Det skal være frivilligt og aktivt samtykke, for at det er gyldigt i henhold til GDPR. Samtykke er et af de seks retsgrundlag, som en virksomhed kan anvende, når den behandler personoplysninger. Nogle mener, at det er nødvendigt at indhente samtykke til behandling af personoplysninger, men dette er ikke sandt. Behandling af personoplysninger kan finde sted på grundlag af et andet retsgrundlag i henhold til databeskyttelsesforordningens artikel 6. Desuden kan samtykke gives enten mundtligt eller skriftligt. Skriftligt samtykke er på den anden side at foretrække, da det er lettere at bevise i tilfælde af tvist eller håndhævelse.
Det skal være et frivilligt og aktivt samtykke i henhold til GDPR
Skal være et frivilligt samtykke
For at en person kan anses for frivilligt at have givet samtykke til en bestemt behandling af sine personoplysninger, skal denne person have mulighed for ikke at skulle give samtykke. Personen bør med andre ord ikke påvirkes af mulige konsekvenser, fordi personen ikke ønsker at give samtykke til en bestemt behandlingsaktivitet. Desuden gives samtykke ikke frivilligt, hvis den dataansvarlige befinder sig i en stærkere position end den registrerede. F.eks. arbejdsgiver mod arbejdstager, myndighed mod borger eller lignende.
Eksempler på tilfælde, hvor samtykke ikke gives frivilligt, er:
- Obligatoriske oplysninger: Hvorvidt kravet om at give samtykke er en obligatorisk del af en aftale
- Berørt: Den registrerede er blevet påvirket til at give sit samtykke
- Negative virkninger: Hvis det får negative konsekvenser for den registrerede, fordi den registrerede ikke giver sit samtykke til en bestemt behandling af personoplysninger
Skal være et aktivt samtykke
I henhold til de nuværende bestemmelser i GDPR er passivt samtykke ikke gyldigt. Med andre ord skal den registrerede aktivt give sit samtykke til behandlingen af personoplysninger. Samtykke er derfor ikke gyldigt, hvis en registreret ikke aktivt besvarer en anmodning om samtykke.
Virksomhederne må ikke stille krav til den registrerede om indhentning af dennes samtykke. Dette kaldes “emballage” i henhold til GDPR og er i de fleste tilfælde forbudt. Kort sagt indebærer emballage, at den registrerede indirekte eller direkte skal levere en modydelse for tjenesteydelsen eller produktet. Eksempler på en modydelse kan være accept af servicevilkår eller andre forretningsbetingelser. Samtykket er således sammenknyttet med andre tilsagn. Hvis betingelserne ikke er nødvendige, betyder det, at samtykket ikke er givet frivilligt. Som følge heraf er samtykket ikke gyldigt.
På den anden side er der andre retsgrundlag, der er mere hensigtsmæssige at anvende, hvis det er nødvendigt for anvendelsen af en tjenesteydelse eller et produkt. F.eks. kan retsgrundlaget for kontrakter i henhold til artikel 6, stk. 1, litra b), i GDPR finde anvendelse i sådanne situationer.
Den registrerede skal give specifikt, frivilligt, informeret og utvetydigt samtykke til behandlingen af sine personoplysninger, for at det kan betragtes som gyldigt samtykke i overensstemmelse meddatabeskyttelsesforordningens artikel 7.
Krav til samtykke for at blive betragtet som gyldigt
- Specifikt: Virksomheden skal fremlægge oplysninger om formålet med behandlingen af personoplysningerne. Hvis de samme personoplysninger skal behandles til forskellige formål, skal den registrerede have mulighed for at give sit samtykke til dem hver for sig.
- Valgfrit: Når en registreret får mulighed for at give sit samtykke til en bestemt behandling af personoplysninger, må det ikke få negative konsekvenser, at vedkommende nægter at give sit samtykke. Personen bør med andre ord have mulighed for at afvise behandlingen og dermed ikke give sit samtykke. Desuden kan der i nogle tilfælde være et ulige magtforhold mellem parterne, som gør, at samtykket ikke er givet frivilligt. F.eks. forholdet mellem en arbejdsgiver og en arbejdstager. I sådanne tilfælde befinder arbejdstageren sig i en svagere stilling end arbejdsgiveren, og derfor er samtykke i de fleste tilfælde ikke et passende retsgrundlag at anvende.
- Informeret: Virksomhederne skal informere om behandlingen af personoplysninger, inden en person giver sit samtykke til den pågældende behandling. Desuden skal oplysningerne være tilstrækkelige og klare. Oplysningerne bør f.eks. angive, hvilke personoplysninger virksomheden behandler, hvordan samtykke kan trækkes tilbage, og om virksomheden vil overføre personoplysningerne til et tredjeland (dvs. et land uden for EU/EØS).
- Utvetydigt samtykke: En person kan ikke give sit samtykke ved ikke at udtale sig eller ved at være passiv. Et eksempel på ugyldigt samtykke er, hvis en virksomhed har et afkrydset samtykkefelt. Et andet eksempel er, når en person besøger et websted, der angiver, at webstedet vil anvende cookies, hvis personen forbliver på webstedet.
Ikke altid hensigtsmæssig
Bemærk, at samtykke ikke altid er et passende retsgrundlag for visse typer behandling af personoplysninger. Det kan derfor være nyttigt at analysere, om der findes et andet retsgrundlag, som er mere hensigtsmæssigt. Det er også vigtigt at huske på, at tilbagetrækning af samtykke bør være lige så let som at give samtykke. Hvis det er for vanskeligt at trække samtykket tilbage, er det ugyldigt. Tilbagetrækning af samtykke bør også være gratis. Desuden måtte virksomheden ophøre med at behandle personoplysninger på grundlag af samtykke, inden det blev tilbagekaldt. På den anden side er behandlingen fortsat gyldig, idet den tidligere er blevet foretaget på grundlag af samtykke, men den må ikke fortsætte.
