Samtykke

Introduktion

Samtykke er et af de behandlingsgrundlag som gør, at man lovligt kan behandle personoplysninger.

For at et samtykke er gyldigt, skal det dog leve op til visse betingelser. Og så skal man være i stand til at dokumentere, at man har indhentet gyldigt samtykke.

Hvornår bør man indhente et samtykke?

En udbredt misforståelse er, at man som regel bør indhente et samtykke, før man påbegynder en behandling af personoplysninger. Nogle vælger også at indhente et samtykke for en sikkerheds skyld. Denne praksis er imidlertid ikke nødvendigvis særligt god eller korrekt. Som hovedregel bør man indhente samtykke i de tilfælde, hvor man ikke kan gøre brug af andre behandlingsgrundlag. Læs mere om disse i afsnittet “Behandlingsgrundlag“.

​Når en registreret afgiver et samtykke, har vedkommende også ret til at tilbagekalde det igen – og så kan man ikke længere foretage den behandling, som samtykket gav lov til.

Et eksempel på, når samtykke er et forkert behandlingsgrundlag, er, at man indhenter sine medarbejderes samtykke til behandling af CPR-numre i forbindelse med deres ansættelse. Som arbejdsgiver er man forpligtet til at indberette lønoplysninger til SKAT. Uden et CPR-nummer vil det ikke kunne lade sig gøre – og skatteindberetningsloven siger, at behandling af CPR-nummer er påkrævet, når der skal indberettes lønoplysninger. Man kan derfor – som arbejdsgiver – ikke overholde sin indberetningspligt, hvis medarbejderen skulle trække sit samtykke tilbage. Her vil det rigtige behandlingsgrundlag være, at behandling af CPR-nummer kan ske på baggrund af anden lovgivning – ikke samtykke.

​Dokumentér, at der er indhentet samtykke

Som dataansvarlig skal man kunne påvise, at man har indhentet samtykke. Med andre ord: det er ikke nok, at man har indhentet samtykket – man skal også kunne bevise, at man har indhentet det. Der er ingen krav til, hvordan man dokumenterer det. Som minimum bør man dokumentere samtykkets ordlyd, dato for indhentelse – og selvfølgeligt hvem, den registrerede er, der har afgivet sit samtykke.

​Hvis samtykket på et tidspunkt bliver trukket tilbage af den registrerede, skal man sørge for, at dokumentation kun bliver opbevaret så længe, det er nødvendigt. Det vil give mening at opbevare dokumentationen i en begrænset periode efter tilbagetrækningen, da der kan være et reelt formål med at kunne bevise, at man på et tidspunkt har indhentet et korrekt samtykke. Læs mere om dét i afsnittet “Slettefrister“.

​Hvis samtykke bliver trukket tilbage af den registrerede

Et samtykke ifølge databeskyttelsesforordningen (GDPR) skal kunne tilbagetrækkes for at være gyldigt. Når en registreret trækker sit samtykke tilbage, betyder det, at man ikke længere må fortsætte den behandling af personoplysninger, som der blev givet samtykke til.

Det er meget vigtigt, at man har oplyst den registrerede om, at samtykket kan trækkes tilbage – ellers er samtykket ikke gyldigt. Dén information skal man give, samtidigt med, at man indhenter samtykket.

​Når et samtykke tilbagetrækkes, skal man overveje helt at slette oplysningerne. Man må nemlig kun opbevare oplysningerne, hvis man har et (andet) lovligt grundlag for det. Selv en opbevaring af oplysninger, selvom de ikke bruges til noget, er en behandling i lovens forstand.

​Et eksempel på en almindelige situation kan være, at man som erhvervsdrivende kan tilbyde sine kunder at skrive sig op til virksomhedens nyhedsbrev. Det kræver et samtykke, hvor kunden afgiver sin emailadresse – og måske også sit navn – og samtykker til, at oplysningerne må anvendes til at sende markedsføringsemails. Hvis den samme kunde bestiller en vare i virksomhedens webshop, vil virksomheden have brug for at behandle kundens kontaktoplysninger – navn, adresse og email – for at sende varen. Bestillingen anses som en kontraktindgåelse mellem kunden og virksomheden.

Hvis kunden tilbagetrækker sit samtykke til markedsføringsemails, må virksomheden ikke længere sende markedsføringsemails til kunden. Men virksomheden må gerne behandle de samme oplysninger til at sende varen fra webshoppen, da behandlingsgrundlaget her er kontraktindgåelse – og ikke samtykke. Læs mere i afsnittet “Behandlingsgrundlag“.

