Kategori: Ikke-kategoriseret

Indhold

Forord 3

1. Hvad er et samtykke? 4
2. Kravene til et samtykke 5

1. 2.1  Tidspunkt
2. 2.2  Formkrav
3. 2.3  Frivilligt

5 5 5

Ulige forhold mellem parterne 6

2.3.1
2.3.2 Granularitet 8

4. 2.4  Specifikt 9
5. 2.5  Informeret 102.5.1 Minimumskrav 10 2.5.2 Oplysningspligt 11
6. 2.6  Utvetydig viljestilkendegivelse 12 2.6.1 Passivitet 12
7. 2.7  Udtrykkeligt samtykke 13

3. Retten til at tilbagekalde et samtykke 14

3.1 Opbevaring af dokumentation for samtykke 15

4. Børn og samtykke 16

1. 4.1  Børns mulighed for at give samtykke 16
2. 4.2  Børns samtykke indhentet i forbindelse med informationssamfundstjenester 16

5. Overgangen fra persondataloven til databeskyttelsesforordningen 18
6. Tjekliste 19

2

Forord

Dette er en opdateret udgave af vejledningen om samtykke fra november 2017. Når Datatilsynet har fundet anledning til at opdatere vejledningen, skyldes det primært, at Artikel 29-gruppen (nu Det Europæiske Databe- skyttelsesråd) i 2018 har offentliggjort en revideret vejledning om sam- tykke.

I denne vejledning får du en kort introduktion til reglerne om samtykke som behandlingsgrundlag efter databeskyttelsesforordningen og en række ek- sempler på brugen af samtykke.

Behandling af personoplysninger skal ske i overensstemmelse med behandlingsreglerne i da- tabeskyttelsesforordningens kapitel II. Samtykke fra den registrerede er et af flere ligestillede retlige grundlag, som den dataansvarlige kan bruge til at behandle personoplysninger. Sam- tykke indtager en vigtig rolle, men udelukker ikke muligheden for, at andre retlige grundlag – afhængigt af konteksten – måske er mere passende fra såvel den dataansvarliges som fra den registreredes synsvinkel.

Formålet med vejledningen er at forklare, hvornår der foreligger et gyldigt samtykke, og hvad retsvirkningerne er, hvis et samtykke trækkes tilbage. Vejledningen indeholder endvidere et afsnit om forordningens regler om børns samtykke i forbindelse med informationssamfunds- tjenester. Du finder også i vejledningens afsnit 6 en tjekliste, som du kan bruge som en rette- snor for, om du – hvis du er dataansvarlig – er på linje med kravene i databeskyttelsesforord- ningen eller ej. Tjeklisten kan imidlertid også bruges af f.eks. den registrerede, der gerne vil have et hurtigt overblik over reglerne om samtykke, inden han/hun giver samtykke til en be- handling af personoplysninger.

Ønsker du en mere fyldestgørende gennemgang af reglerne, kan du bl.a. læse selve lovtek- sten i databeskyttelsesforordningens kapitel 1 og 2 (Europa-Parlamentets og Rådets forord- ning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger), databeskyttel- seslovens §§ 6 og 12 (Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) eller betænkningen om databeskyttelsesforordningen kapitel 2.3., 3.5. og 3.6. (betænkning nr. 1565/2017).

Der kan i øvrigt henvises til Artikel 29-gruppens udtalelse nr. 15 af 13. juli 2011 og nr. 17 af 28. november 2017 (senest revideret 10. april 2018) om samtykke.

3

1. Hvad er et samtykke?

Samtykke er efter databeskyttelsesforordningen udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger bruges, og er efter forordningen et af flere – ligestillede – behandlingsgrundlag, som den dataansvarlige kan anvende ved behandling af personoplysninger.

Det er afgørende, at den dataansvarlige gør sig klart, om samtykke vil være det mest passende behandlingsgrundlag, eller om det vil være mere hensigtsmæssigt at støtte behandlingen af den registreredes oplysninger på et andet grundlag. Den dataansvarlige bør bl.a. overveje, om det reelt vil være muligt for den registrerede at trække sit samtykke tilbage, og hvilke konse- kvenser det vil have.

Opfylder et samtykke ikke betingelserne i forordningen, kan det ikke udgøre et grundlag for behandlingen af oplysninger.

I boksen nedenfor finder du databeskyttelsesforordningens definition af et samtykke. Et samtykke fra den registrerede skal være i overensstemmelse med denne definition.

Det er endvidere et krav, at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen af sine personoplysninger. Det er med andre ord den dataansvarlige, som har bevisbyrden for, at den registrerede har givet det fornødne samtykke.

Bevisbyrden for.  samtykke foreligger, er nu helt og aldeles placeret hos “databehandleren”, dvs. myndigheden eller virksomheden, samtykket gives til.

Herudover gælder, at hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog.

Endelig er det et krav, at den registrerede, inden samtykke gives, skal oplyses om, at samtykket kan trækkes tilbage.

Samtykke kan altid trækkes tilbage

Alle de ovennævnte betingelser skal være opfyldt for, at et samtykke er gyldigt efter forordningen.

2. Kravene til et samtykke 2.1 Tidspunkt

Den registreredes samtykke skal være på plads inden, den dataansvarlige påbegynder behandling af de oplysninger, som samtykket angår.

Inden behandlingen bør den dataansvarlige først vurdere om samtykke er det mest passende behandlingsgrundlag. Hvis dette er tilfældet, og den dataansvarlige mener, at samtykket kan leve op til kravene i databeskyttelsesforordningen, skal samtykket indhentes inden behandlingen af personoplysninger påbegyndes.

