Det korte svar: GDPR stiller skrappe krav til samtykke. Det skal være frivilligt, specifikt, informeret og utvetydigt. Brugeren skal aktivt afgive samtykke – forudafkrydsede felter eller passiv accept gælder ikke. Samtykket skal kunne dokumenteres og til enhver tid kunne trækkes tilbage – lige så nemt som det blev givet.
Fundamentet for tillid
Samtykke er et af de mest omtalte – og ofte misforståede – begreber i databeskyttelsesverdenen. For mange virksomheder handler det blot om at få et flueben i en formular. Men i virkeligheden er samtykke en forudsætning for ansvarlig og lovlig behandling af personoplysninger. Det er en tillidserklæring fra den registrerede til jer som dataansvarlig. Derfor er det afgørende at forstå, hvordan samtykke skal indhentes, dokumenteres og vedligeholdes i praksis. Det handler ikke kun om at følge GDPR – det handler om at tage ansvar.
Denne blog handler om, hvordan I indhenter og dokumenterer samtykke korrekt under GDPR – og hvorfor det er afgørende for lovlig behandling af personoplysninger og tillid til jeres virksomhed.
Vidste du, at en hurtig reaktion på et databrud kan minimere langsigtede skader så som kundetab og tabt tillid?
www.microsoft.com
Hvorfor skal man bruge samtykke?
Samtykke er ét af seks lovlige behandlingsgrundlag, som GDPR anerkender, når personoplysninger behandles. Det betyder, at samtykke ikke altid er nødvendigt – men i nogle situationer er det det eneste rigtige og lovlige grundlag.
Det gælder især, når:
-
I behandler følsomme personoplysninger, såsom helbredsdata eller oplysninger om religion og seksualitet
-
Der ikke er et andet klart grundlag, såsom en kontrakt, en juridisk forpligtelse eller en legitim interesse
-
Det er vigtigt, at brugeren selv har kontrol over sine data og frit kan vælge, om oplysningerne må bruges
Et gyldigt samtykke viser, at I respekterer individets ret til privatliv, og at I har styr på, hvordan data behandles. Det er ikke bare et juridisk krav – det er et tillidsløfte. Hvis nogen senere stiller spørgsmålstegn ved jeres behandling af personoplysninger, kan et dokumenteret samtykke være afgørende for, om I kan dokumentere, at alt er foregået lovligt og etisk.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvad skal et samtykke indeholde?
GDPR definerer samtykke som en frivillig, specifik, informeret og utvetydig viljestilkendegivelse. Det vil sige, at personen aktivt skal give samtykke – og at de skal forstå, hvad de siger ja til. Tavshed, forudafkrydsede felter eller uklare formuleringer gælder ikke som samtykke. Et gyldigt samtykke skal svare på følgende:
-
Hvem indsamler oplysningerne?
-
Hvad bruges oplysningerne til?
-
Hvilke oplysninger indsamles?
-
Hvor længe gemmes de?
-
Hvem deles de med?
-
Hvordan kan samtykket trækkes tilbage?
Alt dette skal forklares klart og enkelt. Brugere skal nemt kunne forstå konsekvenserne af deres valg – uden at læse jura.
Hvordan indhenter man samtykke?
Samtykke skal indhentes inden I begynder at behandle oplysninger. Det kan ske via:
-
Formularer på hjemmesiden
-
E-mails med samtykketekst
-
Tilmelding til nyhedsbrev
-
Registrering i apps eller systemer
Vigtigst er, at brugeren aktivt klikker “ja” – og ikke bare overlades til at forholde sig passivt. I skal også gøre det nemt at trække samtykket tilbage – og I skal gemme en log over, hvornår og hvordan samtykket er givet.
Få et overblik over jeres GDPR-filer
En GDPR Risikovurdering giver jer et komplet overblik over filer med følsomt indhold i jeres virksomhed.