Kravene til indholdet af samtykke

For at et samtykke er gyldigt, er der visse krav til formen og indholdet:

Tidspunkt

Samtykket skal være indhentet, inden behandlingen af personoplysninger påbegyndes.

Formen

Et samtykke kan være skriftligt eller mundtligt – så længe det er tydeligt, hvad samtykket indebærer. Men husk på, at samtykket skal kunne dokumenteres, og det kan være vanskeligt, hvis det er afgivet mundtligt.

Frivillighed

Et samtykke skal afgives frivilligt – dvs. uden tvang eller betingelser, og der skal være et frit valg mellem at give samtykke og ikke give samtykke.

  • Ulige forhold mellem parterne: Man skal være opmærksom på, om der er ulige forhold mellem parterne – for eksempel mellem en arbejdsgiver og en medarbejder. Det kan nemlig betyde, at den “svage” part kun giver sit samtykke af frygt for, at andet vil medføre negative konsekvenser for ham/hende. Samtykket gives derfor ikke frit, og det vil derfor ikke være gyldigt. Her kan ledelsen understrege – for eksempel, når der indhentes samtykke til at offentliggøre billeder af personale på virksomhedens hjemmeside – at det ikke vil får negative konsekvenser, hvis man som medarbejder ikke giver sit samtykke, og så vil samtykket anses som værende gyldigt.
  • Betingelser i form af motivation: Det er dog tilladt at motivere sine kunder til at skrive sig op til sit nyhedsbrev ved at tilbyde en rabat eller medlemskab af en fordelsklub – så længe et fravalg af nyhedsbrevet ikke medfører en meromkostning i forhold til normalprisen.
Opdeling af formål

Man kan godt i den samme samtykkeformular bede om samtykke til forskellige formål, så længe det er muligt at krydse af, hvilke formål man ønsker/ikke ønsker at give samtykke til. Med andre ord er en samtykkeformulering ugyldig, hvis den registrerede med én markering skal samtykke til både

  1. elektronisk markedsføring,
  2. påmindelser via sms og
  3. statistiske formål.

Her skal man i stedet sørge for at adskille formålene, så den registrerede kan tilmelde sig de ønskede formål hver for sig.

Specifikt og informeret

Et samtykke skal være konkret beskrevet. Det betyder, at:

  • Det skal være tydeligt, hvad formålet med samtykket er, og hvilke personoplysninger, der vil blive behandlet til formålet.
  • Samtykkeformularen skal også være tydelig ved at den ikke er “skjult” blandt anden tekst – for eksempel forretningsbetingelser.
  • Sproget skal være tydeligt – især hvis samtykket skal gives af mindreårige (hovedreglen er, at børn fra 15-års alderen er i stand til at afgive samtykke – dog skal man foretage en konkret vurdering af barnets modenhed).
  • Det skal fremgå, hvem der indhenter samtykket – hvem er den dataansvarlige.
Samtykket kan trækkes tilbage

Det skal tydeligt fremgå, at samtykket kan trækkes tilbage, og hvordan samtykket trækkes tilbage. Husk, at det skal være lige så nemt at trække et samtykke tilbage, som det er at afgive det.

Utvetydigt

Det er vigtigt, at man ikke kan være i tvivl om, hvorvidt den registrerede har afgivet et samtykke eller ej.

En håndsoprækning vil ikke være tilstrækkelig, da man godt kan tage fejl af en oprakt hånd og en anden bevægelse.

Som regel gør man brug af skriftlige samtykkeerklæringer. Her vil man være i tvivl, hvis tjekbokse på forhånd er markeret: “Er det en forglemmelse, at personen ikke har fjernet krydset?”. Derfor skal man aktivt sætte et kryds, for at samtykket er gyldigt.

Et markedsføringssamtykke – eller samtykke til unødvendige cookies – må derfor ikke være “krydset af” på forhånd.

Opmærksomhedspunkter

Når man indhenter et samtykke, skal man også huske at overholde sin oplysningspligt. Det kan du læse mere om i afsnittet “Oplysningspligt“.

Hvis man skal behandle oplysninger om børn, bør man som hovedregel vurdere, om barnet selv er i stand til at afgive sit samtykke – hvis altså barnet er modent nok til det. En tommelfingerregel er, at børn fra 15-års alderen er tilstrækkeligt modne til at afgive samtykke, men det kræver dog en individuel vurdering. Og så er der særlige regler i forbindelse med de såkaldte “informationssamfundstjenester” – e-handel, onlinespil og sociale medier – der henvender sig direkte til børn.

​Hvor kan du læse mere

Du kan læse mere om samtykke på Datatilsynets hjemmeside.