Krav for GDPR-samtykke

Når nogen giver jer tilladelse til at behandle deres personoplysninger til et bestemt formål, kaldes det GDPR-samtykke. I henhold til GDPR kan samtykke være et gyldigt retsgrundlag for behandling af personoplysninger. GDPR definerer et gyldigt samtykke som en frit givet, specifik, informeret og utvetydig indikation af brugerens ønsker, hvorved personen ved en erklæring – eller ved en klar bekræftende handling – tilkendegiver samtykke til behandlingen af deres personoplysninger.

Har man altid brug for samtykke til at indsamle persondata? Det korte svar er nej – det har man ikke. Faktisk kan man i mange tilfælde allerede have et andet retsgrundlag for at indsamle persondata. Der vil dog være tidspunkter, hvor et samtykke er den bedste og endda den eneste måde at indsamle data på lovligt. For eksempel når man beder om en mailadresse til at sende nyhedsbreve eller målrettet markedsføring til ens kunder.

Denne blog omhandler hvilke muligheder der kan danne retsgrundlag for at indsamle data. Derefter vil bloggen omtale fordele og ulemper ved at vælge GDPR-samtykke som ens juridiske grundlag for at indsamle data. Til sidst vil bloggen afsløre, hvordan man får korrekt GDPR-samtykke.

Her er de 6 acceptable retsgrundlag – eller lovlige grunde – for behandling af personoplysninger i henhold til GDPR artikel 9, stk. 2:

• Samtykke: Bed om udtrykkelig tilladelse, når ingen af følgende juridiske grundlag er gældende.
• Kontrakter: En aftale med personen om at levere varer, tjenesteydelser eller ansættelse.
• Juridiske forpligtelser: I nogle tilfælde kan loven forpligte jer til at behandle personoplysninger.
• Personens vitale interesser: At beskytte en persons liv eller sikkerhed.
• Offentlig interesse: Oftest vil dette grundlag blive brugt af offentlige myndigheder.
• Legitime interesser: En god grund til at behandle en persons data, som personen med rimelighed ville forvente, og som har en minimal indvirkning på deres privatliv.

I skal vælge have ét gyldigt retsgrundlag for at behandle personoplysninger. I kan også vælge mere end ét, hvis de er relevante. Uanset om I vælger én eller flere, bør I dokumentere jeres valg i dine privatlivspolitik og holde fast i det. I kan ikke ændre jeres retsgrundlag senere.

Skal I vælge udtrykkeligt samtykke som juridiske grundlag? I så fald bør I huske, at intet juridisk grundlag er bedre, sikrere eller vigtigere end de andre. I bør først overveje jeres formål og relation med den person, I har brug for data fra. Vælg derefter det grundlag, der er mest passende.

Bemærk, at hvis I ønsker at indsamle følsomme/særlige kategoridata eller data om straffedomme, skal I identificere både et lovligt grundlag for generel behandling og en yderligere betingelse. I så fald kan det være en god idé at tilføje samtykke ud over den kontrakt eller legitime interesse, I allerede har.

At få eksplicit samtykke har sine fordele i visse situationer. Faktisk kan det potentielt give jer mulighed for at gøre næsten hvad som helst med enhver type data. For eksempel kan det give jer mulighed for at indsamle meget personlige data, bruge data til markedsføring, automatiseret beslutningstagning, oversøiske overførsler, selv uden tilstrækkelige sikkerhedsforanstaltninger og mere. Bare sørg for at forklare klart, hvad I vil gøre med dataene.

Dette gør samtykke til en god mulighed, når I ikke har et andet juridisk grundlag for at indsamle dataene. At bede folk om samtykke kan også vise folk, at de har kontrol over, hvordan I bruger deres data. Det giver dem også mulighed for at ændre mening og trække samtykke tilbage. At vælge at få samtykke direkte kan få folk til at føle sig mere engagerede i jeres virksomhed og opmuntre dem til at stole på jer med deres data.

Men at få samtykke er ikke altid den bedste løsning. Hvis nogen trækker sit samtykke tilbage senere, bliver I nødt til at stoppe behandlingen af deres data. I kan ikke ændre jeres juridiske grundlag for at fortsætte med at bruge dataene.

Antag for eksempel, at I havde en gyldig legitim interesse i at indsamle data fra starten, men I valgte at indhente samtykke. Ved at gøre det, gav I personen indtryk af, at de havde et ægte valg og løbende kontrol over, hvordan I bruger deres data. Af den grund bliver I nødt til at stoppe med at bruge deres data, når de beder jer om det, på trods af jeres legitime interesse.

Overvej derfor alternativer som legitim interesse først, før I udelukkende stoler på samtykke til at behandle personoplysninger. Hvis samtykke stadig er den bedste løsning, skal I sørge for at indhente det korrekt og dokumentere det.

