Etter ikrafttredelsen av personvernforordningen (GDPR) i 2018 gjelder strengere regler for personvern. Blant annet stilles det strenge krav til hva som utgjør et gyldig samtykke til behandling av personopplysninger. Har bedriften din kontroll på dette? I denne bloggen ser vi på hva kravene går ut på.
For å kunne behandle personopplysninger, må virksomheter ha det som kalles et behandlingsgrunnlag. Med andre ord et grunnlag som gjør behandlingen av personopplysninger lovlig. Samtykke direkte fra den registrerte (vedkommende personopplysningene handler om) er et praktisk behandlingsgrunnlag.
Samtykke som gyldig behandlingsgrunnlag er videreført i GDPR, og kravene som stilles er strenge.
Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?
Det er for det første et krav om at den registrerte må gjøre en aktiv handling for å gi sitt samtykke. Et samtykke skal være en frivillig, informert og utvetydig viljesytring fra den registrerte. Forhåndsavkryssede bokser på nettsider eller annen form for inaktivitet oppfyller derfor ikke kravene til samtykke.
Ikke bare må et samtykke være gitt frivillig og ved en aktiv handling. Videre må den registrerte også få spesifikk informasjon om hva det samtykkes til før samtykket gis. Slik informasjon skal inkludere:
«Transparency», eller åpenhet på norsk, er et av hovedprinsippene bak GDPR. Virksomheter kan ikke lenger «gjemme bort» informasjon om hva slags personopplysninger som samles inn, hva opplysningene skal brukes til og hvordan personopplysningene behandles.
De registrerte har krav på informasjon og det er også strenge krav til hvordan informasjonen gis. Informasjonen må gis på et lett forståelig språk for å kunne si at den registrerte har gitt sitt samtykke basert på spesifikk informasjon.
Det som er svært viktig når samtykke brukes som behandlingsgrunnlag, er å være klar over at et samtykke alltid kan trekkes tilbake av den registrerte.
GDPR fastsetter at før det gis samtykke, skal den registrerte opplyses om at vedkommende når som helst kan trekke tilbake samtykke.
Videre skal et samtykke være like lett å trekke tilbake som det er å gi. Dette medfører at alle virksomheter må ha kontroll på sine rutiner om hvordan de tilbyr sine tjenester. De må forsikre seg om at de registrerte på en enkel måte, når som helst, kan trekke sitt samtykke tilbake.
Bruker din virksomhet samtykke som behandlingsgrunnlag, er dere ansvarlige for å bevise at den registrerte har gitt sitt samtykke til behandlingen av personopplysninger om vedkommende. Dere bør kunne dokumentere:
Samtykke kan også gis muntlig, men for din virksomhet kan det by på problemer å påvise at den registrerte da faktisk har gitt et gyldig samtykke i ettertid. Samtykke bør derfor, om mulig, innhentes skriftlig.
Måten din virksomhet innhenter samtykke på (for eksempel til markedsføring) må oppfylle kravene som stilles gjennom forordningen.
Brudd på de de strenge reglene kan medføre svært høye bøter (opp til 4 % av global omsetning).
Sørg for at din virksomhet til enhver tid har god oversikt over hva slags personopplysninger dere behandler, hvilket grunnlag dere har for å behandle personopplysninger, hvor personopplysningene er lagret og hvilke underleverandører dere eventuelt bruker.
Vil du vite mer, last ned vår guide eller ta kontakt med oss.
Artikkelen ble opprinnelig publisert 4. desember 2017. Sist oppdatert juni 2022.