Den generelle databeskyttelsesforordning (GDPR) er nu grundlaget for lovgivningen om online databeskyttelse. Da forordningen regulerer alle EU-borgeres personoplysninger, gælder den ikke kun for EU-baserede organisationer. Faktisk er ethvert websted, som en EU-borger potentielt kan få adgang til, påkrævet for at opfylde GDPR-standarderne
Det er især relevant for GDPR-samtykkekravene.
Samtykke er kernen i GDPR. Det primære mål med forordningen er at give EU-borgerne større magt over deres personoplysninger. Det betyder at vide, hvad der er indsamlet og være i stand til at bede om at få det slettet.
Men hvad er de oprindelige samtykkekrav? Og hvordan møder du dem?
Hvad er gyldigt, aktivt samtykke?
Samtykke er et simpelt koncept: Du skal bede om tilladelse til at indhente eller indsamle data fra en person. I henhold til GDPR artikel 4 defineres samtykke som:
“Samtykke fra den registrerede betyder enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved han eller hun ved en erklæring eller ved en klar bekræftende handling tilkendegiver samtykke til behandling af personoplysninger, der vedrører ham eller hende.”
Det etablerer et par grundlæggende ting:
- Samtykket skal gives frivilligt af den person, hvis data det er.
- Samtykke kan ikke tvinges eller vildledes – forsøgspersonen skal fuldt ud forstå, hvad de giver samtykke til.
- Forsøgspersonen skal aktivt samtykke – dvs. passivt samtykke eller samtykke ved tavshed, hvorved brugen af en hjemmeside tages som samtykke, er ikke tilladt.
Hvis nogen af disse grundlæggende principper ikke følges, betragtes samtykket ikke som gyldigt. Det åbner organisationer for betydelige bøder og sanktioner.
Faktisk overtrådte Google berømt samtykkebetingelserne. Som følge heraf blev de ramt af en bøde på 50 millioner euro. De franske databeskyttelsesmyndigheder sagde, at Googles samtykkemekanisme hverken var “informeret” eller “utvetydig” eller “specifik”.
Hvad er betingelserne for samtykke?
GDPR præciserer definitionen af samtykke i artikel 7 ved at fastsætte de nødvendige betingelser for samtykke (områder med fed skrift fremhæver nøglepunkter):
- Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet sit samtykke til behandling af vedkommendes personoplysninger.
- Hvis den registreredes samtykke gives i forbindelse med en skriftlig erklæring, der også vedrører andre forhold, indgives anmodningen om samtykke på en måde, der klart kan skelnes fra de øvrige forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.
- Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke påvirker ikke lovligheden af behandling, der er baseret på samtykke før tilbagetrækningen. Inden samtykket gives, underrettes den registrerede herom. Det skal være lige så let at trække sit samtykke tilbage som at give det.
- Ved vurderingen af, om samtykke er givet frivilligt, tages der størst muligt hensyn til, om bl.a. opfyldelsen af en kontrakt, herunder levering af en tjenesteydelse, er betinget af samtykke til behandling af personoplysninger, der ikke er nødvendig for opfyldelsen af den pågældende kontrakt.
Disse præciseringer tilføjer yderligere forbehold til samtykkekriterierne i GDPR, nemlig:
- Folk kan til enhver tid trække deres samtykke tilbage.
- Samtykke skal kunne påvises.
- Det skal være klart, hvad en person samtykker i, når andre forhold er omfattet.
- Kontrakter bør kun indeholde samtykke til indsamling af relevante data.
Dette gør det muligt for GDPR at forblive i overensstemmelse med anden EU-lovgivning, såsom retten til at blive glemt.
Hvordan kan samtykke gives frivilligt?
At “give frit” samtykke betyder at gøre det uden tvang. GDPR går dog videre. I betragtning 42 hedder det: “Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke er i stand til at nægte eller trække sit samtykke tilbage, uden at det er til skade for den pågældende.” Sidstnævnte klausul udvider samtykket til at omfatte transaktioner, hvor et betydeligt økonomisk tab forhindrer en person i at nægte.
Som det fremgår af 43. betragtning, skal der desuden gives frivilligt samtykke til hver enkelt databehandling. For eksempel ved hjælp af en e-mail-adresse til markedsføring og en IP-adresse til webanalyse. Ingen af delene kan sammenfattes i et enkelt samtykke.
Hvordan er samtykke specifikt og utvetydigt?
Det førstnævnte eksempel fremhæver et andet centralt aspekt: specificitet. Samtykket må ikke være bredere end nødvendigt og bør forklare hver dataanvendelse separat.
Så brugen af data til markedsføringsformål skal forklares efterfulgt af webanalyse. Dette gør det muligt for dataejeren at være fuldt informeret om konsekvenserne af samtykke.
Samtykke kan heller ikke være entydigt, for eksempel “tavshed, forudafkrydsede felter eller inaktivitet.” I stedet skal samtykke tydeligt angive den registreredes accept af vilkårene.
Hvordan informeres samtykke?
Dette er en af de mest almindelige faldgruber ved samtykkeformularer. Som GDPR siger, skal samtykket skrives i “en forståelig og let tilgængelig form ved hjælp af et klart og almindeligt sprog.” Det betyder, at organisationer ikke kan pynte samtykkeformularer i diffus, vildledende teknisk jargon eller legalese.
I stedet skal enhver være i stand til at forstå samtykkeformularen uanset forudgående ekspertise.
Dette var særlig vigtigt i Google-sagen. Her tog de franske myndigheder afstand fra udvandingen af oplysninger om behandlingsoperationer til annoncepersonalisering. Uden tilstrækkelig information kunne den registrerede således ikke give sit informerede samtykke.
Konklusion
Datasamtykke er forståeligt nok komplekst. Faktisk rapporterede en ud af fem respondenter i en undersøgelse, at fuldstændig overholdelse af GDPR er “umulig”.
Det er simpelthen ikke tilfældet.
Skriv hellere dine samtykkeerklæringer i et klart og letforståeligt sprog, hvor du forklarer de indsamlede data, og hvad de vil blive brugt til – klart afgrænser hver brug. Giv derefter registrerede mulighed for at trække deres samtykke tilbage.
For yderligere oplysninger henvises til selve forordningen på 88 sider .
Kilder:
https://gdpr.eu/what-does-it-stand-for/
https://gdpr.eu/gdpr-consent-requirements/
https://www.gdpreu.org/the-regulation/key-concepts/consent/