PrivatErhverv
Jylland
Sjælland
Bornholm

Persondata: Ny vejledning om samtykke

Datatilsynet og Justitsministeriet har udarbejdet en ny vejledning om det persondataretlige samtykke. Virksomheder og myndigheder kan bruge samtykket som grundlag for behandling af personoplysninger.

Den nye databeskyttelsesforordning (også kaldet persondataforordningen) får virkning fra d. 25. maj 2018. Som led i forberedelserne til denne skæringsdato udsender Datatilsynet og Justitsministeriet løbende nye vejledninger til danske virksomheder og myndigheder.

Den 8. november kom vejledningen om samtykke, som grundlag for behandling af persondata. Vejledningen skal hjælpe virksomheder og myndigheder, der registrerer eller behandler personoplysninger, med at forstå og efterleve de nye regler.

 

Samtykke som behandlingsgrundlag

Når virksomheder og myndigheder registrerer eller behandler personoplysninger, er det et krav, at det sker på baggrund af et behandlingsgrundlag. Et samtykke kan give et sådant behandlingsgrundlag. Men et behandlingsgrundlag kan eksempelvis også være tilfælde, hvor registrering eller behandling er nødvendigt for at gennemføre en ordre, eller hvis det er nødvendigt for at overholde andre lovkrav.

En vigtig pointe er, at et samtykke ikke altid er det mest velegnede grundlag, fx hvis det opnås i en relation, hvor der er en stærk og en svag part, fordi den svage parts samtykke, så ikke altid kan anses som frivilligt. Denne problematik behandler vejledningen med flere eksempler.

 

Mange krav til samtykket   

Når behandling af personoplysninger baseres på et samtykke, er der skrappe krav til indhentningen af selve samtykket. Ifølge forordningen skal et samtykke være frivilligt, specifikt, informeret og utvetydigt. Bliver kravene ikke overholdt, kan samtykket ikke udgøre et behandlingsgrundlag – og dermed er samtykket ugyldigt.

Derudover er det den dataansvarlige virksomhed eller myndighed, der har bevisbyrden for, at et samtykke overholder reglerne i persondataforordningen. Derfor opfordres der er i vejledningen til, at et samtykke bliver indhentet skriftligt.

Endelig er det et  krav, hvis et samtykke skal være gyldigt efter 25. maj 2018, at den registrerede er oplyst om, at samtykket senere kan kaldes tilbage. Uden denne oplysning er selve samtykket ikke gyldigt. Derudover er det netop muligheden for at kalde et samtykke tilbage, der gør, at man bør overveje, om der kan findes et andet grundlag for behandling i forordningens artikel 6 (almindelige oplysninger) eller artikel 9 (”følsomme” oplysninger).

Læs hele vejledningen her

 

Brug tjekliste som hjælp

Vejledningen indeholder også en tjekliste, der kan hjælpe dataansvarlige virksomheder og myndigheder med at overholde kravene om samtykke i persondataforordningen. I tjeklisten opfordres den dataansvarlige virksomhed til at overveje om:

  • I har taget stilling til, at samtykke er den mest hensigtsmæssige hjemmel til at behandle data i den givne situation
  • Samtykkeanmodningen er tydelig og adskilt fra øvrig tekst som fx salgs- og leveringsbetingelses-vilkår
  • I indhenter altid samtykke via et aktivt tilvalg fra den samtykkendes side
  • I indhenter aldrig samtykke via forud-afkrydsede samtykkefelter eller på anden vis, der baserer sig på den samtykkendes passivitet
  • Samtykket er formuleret i et klart og enkelt sprog, som er letforståeligt for en person i målgruppen
  • Samtykket specificerer formålet med den påtænkte behandling af data
  • Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke for hvert formål
  • Navnet på den/de dataansvarlige fremgår af samtykketeksten
  • I oplyser om muligheden for at trække samtykket tilbage
  • Der er ikke negative konsekvenser forbundet med ikke at give samtykke
  • Samtykke er ikke en betingelse for levering af en vare/ydelse
  • Hvis I udbyder online tjenester direkte rettet mod børn under 13 år, anvender I kun samtykke i det omfang, det er muligt at tjekke barnets alder, og I indhenter forældresamtykke, hvis barnet er under 13 år.
  • I kan dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blev givet, hvad den enkelte har samtykket til, og at samtykket reelt er afgivet frivilligt
  • I følger regelmæssigt op på, at samtykket stadig er aktuelt og korrekt, og at formålet med behandlingen eller selve behandlingen ikke har ændret sig

