Inhämtning och återkallelse av samtycke
Rutiner för inhämtning och återkallelse av samtycke
Det är bra att ha rutiner för inhämtning och återkallelse av samtycke, om företaget använder samtycke som rättslig grund vid behandling av personuppgifter.
Återkallelse av samtycket ska kunna ske lika enkelt som att ge samtycket
Det är viktigt att inte göra det svårt för de registrerade att kunna återkalla sitt samtycke, eftersom samtycket är ogiltigt vid sådana fall. Det ska som huvudregel vara lika enkelt att återkalla ett samtycke som att ge det enligt artikel 7(3) i GDPR.
Därför är det viktigt att anpassa det tekniska, så att det är möjligt och enkelt att återkalla samtycket. Till exempel genom att implementera en knapp som är enkel att hitta för att hantera samtycket på webbplatsen, eller i en mobilapplikation eller liknande.
Ett samtycke måste vara aktivt och frivilligt lämnat
- Aktivt samtycke: Ett aktivt samtycke innebär att den registrerade själv ger det genom en aktiv handling. Exempelvis genom att klicka på en samtyckesruta. Om en samtyckesruta är förkryssad, utgör det ett passivt samtycke, vilket inte är giltigt enligt GDPR.
- Frivilligt samtycke: Det är inte tillåtet att utsätta en person för påverkan med avsikten att få denne att lämna ett samtycke. Dessutom är det förbjudet att personen drabbas av negativa konsekvenser om denne avstår från att lämna sitt samtycke till en viss personuppgiftsbehandling. Observera att det inte heller är tillåtet att inkludera ett samtycke som en obligatorisk del av ett avtalsvillkor.
Rätten att återkalla ett samtycke är en uttrycklig rättighet enligt GDPR
Det finns åtta (8) grundläggande rättigheter som registrerade har enligt GDPR. Däremot finns det ännu fler rättigheter än så, bland annat rätten att återkalla ett samtycke enligt artikel 7(3) i GDPR.
Tänk på att samtycken inte alltid är en lämplig rättslig grund
Samtycke är inte alltid en lämplig rättslig grund att stödja en behandling av personuppgifter på. Det brukar inte vara lämpligt när maktförhållandet mellan parterna är ojämlikt, såsom mellan en arbetsgivare och arbetstagare. Detsamma gäller mellan en myndighet och medborgare.
Vad rutiner för inhämtning och återkallelse av samtycke kan innehålla
Rutin för inhämtning av samtycke
När samtycke ska användas som rättslig grund
Tydliggör i rutinerna vilka behandlingar som ska ske med stöd i samtycke som den rättsliga grunden. Dessutom är det bra att tydliggöra när samtycke inte är lämpligt att använda.
Information som de registrerade ska få innan samtycket inhämtas
Det är viktigt att informationen gällande behandlingen ges och är enkel att förstå för de registrerade. Dessutom ska informationen tillhandahållas separerat från andra eventuella avtalsvillkor.
Säkerställ att det är ett frivilligt och aktivt samtycke
Det är förbjudet med förkryssade samtyckesrutor, eftersom det inte utgör ett aktivt samtycke. Samtycket måste också vara frivilligt lämnat, vilket bland annat innebär att det inte får vara ett krav enligt avtalsvillkor. Om samtycket inte är frivilligt och aktivt lämnat, är det inte giltigt.
Hur företaget ska dokumentera samtycket
Företag måste kunna visa att de har inhämtat ett giltigt samtycke. Därför är det bra att dokumentera hur och när det har gått till. Exempelvis i ett CRM-system eller HR-system.
Rutin för hantering av återkallelse av samtycke
Vilka kanaler som återkallelsen kan ske genom
Det är viktigt att tydliggöra kommunikationskanalerna som återkallelsen av samtycket kan ske genom. På så sätt är det mindre chans att medarbetarna som hanterar dessa ärenden missar en återkallelse. Observera att det inte är tillåtet att neka en återkallelse av samtycke.
Vad som behöver göras när återkallelsen inkommer
Företaget ska omedelbart upphöra med behandlingen av personuppgifterna som är baserad på samtycket, när den registrerade återkallar det. Dessutom ska personuppgifterna raderas, såvida det inte finns någon annan rättslig grund för behandlingen. Det är också bra att dokumentera återkallelsen, för att kunna visa efterlevnad av GDPR.
Informera de berörda avdelningarna
Intern kommunikation inom ett företag är viktigt av många anledningar. Vissa avdelningar kan behöva informeras om en återkallelse av samtycke, och därför bör detta regleras närmare i rutinerna. Dessutom kan vissa system behöva uppdateras för att återkallelsen ska respekteras.
Dokumentera återkallelsen
Företag måste kunna visa att de följer GDPR och därför är det bra att dokumentera hanteringen av mottaga återkallelser av lämnade samtycken. Exempelvis inkludera datum, behandlingen som återkallelsen avser, vilka åtgärder företaget har vidtagit för att respektera återkallelsen m.m.
Måste företaget gallra personuppgifter i backup-filer vid återkallelse av samtycke?
Ja, även backup-filer behöver gallras med jämna mellanrum. Däremot behöver inte personuppgifter som finns i backup-filer raderas omedelbart ifall de är tekniskt isolerade från annan data, inte används i det dagliga arbetet, och gallras enligt fastställda intervall. Backup-filer är ofta betraktade som en tillfälligt nödvändig lagring i form av en implementerad teknisk säkerhetsåtgärd, och därmed inte som fortsatt behandling i strid med GDPR.
Mer info
Rutiner för hantering av sociala medier och fotografering
Många företag använder sociala medier i sin verksamhet och det är vanligt med behandlingar av personuppgifter vid användningen. Det kan vara enkelt att glömma att företaget kan ha ett personuppgiftsansvar i enlighet med GDPR, inte bara leverantören som bedriver plattformen. Exempelvis är det vanligt att företag har någon form av kundtjänst i sina sociala medier och publicerar bilder på medarbetarna, vilket är två former av personuppgiftsbehandlingar i sociala medier.