitive personopplysningene et selskap behandler, desto større er forpliktelsene. 

  • Det kan kreves uttrykkelig samtykke dersom foretaket:
  • Behandler sensitive personopplysninger, for eksempel opplysninger om helse eller religiøs tilhørighet.
  • Overføring av personopplysninger til et tredjeland.
  • Utføre profilering eller automatisk individuelle avgjørelser.

Samtykke fra barn

I visse tilfeller er det tillatt for barn å gi sitt samtykke til behandling av deres personopplysninger. For eksempel når det gjelder informasjonssamfunnstjenester, for eksempel sosiale medier. I henhold til GDPR er aldersgrensen i disse tilfellene 16 år. Hvis barnet er under 16 år, må innehaveren av foreldreansvaret gi sitt samtykke. På den annen side har hvert land rett til å senke alderen, som flere land har gjort. Sverige og Finland har senket aldersgrensen til 13 år. 

Vær oppmerksom på at kravene er høyere når selskaper behandler personopplysninger om barn.

Italia

I Italia hadde en 10 år gammel jente klart å opprette flere brukerkontoer uten foreldrenes samtykke på en kjent sosial medieplattform, noe som ikke er tillatt. Jenta døde senere, noe som førte til at den italienske databeskyttelsesmyndigheten satte i gang en undersøkelse mot selskapet og senere også mot andre sosiale medier.

Nederlandske myndigheter

For eksempel skal informasjonen om behandlingen skrives på et enkelt og lett forståelig språk. I Holland hadde et internasjonalt selskap, som driver en mobilapplikasjon med mange barn som brukere, gitt informasjon om behandlingen på engelsk, som ikke var det nasjonale språket. Selskapet måtte derfor betale en bot. Det er viktig at barn forstår informasjonen om behandlingen av deres personopplysninger.

Forskrift om vern av personopplysninger

Kontrakt med registrerte er et annet rettslig grunnlag

Det er viktig å huske at beskyttelse av vitale interesser er et juridisk grunnlag under GDPR, og at det er fem flere juridiske grunnlag. Bedrifter har rett til å behandle personopplysninger som er nødvendige for å oppfylle en kontrakt med den registrerte. Dette er et annet juridisk grunnlag for GDPR. Et selskap som driver e-handel kan behandle kundens kontaktinformasjon for å levere produktene til kunden. Selskapet har imidlertid ikke rett til å behandle flere personopplysninger enn det som er nødvendig for å oppfylle kontrakten.

Lyst til å lære mer?

Les mer
Skroll til toppen