13 kommentarer

Tina Jensen

Hej, Jf. GDPR, er det så lovligt at udsende nyhedsbreve til dem har afgivet "explicit consent", eller skal deres samtykke være et "Double Opt-in"? Og er der noget man skal være opmærksom på hvis man skifter email system? Man skal selvfølgelig have styr på sin databehandleraftale, og nok et af de vigtigere punkter lige nu - om der er tale om overførsel til 3. land. Men hvis man har styr på disse ting i sin GDPR- og privatlivspolitikker, og informerer om dette på sit website, er der så noget i forhold til ens subscribers man skal være opmærksom på? På forhånd tak. Mvh Tina

Karsten Holt

Hej Tina Med "double opt-in" går jeg ud fra, at du tænker på den model, hvor man sender en mail til den opgivne mailadresse og beder modtageren bekræfte samtykket, så man sikre, at adressen er korrekt og virker. Der er ikke noget krav i GDPR om en sådan fremgangsmåde, men det er en anbefaling, særligt hvis mailen skal bruges til at kommunikere personoplysninger, der er specifikke for brugeren.

Henriette

Hvor længe er et samtykke til behandling hos en speciallæge vanligvis gældende? Mvh. Henriette

Karsten Holt

Hej Henriette Jeg er ikke sikker på, at jeg forstår spørgsmålet. Jeg går ikke ud fra, at speciallægen behandler dig mod din vilje? Hvis du tænker på perioden for opbevaring af journaloplysninger, så har det intet med samtykke at gøre. Samtykke er kun ét af flere mulige grundlag for behandling af personoplysninger. I dette tilfældet er grundlaget opfyldelse af lovkrav, da læger har pligt til at gemme sundhedsjournaler i mindst 10 år. Venlig hilsen Karsten Holt

Henriette

Hej Karsten Jeg arbejder hos en speciallæge og har i den forbindelse søgt information i forhold til, hvor længe et underskrevet samtykke fra patient til eksempelvis bestilling af medicin, blodprøver samt afsendelse af reminder-sms og udskrivningsbrev er glædende. Jeg har hørt, at det er gældende et år (dog at patienten til enhver tid kan tilbagekalde samtykket), men kan ikke finde noget juridisk på skrift omkring det. Pft. Mvh. Henriette

Karsten Holt

Hej Henriette Der er ingen regel om, at samtykker bortfalder efter en bestemt periode, så de er som udgangspunkt gældende, til de trækkes tilbage. Der er dog en anbefaling om, at man ikke benytter et ældre samtykke til direkte markedsføring, hvis det ikke har været benyttet et år, men benyttes det løbende, kan det fortsætte. Jeg mener ikke det samme gør sig gældende i forhold til samtykke til lægen, men der er mig bekendt ingen praksis herom.

Peter

Hej Hvor detaljeret skal et samtykke være? Kan man nøjes med at skrive "samarbejdspartnere" eller skal alle partnere, der evt. kan modtage data, nævnes med navn (evt. cvrnr.)? Kan man fraskrive sig ansvaret for disse partnere i samtykket? Jeg har forstået det sådan, at den dataansvarlige også har ansvaret for egen databehandler og evt. partnere. Og skal føre tilsyn med disse. Hvis en af partnerne f.eks. befinder sig i USA og denne partner ikke har en Privacy Shield aftale. Hvordan skal man så forholde sig hvis man ønsker at få data slettet? Med venlig hilsen Peter

Karsten Holt

Hej Peter Svaret på dit første spørgsmål kan du finde i Datatilsynets vejledning om samtykke - jeg kan dog godt afsløre, at det ikke er nok at skrive "samarbejdspartnere" uden at kvalificere dem nærmere: https://www.datatilsynet.dk/media/7924/samtykke.pdf Nej, du kan ikke bare fraskrive dig dit ansvar som dataansvarlig - det ville være alt for nemt, Hvis du overfører personoplysninger til lande udenfor EU/EØS, skal der være et overførselsgrundlag. Det er ikke kun relevant ved sletning. Du kan læse mere om tredjelandsoverførsler her: https://www.datatilsynet.dk/media/6564/overfoersel-til-tredjelande.pdf Du er selvfølgelig velkommen til at kontakte mig, hvis du har brug for bistand.

