Hvornår skal man bruge samtykkeerklæring?

Samtykkeerklæringer: Hvornår er de nødvendige, og hvordan gør man det rigtigt?

GDPR har sat en stærk standard for håndtering af personoplysninger. Mens mange virksomheder har implementeret procedurer for at beskytte data, er der stadig usikkerhed omkring brugen af samtykkeerklæringer. Denne artikel klarlægger, hvornår en samtykkeerklæring er nødvendig, og hvordan man sikrer, at den opfylder lovens krav.

Hvornår skal du indhente samtykke?

En samtykkeerklæring er nødvendig, når du behandler personoplysninger, der falder under GDPR’s definition. Det betyder, at du skal indhente samtykke, når du indsamler, bruger, opbevarer eller videregiver oplysninger om en identificeret eller identificerbar person. Men det er ikke altid nødvendigt. Samtykke er kun påkrævet, når ingen af de andre retlige grundlag for databehandling gælder. Disse omfatter:

• Kontraktindgåelse: Hvis behandlingen af personoplysninger er nødvendig for at opfylde en kontrakt, du har indgået med den registrerede (f.eks. levering af en vare eller service).
• Lovmæssig forpligtelse: Hvis behandlingen er påkrævet i henhold til lovgivningen (f.eks. bogføringspligten).
• Beskyttelse af vitale interesser: Hvis behandlingen er nødvendig for at beskytte den registreredes liv eller sundhed.
• Offentlig interesse: Hvis behandlingen er nødvendig for at varetage en opgave i samfundets interesse (f.eks. folkesundhed).
• Berettiget interesse: Hvis behandlingen er nødvendig for at varetage virksomhedens legitime interesser, men kun hvis den ikke overstiger den registreredes interesser eller grundlæggende rettigheder og friheder. Dette kræver en nøje afvejning.

Hvornår er samtykke ikke tilstrækkeligt?

Det er vigtigt at understrege, at samtykke ikke er en universel løsning. Hvis du for eksempel behandler personoplysninger til lønregnskab, er samtykke ikke et tilstrækkeligt grundlag. Her er lovmæssig forpligtelse den relevante begrundelse.

Hvordan sikrer du et gyldigt samtykke?

Et gyldigt samtykke skal være:

• Specifikt: Den registrerede skal tydeligt forstå, hvilke data der indsamles, hvordan de bruges, og hvem de deles med. Vage formuleringer er ikke tilstrækkelige.
• Frivilligt: Den registrerede skal kunne nægte at give samtykke uden negative konsekvenser. Det må ikke være en forudsætning for at modtage en ydelse.
• Informeret: Den registrerede skal have tilstrækkelig information til at træffe en velinformeret beslutning.
• Aktivt: Samtykke skal gives aktivt, f.eks. gennem et afkrydsningsfelt. Forudafkrydsede felter er ikke tilladt.
• Let at trække tilbage: Den registrerede skal have en lige så enkel måde at trække sit samtykke tilbage på, som de havde til at give det.

Konklusion:

Brugen af samtykkeerklæringer under GDPR kræver omhu og præcision. Før du indsamler personoplysninger, skal du nøje vurdere, hvilket retligt grundlag der er relevant. Hvis samtykke er det eneste mulige grundlag, skal du sørge for, at det opfylder alle ovenstående krav. At overtræde disse regler kan føre til betydelige bøder og skade virksomhedens omdømme. I tvivlstilfælde bør man søge juridisk rådgivning.