GDPR_samtykke.jpg

Etter ikrafttredelsen av personvernforordningen i fjor gjelder nye og strengere regler for personvern. Blant annet stilles det strengere krav til hva som utgjør et gyldig samtykke til behandling av personopplysninger. Har din virksomhet innrettet seg?

Strengere krav til samtykke

GDPR er den nye personvernforordningen som trådte i kraft som norsk lov 20. juli 2018.

For å kunne behandle personopplysninger, må virksomheter ha det som kalles et behandlingsgrunnlag. Med andre ord et grunnlag som gjør behandlingen av personopplysninger lovlig.

Samtykke direkte fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.

Samtykke som gyldig behandlingsgrunnlag er videreført i GDPR, men kravene som stilles til samtykke er noe strengere.

Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?

Aktiv handling

Det blir for det første et krav om at den registrerte må gjøre en aktiv handling for å gi sitt samtykke. Et samtykke skal være en frivillig, informert og utvetydig viljesytring fra den registrerte.

Forhåndsavkryssede bokser på nettsider eller annen form for inaktivitet oppfyller derfor ikke de nye kravene til samtykke. Mange virksomheter må derfor endre måten de innhenter samtykke på, særlig på sine nettsider og andre elektroniske løsninger.

Her kan du laste ned gratis guide om GDPR og personvern – for virksomheter som behandler personopplysninger.

Mer informasjon

Ikke bare må et samtykke være gitt frivillig og ved en aktiv handling. Videre må den registrerte også få spesifikk informasjon om hva det samtykkes til før samtykket gis. Slik informasjon skal inkludere:

  • hva din virksomhet bruker personopplysningene til, og
  • hvordan dere behandler innsamlede personopplysninger.

Transparency

«Transparency» er et av hovedprinsippene bak GDPR. Virksomheter kan ikke lenger «gjemme bort» informasjon om hva slags personopplysninger som samles inn, hva opplysningene skal brukes til og hvordan personopplysningene behandles.    

Forståelig språk

Ikke bare har de registrerte krav på mer informasjon enn tidligere, men med GDPR blir det også strengere krav til hvordan informasjonen gis.

Informasjonen må gis på et lett forståelig språk for å kunne si at den registrerte har gitt sitt samtykke basert på spesifikk informasjon.

Et samtykke kan alltid trekkes tilbake

Det som er svært viktig når samtykke brukes som behandlingsgrunnlag, er å være klar over at et samtykke alltid kan trekkes tilbake av den registrerte.

GDPR fastsetter at før det gis samtykke, skal den registrerte opplyses om at vedkommende når som helst kan trekke tilbake samtykke.

Videre skal et samtykket være like lett å trekke tilbake som det er å gi.

Dette medfører at alle virksomheter må gjennomgå sine rutiner om hvordan de tilbyr sine tjenester. De må forsikre seg om at de registrerte på en enkel måte, når som helst, kan trekke sine samtykker tilbake.  

Dokumentasjon

Bruker din virksomhet samtykke som behandlingsgrunnlag, er dere ansvarlige for å bevise at den registrerte har gitt sitt samtykke til behandlingen av personopplysninger om vedkommende. Dere bør kunne dokumentere:

  • at den registrerte har gitt sitt samtykke,
  • hvilken informasjon den registrerte fikk før samtykke ble gitt
  • hva den registrerte har samtykket til

Samtykke kan også gis muntlig, men for din virksomhet kan det by på problemer å påvise at den registrerte da faktisk har gitt et gyldig samtykke i ettertid. Samtykker bør derfor, om mulig, innhentes skriftlig.

Hva bør jeg gjøre nå?

Måten din virksomhet innhenter samtykke på (for eksempel til markedsføring) må oppfylle kravene som stilles gjennom forordningen.

Brudd på de nye og strengere reglene kan medføre svært høye bøter (opp til 4 % av global omsetning).

Videre bør din virksomhet til enhver tid ha god oversikt over hva slags personopplysninger dere behandler, hvilket grunnlag dere har for å behandle personopplysninger, hvor personopplysningene er lagret og hvilke underleverandører dere eventuelt bruker. 

Ved å sikre deg at du følger dagens regelverk, er du bedre forberedt til å håndtere de nye reglene. Last ned vår GDPR og personvernsguide her.

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger

Artikkelen ble opprinnelig publisert 4. desember 2017. Oppdatert januar 2019.