Mads Nielsen

Hej Jeg kører en håndbold klub og bruge billederne af børnene på hjemmesiden og Facebook jeg har samtykkeerklæring på dem MEN hvor lange tid er de gældende Mvh mads

Karsten Holt

Hej Mads Et samtykke er som sådan ikke tidsbegrænset, men du skal altid - samtykke eller ej - vurdere, hvor længe det er rimeligt at behandle personoplysninger. Det giver ikke mening at have meget gamle fotos af for længst udmeldte medlemmer, så jeg vil anbefale, at du opdaterer hjemmeside med nye fotos med få års mellemrum. Du kan i øvrigt læse mere her om brug af fotos på hjemmesider mv. - Datatilsynet har lige ændret lidt i deres praksis: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/sep/aendret-praksis-i-forhold-til-billeder-paa-internettet/

ML

Hejsa Jeg har nu ledt hele google igennem og kan stadig ikke finde et klart svar på spørgsmålet her: Hvor langt tid gælder et generelt samtykke, givet til beskæftigelsesforvaltningen. Jeg har åbenbart for lidt under 3 år siden underskrevet en samtykkeerklæring da jeg påbegyndte et ressourceforløb. Et samtykke der giver kommunen ret til at indhente, dele mv. ALLE opl. om mig. Jeg havde fuldstændigt glemt at sådan en var underskrevet og nu viser det sig, at de har brugt dette samtykke uden min viden i en afgørelsessag - havde de spurgt mig idag, blev det et stort NEJ til samtykke. Kan de juridisk og etisk bruge et samtykke der er næsten 3 år gammelt og hvor kan finde jeg noget information vedr. dette

elis

Hej, Jeg har massage terapi klinik. Jeg bruger online booking system, hvor der er et krav at give samtykke ved booking af tid hos mig. Det er en indstilling, som bookingsystemet har, så jeg få mine patienters samtykke skriftligt og elektronisk hver gang når de har booket. Også bliver de vist en tekst angående Samtykke forhold ved booking (der står hvilke info man giver, formål osv. også at man kan trække sin samtykke tilbage når som helst). Er det ok at det er et krav at give samtykke ved booking? Jeg er nødt til at hente helbredsoplysninger af mine patienter så jeg kan give dem relevant terapi. MVH, Elis

Karsten Holt

Hej Elis Du kan godt bede om samtykke i forbindelse med booking - det er vel næsten det eneste tidspunkt det giver mening. Men hvad går samtykket på? Og hvad gør du, hvis et samtykke ikke gives - kan du så behandle alligevel? Og hvordan håndterer du sletning af oplysninger, hvis samtykket trækkes tilbage. Uanset hvad du anvender som grundlag for behandling af personoplysninger skal du huske at opfylde din oplysningspligt efter GDPR artikel 13 og 14. Det kan du læse mere om her: https://www.advodan.dk/erhverv/persondata/registreredes-rettigheder/ Venlig hilsen Karsten

Bettina

Hej Jeg arbejder i køkkenet på et plejehjem og har nogle spørgsmål ang. 1. Må mine og mine kollegas arbejdestider med vores aften, dag og weekendvagter må de godt hænge på en opslagstavle i køkkenet. 2. Må vi godt havde en tavle med bolig nr. På vores ældre beboer som får speciel diæter I følge persondataloven ? Mvh. Bettina

Karsten Holt

Hej Bettina Persondatareglerne er ikke til hinder for saglig og fornuftig behandling af persondata, der tjener et forretningsmæssigt formål. Så JA, I må godt have vagtplanen hængende et sted på arbejdspladsen, hvor medarbejderne kan se den. Og I må godt have en oversigt over, hvilke boliger, der skal have særlig kost. Det forudsættes i begge tilfælde, at dokumenterne kun er tilgængelige for dem, der har et behov for det, dvs. medarbejderne i køkkenet, og at de ikke indeholder andre personoplysninger end de absolut nødvendige.

Helle

Hej Som ansat i Region Hovedstaden og ved indhentning af relevante oplysninger i forbindelse med borgernes henvendelse. Er det nok at borgere skriftligt tilkendegiver at de giver samtykke til indhentning af oplysninger fra fx speciallæger, eller er det et krav at borgerne præcisere hvilken speciallæge der gives samtykke til? (Det er på samtykkeerklæringen muligt at skrive hvem der gives samtykke til, men nogle borgere vælger kun at sætte kryds ved fx speciallæger og har altså valgt ikke at præcisere nærmere).

Karsten Holt

Hej Helle Et samtykke kan efter min opfattelse godt dække læger/speciallæger generelt. Det afgørende her er, at den registrerede netop giver samtykke til at indhente oplysninger fra læger - og dermed til at indhente helbredsoplysninger. Et mere generelt samtykke til at indhente oplysninger fra tredjemand vil som udgangspunkt kun omfatte almindelige personoplysninger, da de særlige kategorier - herunder helbred - (GDPR art. 9) forudsætter et specifikt samtykke. Venlig hilsen Karsten Holt

Henrik Sørensen

Kan statsforvaltningen udlevere alle ens private (økonomiske) oplysninger til sin tidligere exkone ? Hun er vel ikke underlagt nogen former for tavshedspligt og kan vel distrbuere oplysningerne som hun vil ?

