Der skal gives en vis mængde specifikke oplysninger når der indhentes samtykke fra en person, inden personoplysningerne behandles. Virksomhederne skal bl.a. oplyse om formålet med behandlingen af personoplysningerne, når de indhenter den registreredes samtykke.
Ved behandling af personoplysninger må en virksomhed desuden ikke behandle flere personoplysninger, end hvad der er nødvendigt til formålet. Et formål må ikke være uklart eller uspecifikt. I nogle tilfælde ønsker virksomheden måske at anvende personoplysningerne til andre formål i fremtiden. I sådanne tilfælde anmoder virksomheden om et nyt samtykke til den nye behandling.
I henhold til princippet om ansvar, der er reguleret i databeskyttelsesforordningens artikel 5, stk. 2, skal virksomheder kunne påvise, at de overholder forordningen, og hvordan de gør det. Virksomheden bør derfor ikke behandle personoplysninger på grundlag af mundtligt samtykke, da det er vanskeligt at bevise det efterfølgende. Hvis en virksomhed indhenter mundtligt samtykke, bør virksomheden også sikre skriftligt samtykke til behandlingen for at bevare det som bevismateriale.
De oplysninger der skal gives ved indhentning af samtykke, er som minimum:
- Hvem: Identiteten af den dataansvarlige og, hvor det er relevant, databehandleren og, hvor det er relevant, databeskyttelsesrådgiveren Hvis der er flere dataansvarlige eller fælles dataansvarlige, skal dette også angives i oplysningerne.
- Formål: Formålet med de personoplysninger, som samtykket vedrører, nemlig formålet med behandlingen
- Hvad: De typer personoplysninger, som virksomheden behandler på grundlag af samtykke som retsgrundlag for behandlingen F.eks. er navn, personligt identifikationsnummer og e-mailadresse tre typer personoplysninger. Disse falder ind under kategorien “almindelige personoplysninger”, da de ikke betragtes som “særlige kategorier af personoplysninger” i henhold til databeskyttelsesforordningens artikel 9.
- Tilbagetrækning: Den registrerede har til enhver tid ret til at trække sit samtykke tilbage Desuden skal det være klart, hvordan han vil forholde sig i praksis i sådanne tilfælde. Hvis de f.eks. skal sende tilbagekaldelsen til en bestemt e-mailadresse, skal de klikke på en bestemt knap eller lignende.
- Automatiske individuelle afgørelser: Om personoplysningerne vil blive anvendt af virksomheden til at tage en eller anden form for automatiske individuelle afgørelser, med eller uden profilering Hvis dette sker, skal virksomheden også oplyse, at den registrerede har ret til at anfægte den pågældende automatiske afgørelse.
- “Tredjeland”: Om virksomheden overfører personoplysninger til tredjelande (dvs. lande uden for EU/EØS), og hvilke risici der er forbundet med en sådan overførsel. Bemærk, at den registrerede skal give udtrykkeligt samtykke i sådanne tilfælde.
Overvej at adskille de oplysninger, som virksomheden giver de registrerede, når den indhenter samtykke, fra andre oplysninger såsom generelle vilkår og betingelser. Desuden behandler virksomheder personoplysninger til forskellige formål i visse tilfælde. I sådanne tilfælde skal virksomheden give den registrerede mulighed for at give samtykke specifikt til hvert formål.
Være særlig tydelig, når de registrerede er børn
Hvis en virksomhed indhenter et barns samtykke, er reglerne strengere. Virksomheden skal f.eks. informere barnet i et enkelt sprog, så barnet forstår betydningen. Desuden bør virksomheden undgå at bruge lange sætninger eller for mange og komplekse oplysninger, da det kan være vanskeligere for børn at forstå.
Desuden skal oplysningerne gives på det nationale lands sprog. Hvis en mobilapplikation i Finland har børn som brugere, bør oplysningerne om behandlingen af børns personoplysninger fremgå på finsk. En virksomhed, der drev en mobilapplikation med mange børn som brugere fra forskellige lande, skulle betale en bøde i Holland. Årsagen var, at oplysningerne om de registrerede børn var på engelsk i stedet for nederlandsk.
Oplysninger, som en virksomhed skal dokumentere vedrørende det indhentede samtykke:
Angiv, hvilke: Hvilke oplysninger den registrerede modtog fra virksomheden, da samtykket blev indhentet
Hvordan: Hvordan virksomheden indhentede den registreredes samtykke
Hvornår: Når virksomheden har indhentet den registreredes samtykke.