Eksempel på et samtykke
Et godt samtykke skal som nævnt være klart, præcist og informeret – og det skal være tydeligt, hvad personen siger ja til. Nedenfor ser du et eksempel på, hvordan et samtykke kan formuleres i praksis, f.eks. i forbindelse med nyhedsbreve:
“Jeg giver hermed samtykke til, at [virksomhedens navn] må behandle mine kontaktoplysninger med henblik på at sende mig nyhedsbreve. Jeg er informeret om, at jeg til enhver tid kan trække mit samtykke tilbage ved at kontakte [kontaktoplysninger] eller klikke på afmeldingslinket i nyhedsbrevet.”
Denne formulering opfylder GDPR-kravene om frivillighed, tydelighed og mulighed for nem tilbagekaldelse. Den specificerer formålet med behandlingen af personoplysninger og giver brugeren reel kontrol – præcis som det kræves.
FAQ om indhentning af samtykke
1. Hvornår skal vi indhente samtykke?
Samtykke er nødvendigt, når der ikke er et andet lovligt behandlingsgrundlag – f.eks. ved markedsføring, nyhedsbreve eller behandling af følsomme oplysninger. Hvis brugeren skal have et reelt valg, skal I indhente samtykke.
2. Hvad gør et samtykke gyldigt?
Et gyldigt samtykke skal være frivilligt, informeret, specifikt og utvetydigt. Brugeren skal vide, hvad de siger ja til – og kunne sige nej uden negative konsekvenser. Derudover skal samtykket kunne dokumenteres.
3. Kan vi bruge forudafkrydsede felter eller stiltiende accept?
Nej. GDPR kræver en aktiv handling – f.eks. at brugeren selv krydser en boks af eller klikker “Accepter”. Stiltiende accept, forudafkrydsede felter eller skjult samtykke er ikke gyldigt.
4. Hvor længe gælder et samtykke?
Et samtykke gælder, indtil det trækkes tilbage – men det anbefales at gennemgå og forny samtykker regelmæssigt, især hvis formålet eller behandlingen ændrer sig.
5. Hvordan dokumenterer vi samtykke korrekt?
I skal kunne vise, hvad brugeren har sagt ja til, hvornår og hvordan. Det inkluderer samtykketeksten, tidspunktet for samtykket, formålet og hvordan brugeren kan trække det tilbage.
6. Kan brugeren trække sit samtykke tilbage?
Ja – og det skal være lige så nemt som at give det. Brugeren skal til enhver tid kunne trække sit samtykke tilbage, og I skal stoppe behandlingen, medmindre I har et andet lovligt grundlag.
7. Hvad med børn og samtykke?
Hvis jeres tjenester retter sig mod børn under 13 (eller 16, afhængigt af national lovgivning), kræver I som udgangspunkt samtykke fra forældre eller værge.
Dokumentation er (næsten) det vigtigste
Selv det mest gennemtænkte og lovligt indhentede samtykke mister sin værdi, hvis I ikke kan dokumentere det. Under GDPR gælder nemlig et omvendt bevisbyrdeprincip: Det er jer som dataansvarlige, der skal kunne bevise, at samtykket blev givet frivilligt, informeret og utvetydigt – og at det gælder for netop den behandling af personoplysninger, I foretager.
Derfor skal I kunne fremvise:
-
Tidspunkt for samtykke – hvornår blev det givet?
-
Formuleringen – hvad præcist blev brugeren informeret om?
-
Formål – hvilket konkret formål dækker samtykket?
-
Tilbagekaldelse – hvordan og hvornår kan samtykket trækkes tilbage?
Denne dokumentation skal være let tilgængelig, opdateret og kunne fremlægges ved audit eller klager.
Den nemme vej til at indhente samtykke
Det er én ting at formulere et samtykke korrekt – noget helt andet er at sikre, at det bliver dokumenteret og opbevaret på en måde, der lever op til GDPR. Med ShareSimple har vi gjort det nemt. ShareSimple er et Outlook-plugin, som lader jer indhente og registrere samtykke direkte i jeres e-mail-kommunikation. Det betyder, at I kan sende sikre, krypterede mails med indbygget samtykkefunktion – og automatisk dokumentere, hvem der har givet samtykke til hvad, og hvornår.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