Karsten Holt

Hej Henrik Det kan statsforvaltningen selvfølgelig kun, hvis de har et lovgrundlag for at gøre det. Jeg kan forestille mig, at det kan være relevant, hvis ex-konen har bedt om aktindsigt i en afgørelse om fastsættelse af børnebidrag etc., hvor dine økonomiske oplysninger indgår som en del af beslutningsgrundlaget. Du er altid i din gode ret til at spørge, hvilke oplysninger, de har udleveret, og på hvilket grundlag.

stine

Hej med jer. Vi er en restaurant, der indhenter navn, email og telefonnummer på dem, der booker (som behandlingsgrundlag for deres reservation). Men hvor længe har vi lov til at beholde data, hvis vi ikke direkte har spurgt om det? Vores hovekontor i Sverige mener, at der gælder en regel om at vi må have dem i 365 dage og at det implicitte samtykke også dækker, at vi kan sende nye tilbud ud til dem (i henhold til markedsføringsloven §10, stk 2.). Findes der en 365 dages-regel i DK?

Karsten Holt

Hej Stine Der er ikke nogen fast regel for, hvor længe I må gemme sådanne oplysninger, men I skal kunne argumentere for, at det er nødvendigt at gemme. Det giver mening at få mailadresse, hvis man booker online, så I kan bekræfte bookingen, men hvis man booker pr. telefon, må mobilnummer være tilstrækkeligt. I må jo ikke indhente flere personoplysninger end nødvendigt, og I må ikke gemme dem længere, end de er nødvendigt. Undtagelsen i markedsføringslovens § 10, stk. 2 (for eksisterende kunder) forudsætter, at I ved indhentelse af email-adressen gør kunden opmærksom på, at I vil bruge den til markedsføring, samt at de til enhver tid kan melde fra igen. Der er ikke noget, der hedder et implicit samtykke. Samtykke skal være specifikt og udtrykkeligt.

Frank

Hej Jeg køre en kampsport klub hvor medlemmer der melder sig ind udfylder en indmeldelse seddel med navn - adr - e-mail - samt cprnr og det er på egen ansvar at træne der. Jeg taster det ind på betalingsservice web hos Nets som så sender Giro kort ud..

Christian

I forhold til GDPR og de ændringer jeg laver til indhentning af samtykke og opdatering af min Privatlivspolitik, skal det så formuleres på dansk, eller må jeg godt skrive det på engelsk? F.eks. kan jeg se at GoMore, har en overskrift der hedder Privatlivspolitik, men når jeg klikker mig ind på den så står den på engelsk - er dette ok (https://www.sundhed.dk/borger/patienthaandbogen/sociale-ydelser/sociale-rettigheder/rettigheder-i-det-sociale-system/ret-til-samtykke-ved-indhentning-af-oplysninger/)?

Karsten Holt

Hej Christian Der er ikke specifikke sprogkrav i GDPR, men det er et krav, at det er let forståeligt for den målgruppe, det retter sig til. Henvender du dig til danske forbrugere, bør det skrives på dansk. Er det B2B, hvor du handler både i og udenfor landet, går det måske an med engelsk, men det er en konkret vurdering.

Ib Madsen

Hej Kan en kommune i forbindelse med et projekt gennemføre det uden at have mit samtykke? Kommunen vil forpligte mig økonomisk og udsende mine persondata (navn, adresse, matrikelnr. på sommerhus m.m.) på en liste, som andre sommerhusejere kan se. Kommunen vil også videresende mine oplysninger til taksationskommision, når jeg gør indsigelser mod projekt. Ib Madsen

Karsten Holt

Hej Ib Det første spørgsmål vedrører ikke persondata. Mht. listen må du lige præcisere, hvad det er for en liste, og i hvilken sammenhæng, den sendes. Er der på listen personoplysninger, som ikke er offentlig tilgængelige via tinglysning.dk?

Ib Madsen

Hej Karsten Det er et bilag kaldet "Ansøgning om reguleringsprojekt", hvor der står anført, at det er Landvindingslagets medlemmer der har nytte af projektet. Ejerlav, matrikelnr., ejendomsnr., ejer pr. marts 2016, adresse og postnr. samt antal anparter er angivet. Jeg har ikke givet mit samtykke til projekt. Projektet er ikke tinglyst og derfor ikke offentlig tilgængelig.