Inden I indhenter samtykke, skal I kontrollere, om der er et andet åbenlyst lovgrundlag. Dette burde være nemt at beslutte efter at have gennemgået jeres formål med at indsamle data:

• Gennemgå jeres formål med behandlingen af data
• Dobbelttjek, at behandling af data er nødvendig til det formål
• Beslut om I vil bruge samtykke eller et andet lovligt grundlag (eller grundlag), der er gældende
• Tjek jeres fortrolighedserklæring for at sikre, at den indeholder alle ovenstående oplysninger
• Hvis I indsamler følsomme/særlige kategoridata eller data om strafbare handlinger, skal I identificere en yderligere tilstand og dokumentere den

Der er fem principper for at indhente samtykke under GDPR:

1. Frit givet
“Friligt givet” samtykke betyder, at I ikke har tvunget eller presset brugeren. Kræv ikke samtykke som en betingelse for at bruge jeres tjenester. Folk skal kunne sige nej.

2. Konkret og informeret
Giv klare og detaljerede oplysninger om jeres virksomhed og formål med at indsamle data, hvilke typer data I indsamler, hvor længe I vil opbevare dem, og eventuelle tredjeparter, som I vil dele dem med. Hold jeres samtykkeerklæringer adskilt. Bring dem ikke sammen med andre vilkår og betingelser, kontrakter eller aftaler.

3. Utvetydigt
Få samtykke ved en klar og bekræftende handling, der angiver den enkeltes samtykke. Få dem for eksempel til at sætte kryds i et felt, klikke på en tilmeldingsknap eller underskrive en skriftlig erklæring. Brug ikke forhåndsafkrydsede felter eller betragte tavshed som en gyldig form for samtykke.

4. Nemt at trække tilbage
Lad folk vide, at de til enhver tid har ret til at tilbageholde samtykke eller til at trække deres samtykke tilbage. Tilbagetrækning af samtykke bør være lige så let som at give samtykke og bør ikke pålægge den enkelte en unødig byrde.

5. Dokumenteret
Hvis I bruger samtykke som juridiske grundlag, skal I dokumentere, at I har fået gyldigt GDPR-samtykke. Før registre over, hvornår og hvordan samtykke blev indhentet, herunder de oplysninger, I gav personen, og jeres metode til at få samtykke.

Der er et par ting, der kan gøre et samtykke tvivlsomt eller endda ugyldigt:

❌ Medarbejder/Arbejdsgiver magtubalance
Det kan være problematisk at bede medarbejdere om samtykke. Personen kan føle sig forpligtet til at acceptere, at I indsamler deres personlige data, er det svært at påvise, at samtykket er givet frit.

❌ Forældede eller uigennemskuelige politikker
Hvis I har startet nye marketingaktiviteter, der involverer folks data, skal I sørge for at opdatere jeres politikker og samtykkeformularer. Hævder jeres politikker og samtykkeformularer, at I kun bruger folks kontaktoplysninger til at levere tjenester? Hvis I bruger det til at sende nyhedsbreve, skal I opdatere jeres politikker. Spring den juridiske jargon over og hold teksten klar og enkel.

❌ Forhåndsafkrydsede felter og store “ja”-knapper
Brug ikke afkrydsede felter. Sørg for at “ja”-indstillingen er fremtrædende og let at finde. Medmindre en person selv afkrydser samtykkefeltet, har de faktisk ikke givet sit samtykke.

❌ Ændring af jeres juridiske grundlag
Undlad at ændre jeres retsgrundlag senere, hvis en person trækker sit samtykke tilbage. At give folk det indtryk, at de havde kontrol og derefter hævde, at I havde ret til at beholde deres data baseret på et andet grundlag, er ikke tilladt.

❌ Mangle et samtykkesystem
Der er ingen specifikke regler for, hvordan man skal føre registrering af samtykke. I skal dog kunne dokumentere, at I har samtykke. At bruge værktøjer, der får samtykke og gemmer det automatisk, er en god løsning.

Her er et par vigtige ting, der kan hjælpe jer med at bruge GDPR-samtykke korrekt:

• Tjek, om I har et andet mere passende lovligt grundlag
• Undgå at gøre samtykke til en forudsætning for service.
• Hvis I går med samtykke, giver du folk reelt valg og kontrol.
• Hvis I får samtykke fra medarbejdere, kan I så bevise, at det er givet frit?
• Tjek jeres politikker og samtykkeformulering for at sikre, at den er klar og præcis.
• Brug ikke forhåndsafkrydsede felter eller nogen anden form for tvangssamtykke.
• Adskil samtykkeformularer fra jeres øvrige vilkår og betingelser.
• Gør det nemt for folk at trække samtykke tilbage og fortæl dem hvordan.
• Før optegnelser over folks samtykke.

Hvis I gerne vil have en sikker måde at indsamle personlige data på sikkert via e-mail, med tilpassede samtykkeformularer, der automatisk gemmes som dokumentation, bør I tjekke ShareSimple →