<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=481164012244046&amp;ev=PageView&amp;noscript=1">
Skip to content
GDPR_samtykke
Elisabeth Cramer - Advokat14. juni 20223 min read

GDPR har strenge krav til samtykke om personopplysninger

Etter ikrafttredelsen av personvernforordningen (GDPR) i 2018 gjelder strengere regler for personvern. Blant annet stilles det strenge krav til hva som utgjør et gyldig samtykke til behandling av personopplysninger. Har bedriften din kontroll på dette? I denne bloggen ser vi på hva kravene går ut på. 

GDPR har strenge krav til samtykke

For å kunne behandle personopplysninger, må virksomheter ha det som kalles et behandlingsgrunnlag. Med andre ord et grunnlag som gjør behandlingen av personopplysninger lovlig. Samtykke direkte fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.

Samtykke som gyldig behandlingsgrunnlag er videreført i GDPR, og kravene som stilles er strenge.

Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?

GDPR krever aktiv handling for å gi samtykke

Det er for det første et krav om at den registrerte må gjøre en aktiv handling for å gi sitt samtykke. Et samtykke skal være en frivillig, informert og utvetydig viljesytring fra den registrerte. Forhåndsavkryssede bokser på nettsider eller annen form for inaktivitet oppfyller derfor ikke kravene til samtykke.

Guide: GDPR og personvern

Guiden for bedrifter som behandler personopplysninger. 

Krav om hva det samtykkes til må gis

Ikke bare må et samtykke være gitt frivillig og ved en aktiv handling. Videre må den registrerte også få spesifikk informasjon om hva det samtykkes til før samtykket gis. Slik informasjon skal inkludere:

  • hva din virksomhet bruker personopplysningene til, og
  • hvordan dere behandler innsamlede personopplysninger.

 

GDPR skal sørge for mer åpenhet 

«Transparency», eller åpenhet på norsk, er et av hovedprinsippene bak GDPR. Virksomheter kan ikke lenger «gjemme bort» informasjon om hva slags personopplysninger som samles inn, hva opplysningene skal brukes til og hvordan personopplysningene behandles.

Informasjon skal skrives på et forståelig språk

De registrerte har krav på informasjon og det er også strenge krav til hvordan informasjonen gis. Informasjonen må gis på et lett forståelig språk for å kunne si at den registrerte har gitt sitt samtykke basert på spesifikk informasjon.

Et samtykke skal være mulig å trekke tilbake

Det som er svært viktig når samtykke brukes som behandlingsgrunnlag, er å være klar over at et samtykke alltid kan trekkes tilbake av den registrerte.

GDPR fastsetter at før det gis samtykke, skal den registrerte opplyses om at vedkommende når som helst kan trekke tilbake samtykke.

Videre skal et samtykke være like lett å trekke tilbake som det er å gi. Dette medfører at alle virksomheter må ha kontroll på sine rutiner om hvordan de tilbyr sine tjenester. De må forsikre seg om at de registrerte på en enkel måte, når som helst, kan trekke sitt samtykke tilbake.

Du må kunne dokumentere at det er gitt samtykke

Bruker din virksomhet samtykke som behandlingsgrunnlag, er dere ansvarlige for å bevise at den registrerte har gitt sitt samtykke til behandlingen av personopplysninger om vedkommende. Dere bør kunne dokumentere:

  • at den registrerte har gitt sitt samtykke,
  • hvilken informasjon den registrerte fikk før samtykke ble gitt
  • hva den registrerte har samtykket til

Samtykke kan også gis muntlig, men for din virksomhet kan det by på problemer å påvise at den registrerte da faktisk har gitt et gyldig samtykke i ettertid. Samtykke bør derfor, om mulig, innhentes skriftlig.

Brudd på GDPR kan føre til bøter

Måten din virksomhet innhenter samtykke på (for eksempel til markedsføring) må oppfylle kravene som stilles gjennom forordningen.

Brudd på de de strenge reglene kan medføre svært høye bøter (opp til 4 % av global omsetning).

Sørg for at din virksomhet til enhver tid har god oversikt over hva slags personopplysninger dere behandler, hvilket grunnlag dere har for å behandle personopplysninger, hvor personopplysningene er lagret og hvilke underleverandører dere eventuelt bruker.

Vil du vite mer, last ned vår guide eller ta kontakt med oss. 

Guide: GDPR og personvern

Guiden for bedrifter som behandler personopplysninger. 

 

Artikkelen ble opprinnelig publisert 4. desember 2017. Sist oppdatert juni 2022.

avatar

Elisabeth Cramer - Advokat

Elisabeth har selskapsrett som spesialområde, og bistår med etablering, transaksjoner og i forhandlinger. Hun arbeider også med kontraktsrett, IPR og tvisteløsning for domstolene, med erfaring fra både tingrett og lagmannsrett.

RELATERTE ARTIKLER