Har du styr på korrekt brug af samtykke?

Hvorfor offentliggør Datatilsynet ny vejledning om brug af samtykke som behandlingsgrundlag?

Datatilsynet offentliggjorde i november 2017 en vejledning om brugen af samtykke som behandlingsgrundlag. Denne vejledning er nu blevet opdateret og blev den 2. september 2019 offentliggjort på Datatilsynet egen hjemmeside. Datatilsynet udtaler selv, at baggrunden for opdateringen af den allerede eksisterende vejledning er, at den tidligere artikel 29-gruppen (nu Det Europæiske Databeskyttelsesråd) allerede i 2018 offentliggjorde deres reviderede vejledning på området, hvorfor Datatilsynet ligeledes var nødsaget hertil.

Vejledningen indeholder et nyt krav

Den opdaterede vejledning følger i det store hele vejledningen fra november 2017, herunder med beskrivelse af:

• hvad et samtykke er
• hvilke krav der stilles til et gyldigt samtykke
• retten til tilbagekaldelse af et samtykke
• samtykke i forbindelse med børn og unge
• samtykke i overgangsperioden mellem persondataloven og databeskyttelsesreglerne

Selvom vejledningen i det store hele har samme indhold som den tidligere vejledning, er der dog sket en ændring siden 2017, nemlig tilføjelse af kravet om granularitet (opdeling).

Krav om granularitet

Kravet om granularitet angår den situation, hvor den dataansvarlige ønsker at behandle personoplysninger til flere formål.

Den dataansvarlige vil i sådanne situationer være nødsaget til at give den registrerede muligheden for at vælge til og fra i forhold til, hvilke af formålene den registrerede ønsker at give samtykke til.

Datatilsynet påpeger, at kravet om granularitet skal ses i lyset af kravet om, at et samtykke skal være specifikt og afgivet på frivillig basis.

Derfor må en dataansvarlig ikke bruge et samtykke som grundlag for en behandling af personoplysninger, hvis oplysningerne rent faktisk anvendes til flere formål end det, den registrerede har fået oplyst. Derudover må en dataansvarlig ikke benytte samtykke som grundlag, hvis det reelt er en af de andre grunde i den gældende databeskyttelsesforordning, der er årsagen til, at den dataansvarlige må behandle oplysninger.

Hvis man anvender et samtykke i den forkerte situation, kan det få den registrerede til at tro, at de kan tilbagekalde samtykket og dermed undgå behandlingen, hvilket jo ikke vil være tilfældet, hvis behandlingen støttes på, at den dataansvarlige har en juridisk forpligtelse til at behandle oplysninger.

Et klassisk eksempel herpå kunne være, hvis en arbejdsgiver indhenter samtykke til at må behandle medarbejderes personnumre til håndtering af lønudbetaling. Selvom behandlingen af personnumre oftest kun kan ske efter indhentelse af samtykke, vil det ikke være tilfældet her, da arbejdsgivere rent faktisk er forpligtede til at indhente og anvende medarbejderes personmure ifm. den skattemæssige håndtering af lønudbetalingen. Det vil derfor være forkert at anvende et samtykke som grundlag i et sådant tilfælde.

Hvilken betydning har kravet om granularitet for din virksomhed?

Indførsel af kravet om granularitet betyder, at din virksomhed nøje skal overveje, om jeres samtykketekster er dækkende i forhold til det, de skal bruges til, samt om I anvender et samtykke korrekt.

Er din virksomhed i tvivl om, hvorvidt det er korrekt at anvende en samtykke som grundlag for at behandle personoplysninger i en bestemt situation, eller om jeres samtykketekst er dækkende, er du altid velkommen til at kontakte vores persondatateam, som står klar med råd og vejledning.