GDPR_samtykke.jpg

Fra medio 2018 vil det komme nye og strengere regler for personvern. Blant annet vil det bli stilt strengere krav til hva som utgjør et gyldig samtykke til behandling av personopplysninger. Er din virksomhet forberedt?

Strengere krav til samtykke

GDPR er den nye personvernforordningen som vil gjelde som ny norsk lov fra medio 2018.

For å kunne behandle personopplysninger, må virksomheter ha det som kalles et behandlingsgrunnlag. Med andre ord et grunnlag som gjør behandlingen av personopplysninger lovlig.

Samtykke direkte fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.

Etter dagens lovverk må et samtykke være informert, uttrykkelig og frivillig.

I henhold til GDPR vil samtykke fortsatt være et gyldig behandlingsgrunnlag, men det vil bli stilt strengere krav.  

Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?

Aktiv handling

Det blir for det første et krav om at den registrerte må gjøre en aktiv handling for å gi sitt samtykke. Et samtykke skal være frivillig og uttrykk for en bevisst og aktiv handling fra den registrertes side.

Forhåndsavkryssede bokser på nettsider eller annen form for inaktivitet vil dermed ikke oppfylle de nye kravene til samtykke. Mange virksomheter må derfor endre måten de innhenter samtykke på, særlig på sine nettsider og andre elektroniske løsninger.

Her kan du laste ned gratis guide om GDPR og personvern – for virksomheter som behandler personopplysninger.

Mer informasjon

Ikke bare må et samtykke være gitt frivillig og ved en aktiv handling. Den registrerte må også få spesifikk informasjon om hva det samtykkes til før samtykket gis. Slik informasjon skal inkludere:

  • hva din virksomhet bruker personopplysningene til, og
  • hvordan dere behandler innsamlede personopplysninger.

Transparency

«Transparency» er et av hovedprinsippene bak GDPR. Virksomheter kan ikke lenger «gjemme bort» informasjon om hva slags personopplysninger som samles inn, hva opplysningene skal brukes til og hvordan personopplysningene behandles.    

Forståelig språk

Ikke bare har de registrerte krav på mer informasjon, med GDPR blir det også strengere krav til hvordan informasjonen gis.

Informasjonen må gis på et lett forståelig språk for å kunne si at den registrerte har gitt sitt samtykke basert på spesifikk informasjon.

Et samtykke kan alltid trekkes tilbake

Det som er svært viktig når samtykke brukes som behandlingsgrunnlag, er å være klar over at et samtykke alltid kan trekkes tilbake av den registrerte.

GDPR fastsetter at før det gis samtykke, skal den registrerte opplyses om at vedkommende når som helst kan trekke tilbake samtykke.

Videre skal et samtykket være like lett å trekke tilbake som det er å gi.

Dette medfører at alle virksomheter må gå gjennom sine rutiner og hvordan de tilbyr sine tjenester for å forsikre seg om at det er tilrettelagt for at de registrerte på en enkel måte, når som helst kan trekke sine samtykker tilbake.  

Dokumentasjon

Bruker din virksomhet samtykke som behandlingsgrunnlag, er dere ansvarlige for å bevise at den registrerte har gitt sitt samtykke til behandlingen av personopplysninger om vedkommende. Dere bør kunne dokumentere:

  • at den registrerte har gitt sitt samtykke,
  • hvilken informasjon den registrerte fikk før samtykke ble gitt
  • hva den registrerte har samtykket til

Samtykke kan også gis muntlig, men for din virksomhet kan det by på problemer å påvise at den registrerte da faktisk har gitt et gyldig samtykke i ettertid. Samtykker bør derfor innhentes skriftlig om mulig.

Hva bør jeg gjøre nå?

Måten din virksomhet innhenter samtykke på (for eksempel til markedsføring) bør nå gjennomgås slik at dere får tilstrekkelig med tid til å vurdere hva dere må endre for å oppfylle de nye kravene som kommer.

Brudd på de nye og strenger reglene som kommer kan medføre svært høye bøter (opp til 4 % av global omsetning).

Videre bør din virksomhet også kartlegge hva slags personopplysninger dere behandler, hvilket grunnlag dere har for å behandle personopplysninger, hvor personopplysningene er lagret og hvilke underleverandører dere eventuelt bruker. Det er også viktig at dere ser på rutinene dere har i dag og hvordan disse må endres for å oppfylle GDPR fra medio 2018. 

Ved å sikre deg at du følger dagens regelverk, er du bedre forberedt til å håndtere de nye reglene. Last ned vår GDPR og personvernsguide her.

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger