Etter ikrafttredelsen av personvernforordningen i 2018 gjelder strengere regler for personvern. Blant annet stilles det strenge krav til hva som utgjør et gyldig samtykke til behandling av personopplysninger.
Strengt krav til samtykke
GDPR er personvernforordningen som trådte i kraft som norsk lov 20. juli 2018.
For å kunne behandle personopplysninger, må virksomheter ha det som kalles et behandlingsgrunnlag. Med andre ord et grunnlag som gjør behandlingen av personopplysninger lovlig.
Samtykke direkte fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.
Samtykke som gyldig behandlingsgrunnlag er videreført i GDPR, og kravene som stilles er strenge.
Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?
Aktiv handling
Det er for det første et krav om at den registrerte må gjøre en aktiv handling for å gi sitt samtykke. Et samtykke skal være en frivillig, informert og utvetydig viljesytring fra den registrerte. Forhåndsavkryssede bokser på nettsider eller annen form for inaktivitet oppfyller derfor ikke kravene til samtykke.
Mer informasjon
Ikke bare må et samtykke være gitt frivillig og ved en aktiv handling. Videre må den registrerte også få spesifikk informasjon om hva det samtykkes til før samtykket gis. Slik informasjon skal inkludere:
- hva din virksomhet bruker personopplysningene til, og
- hvordan dere behandler innsamlede personopplysninger.
Transparency / åpenhet
«Transparency», eller åpenhet på norsk, er et av hovedprinsippene bak GDPR. Virksomheter kan ikke lenger «gjemme bort» informasjon om hva slags personopplysninger som samles inn, hva opplysningene skal brukes til og hvordan personopplysningene behandles.
Forståelig språk
De registrerte har krav på informasjon og det er også strenge krav til hvordan informasjonen gis.
Informasjonen må gis på et lett forståelig språk for å kunne si at den registrerte har gitt sitt samtykke basert på spesifikk informasjon.
Et samtykke kan alltid trekkes tilbake
Det som er svært viktig når samtykke brukes som behandlingsgrunnlag, er å være klar over at et samtykke alltid kan trekkes tilbake av den registrerte.
GDPR fastsetter at før det gis samtykke, skal den registrerte opplyses om at vedkommende når som helst kan trekke tilbake samtykke.
Videre skal et samtykke være like lett å trekke tilbake som det er å gi.
Dette medfører at alle virksomheter må ha kontroll på sine rutiner om hvordan de tilbyr sine tjenester. De må forsikre seg om at de registrerte på en enkel måte, når som helst, kan trekke sitt samtykke tilbake.
Dokumentasjon
Bruker din virksomhet samtykke som behandlingsgrunnlag, er dere ansvarlige for å bevise at den registrerte har gitt sitt samtykke til behandlingen av personopplysninger om vedkommende. Dere bør kunne dokumentere:
- at den registrerte har gitt sitt samtykke,
- hvilken informasjon den registrerte fikk før samtykke ble gitt
- hva den registrerte har samtykket til
Samtykke kan også gis muntlig, men for din virksomhet kan det by på problemer å påvise at den registrerte da faktisk har gitt et gyldig samtykke i ettertid. Samtykke bør derfor, om mulig, innhentes skriftlig.
Hva bør jeg gjøre nå?
Måten din virksomhet innhenter samtykke på (for eksempel til markedsføring) må oppfylle kravene som stilles gjennom forordningen.
Brudd på de de strenge reglene kan medføre svært høye bøter (opp til 4 % av global omsetning).
Videre bør din virksomhet til enhver tid ha god oversikt over hva slags personopplysninger dere behandler, hvilket grunnlag dere har for å behandle personopplysninger, hvor personopplysningene er lagret og hvilke underleverandører dere eventuelt bruker.
Les mer om hvordan vi kan hjelpe deg på nettsiden: Personvern og GDPR
Artikkelen ble opprinnelig publisert 4. desember 2017. Sist oppdatert juni 2022.