Persondata og samtykke

25. april 2018

Virksomheders opbevaring af medarbejderes personoplysninger kan finde sted uden at skulle opfylde særlige krav. Begrundelsen er, at medarbejderne i forvejen har til samtykke underskrevet en ansættelseskontrakt, som gør det nødvendigt, at personoplysningerne bliver opbevaret. Kontrakten er således "adgangsgivende" for opbevaring af personoplysninger.

På mange andre områder vil samtykke være den relevante adgang til behandling af personoplysninger. Den registrerede person skal fx give sit samtykke til opbevaring af ansøgningsmaterialer fra ansøgere til stillinger i virksomheden i over seks måneder, registreringer på internettet fx i bookingsystemer, og behandling af medarbejderfotos på internettet.

Et samtykke skal være:

Frivilligt
Der skal være tale om et reelt eller frit valg, Samtykket må derfor ikke være afgivet under tvang eller med frygt for væsentlige negative konsekvenser.

Specifikt
Samtykket må ikke være generelt udformet eller uden en præcis angivelse af formålene med behandlingen af personoplysninger. Det skal tydeligt fremgå, hvad der meddeles samtykke til.

Informeret
Det betyder, at den registrerede skal være klar over, hvad der gives samtykke til. Den dataansvarlige skal give den registrerede en række oplysninger, som skal sikre, at den registrerede kan træffe sit valg på et oplyst grundlag.

Fremgå som en utvetydig viljestilkendegivelse
Samtykket skal klart tilkendegive en accept af, at personoplysninger om vedkommende behandles. Det kan f.eks. meddeles ved underskrift, ved at sætte kryds i et felt ved besøg på en hjemmeside eller ved valg af tekniske indstillinger til f.eks. Facebook, Instagram og Snapchat.

Tavshed, allerede afkrydsede felter på hjemmeside eller inaktivitet er ikke tilstrækkeligt til at udgøre en utvetydig tilkendegivelse og kan derfor ikke udgøre et samtykke.

Den dataansvarlige skal kunne dokumentere, at der er afgivet et samtykke, som derfor bør være skriftligt.

Herudover skal en anmodning om samtykke, der vedrører forskellige forhold, være udformet på en måde, hvorved de forskellige forhold kan skelnes, og der kan tages stilling til hvert forhold for sig.

Inden et samtykke gives skal det oplyses, at et samtykke kan trækkes tilbage. Den registrerede skal kunne trække sit samtykke tilbage når som helst. Det skal kunne gøres på en enkel og lettilgængelig måde.

Tjeklisten herunder kan tjene som en rettesnor for, om man som dataansvarlig er på linje med kravene i persondataforordningen eller ej:

  • Samtykkeanmodningen er tydelig og adskilt fra øvrig tekst som fx salgs- og leveringsbetingelsesvilkår
  • I indhenter altid samtykke via et aktivt tilvalg fra den samtykkendes side
  • I indhenter aldrig samtykke via forud afkrydsede samtykkefelter eller på anden vis, der baserer sig på passivitet
  • Samtykket er formuleret i et klart og enkelt sprog, som er letforståeligt for en person i målgruppen
  • Samtykket angiver formålet med den påtænkte behandling af data
  • Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke for hvert formål
  • Navnet på den/de dataansvarlige fremgår af samtykketeksten
  • I oplyser om muligheden for at trække samtykket tilbage
  • Der er ikke negative konsekvenser forbundet med ikke at give samtykke, hvilket vil sige at samtykke ikke er en betingelse for levering af en vare/ydelse
  • I kan dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blev givet, hvad den enkelte har samtykket til, og at samtykket reelt er afgivet frivilligt
  • I følger regelmæssigt op på, at samtykket stadig er aktuelt og korrekt, og at formålet med behandlingen eller selve behandlingen ikke har ændret sig.

Ovenstående er information om visse af de gældende krav til databeskyttelse ved overgangen til de nye regler den 25. maj 2018. Vi vil i den kommende tid udsende flere artikler om emnet.