Innhenting og tilbaketrekking av samtykke
Prosedyrer for innhenting og tilbaketrekking av samtykke
Det er nyttig å ha rutiner for innhenting og tilbaketrekking av samtykke, dersom selskapet bruker samtykke som rettslig grunnlag for behandling av personopplysninger.
Tilbaketrekking av samtykke skal være like enkelt som å gi samtykke
Det er viktig å ikke gjøre det vanskelig for de registrerte å kunne trekke tilbake samtykket, da samtykket i slike tilfeller er ugyldig. Som en generell regel må tilbaketrekking av samtykke være like enkelt som å gi samtykke i henhold til artikkel 7 (3) i GDPR.
Det er derfor viktig å tilpasse det teknisk, slik at det er mulig og enkelt å trekke tilbake samtykket. For eksempel ved å implementere en knapp som er lett å finne for å administrere samtykke på nettstedet, eller i en mobilapplikasjon eller lignende.
Samtykke må være aktivt og fritt gitt
- Aktivt samtykke: Aktivt samtykke betyr at den registrerte gir det ved hjelp av en aktiv handling. For eksempel ved å klikke på en samtykkeboks. Hvis det krysses av for et samtykke, utgjør det et passivt samtykke, som ikke er gyldig i henhold til GDPR.
- Fritt gitt samtykke: Det er ikke tillatt å utsette en person for påvirkning i den hensikt å innhente vedkommendes samtykke. I tillegg er det forbudt for den registrerte å lide negative konsekvenser hvis han eller hun avstår fra å gi sitt samtykke til en bestemt behandlingsoperasjon. Vær oppmerksom på at det heller ikke er tillatt å inkludere samtykke som en obligatorisk del av et kontraktsvilkår.
Retten til å trekke tilbake samtykke er en eksplisitt rett under GDPR
Det er åtte (8) grunnleggende rettigheter som registrerte har under GDPR. På den annen side er det enda flere rettigheter enn det, inkludert retten til å trekke tilbake samtykke i henhold til artikkel 7 (3) i GDPR.
Vær oppmerksom på at samtykke ikke alltid er et passende rettslig grunnlag
Samtykke er ikke alltid et passende rettslig grunnlag for å støtte behandlingen av personopplysninger. Det er vanligvis ikke hensiktsmessig når maktforholdet mellom partene er ulikt, for eksempel mellom arbeidsgiver og arbeidstaker. Det samme gjelder mellom en offentlig myndighet og borgere.
Innholdet i prosedyrer for innhenting og tilbaketrekking av samtykke
Prosedyre for innhenting av samtykke
Når samtykke skal brukes som rettslig grunnlag
Avklarer i prosedyrene hvilke behandlingsoperasjoner som skal utføres på grunnlag av samtykke som rettslig grunnlag. I tillegg er det nyttig å avklare når samtykke ikke er hensiktsmessig å bruke.
Opplysninger som skal gis til registrerte før samtykke innhentes
Det er viktig at informasjonen om behandlingen er gitt og lett å forstå for de registrerte. I tillegg skal opplysningene gis separat fra eventuelle andre kontraktsvilkår.
Sikre at det er fritt og aktivt samtykke
Forhåndskryssede samtykkebokser er forbudt, da de ikke utgjør aktivt samtykke. Samtykke må også gis fritt, noe som blant annet betyr at det ikke må kreves av kontraktsvilkår. Dersom samtykket ikke er fritt og aktivt gitt, er det ikke gyldig.
Hvordan enheten skal dokumentere samtykke
Bedrifter må kunne dokumentere at de har fått gyldig samtykke. Det er derfor nyttig å dokumentere hvordan og når dette er gjort. For eksempel i et CRM- eller HR-system.
Prosedyre for behandling av tilbaketrekking av samtykke
Kanalene som tilbakekallingen kan skje gjennom
Det er viktig å klargjøre hvilke kommunikasjonskanaler samtykket kan trekkes tilbake gjennom. På denne måten, ansatte som arbeider med disse tilfellene er mindre sannsynlig å gå glipp av en tilbakekalling. Vær oppmerksom på at det ikke er tillatt å nekte tilbaketrekking av samtykke.
Hva må gjøres når tilbakekallingen er mottatt
Selskapet skal umiddelbart avslutte behandlingen av personopplysningene basert på samtykke, når den registrerte trekker den tilbake. I tillegg skal personopplysningene slettes, med mindre det er et annet rettslig grunnlag for behandlingen. Det er også nyttig å dokumentere tilbakekallingen, for å kunne vise samsvar med GDPR.
Informere relevante tjenester
Intern kommunikasjon i et selskap er viktig av mange grunner. Noen avdelinger kan trenge å bli informert om tilbaketrekking av samtykke, derfor bør dette reguleres ytterligere i prosedyrene. I tillegg kan det hende at enkelte systemer må oppdateres for å respektere tilbakekallingen.
Dokumenter tilbaketrekkingen
Bedrifter må kunne dokumentere samsvar med GDPR, og det er derfor nyttig å dokumentere håndteringen av mottatte tilbaketrekkinger av samtykke. For eksempel inkluderer datoen, behandlingen som tilbakekallingen gjelder, tiltakene som er truffet av selskapet for å overholde tilbakekallingen, etc.
Må selskapet slette personopplysninger i sikkerhetskopifiler ved tilbaketrekking av samtykke?
Ja, backup-filer må også bli vist med jevne mellomrom. Personlige data i sikkerhetskopifiler trenger imidlertid ikke å slettes umiddelbart hvis de teknisk sett er isolert fra andre data, ikke brukes i det daglige arbeidet, og slettes med faste intervaller. Sikkerhetskopifiler anses ofte som en midlertidig nødvendig lagring i form av et implementert teknisk sikkerhetsforanstaltning, og dermed ikke som en videreføring av behandling i strid med GDPR.
Mer informasjon
Prosedyrer for sosiale medier ledelse og fotografering
Mange bedrifter bruker sosiale medier i sin virksomhet, og behandling av personopplysninger er vanlig i deres bruk. Det kan være lett å glemme at selskapet kan ha et kontrollansvar under GDPR, ikke bare leverandøren som driver plattformen. For eksempel er det vanlig for bedrifter å ha noen form for kundeservice på sine sosiale medier og å publisere bilder av sine ansatte, som er to former for behandling av personopplysninger på sosiale medier.