2.2 Formkrav

Et samtykke kan både afgives mundtligt, skriftligt og digitalt. Det afgørende er, at den registreredes erklæring eller handling tydeligt tilkendegiver den registreredes hensigt, og et samtykke kan derfor ikke gives stiltiende eller være underforstået.

Den dataansvarlige skal endvidere som nævnt kunne bevise, at den registrerede har givet sit samtykke til behandlingen af personoplysninger, og kunne bevise, hvad det meddelte samtykke omfatter. Et samtykke bør derfor i videst mulige omfang afgives skriftligt eller på anden måde, som kan bevises.

Kan den dataansvarlige ikke bevise, at der foreligger et gyldigt samtykke, er konsekvensen, at samtykket ikke kan anses for at være i overensstemmelse med forordningen og dermed ikke kan udgøre et lovligt behandlingsgrundlag.

2.3 Frivilligt

Et samtykke skal være frivilligt. Formålet med et samtykke er at give de registrerede et valg og ikke mindst kontrol over personoplysninger om dem selv. Et samtykke anses derfor ikke for at være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg. Et samtykke må f.eks. ikke være afgivet under tvang. Dette gælder, uanset om det er den dataansvarlige eller andre, der udøver tvang over for den registrerede.

Enhver form for upassende pres på eller påvirkning af den registreredes frie vilje, medfører at samtykket er ugyldigt.

Den omstændighed, at den registrerede er i den dataansvarliges varetægt, f.eks. indsat i fængsel, undergivet værnepligt mv., udelukker ikke, at vedkommende kan give et gyldigt samtykke.

2.3.1 Ulige forhold mellem parterne

Den dataansvarlige bør i relation til kravet om frivillighed også være opmærksom på, om der foreligger et ulige forhold mellem den dataansvarlige og den registrerede. Et samtykke anses normalt ikke for at være afgivet frivilligt, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige.

Offentlige myndigheder

Det kan f.eks. være tilfældet, hvis den dataansvarlige er en offentlig myndighed, og den registrerede ansøger om en offentlig ydelse hos myndigheden. Den registrerede vil i dette tilfælde oftest ikke have andre alternativer end at give samtykke til behandlingen, hvis borgeren vil have ydelsen.

En offentlig myndighed vil derfor ofte ikke kunne behandle personoplysninger på baggrund af et samtykke. Offentlige myndigheder bør af denne grund nøje overveje anvendelsen af samtykke som behandlingsgrundlag.

Offentlige myndigheder er i flere tilfælde underlagt bestemmelser, som stiller krav om ”samtykke” fra borgeren. I disse tilfælde skal myndigheden imidlertid være opmærksom på, at selvom det kan følge af lovgivningen, at der kræves ”samtykke”, er det ikke nødvendigvis ensbetydende med, at der er tale om et samtykke i databeskyttelsesforordningens forstand. Et sådant ”samtykke” vil ofte udgøre en garantiforskrift for borgerne, men ikke grundlaget for selve behandlingen af personoplysninger. Behandlingsgrundlaget vil i disse tilfælde ofte være myndighedsudøvelse efter forordningens artikel 6, stk. 1, litra e.

Der skal skelnes skarpt mellem samtykke i databeskyttelses-sammenhæng (persondatarelateret) og andre former for lovlig tilslutning. I forbindelse med fx. jobcenterbehandling og tvangsforanstaltninger relateret til retssikkerhedsloven skal der tages stilling til, om der er lovhjemler, der stiller forvaltningen bedre end i databeskyttelseslovmæssig forstand. Findes de ikke, er behandlingen som udgangspunkt lovstridig.

Hvis den offentlige myndighed har brug for oplysningen, dvs. at myndigheden som følge af indretningen af lovgivningen ikke kan indhente de relevante oplysninger på anden måde, kan myndigheden dog anvende samtykke som behandlingsgrundlag.

Bemærkningen ovenfor forekommer ganske elastisk. Den skal sammenstilles med forvaltningslovens bestemmelser. 

I visse situationer, hvor den registreredes afvisning af at give samtykke er uden betydning for myndighedens sagsbehandling af en ydelse eller tilladelse til den registrerede, vil behandling imidlertid kunne ske på grundlag af samtykke. Det kan eksempelvis gælde, hvis en borger ønsker at acceptere kommunens tilbud om at modtage oplysninger på e-mail eller SMS om afhentning af storskrald eller oplysning om forsinkede anlægsarbejder i lokalområdet.

Ansættelsesforhold

Det følger af databeskyttelsesloven, at behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registreredes samtykke, så længe samtykket lever op til forordningens krav.

I ansættelsesforhold forekommer dog typisk en ulighed mellem arbejdsgiveren og den ansatte. En arbejdsgiver bør derfor være opmærksom på, om den ansattes samtykke reelt er udtryk for den ansattes valg, eller om samtykket er afgivet med frygt for væsentlige negative konse- kvenser. Der må i den forbindelse lægges særlig vægt på, om den ansattes samtykke er nød- vendigt, eller om arbejdsgiveren kan anvende en anden mere passende behandlingshjemmel.

6

Kontrakt betinget af samtykke

Ved vurderingen af, om et samtykke er afgivet frivilligt, skal der tages størst muligt hensyn til om bl.a. opfyldelsen af en kontrakt er gjort betinget af samtykke til behandling af personoplys- ninger, som ikke er nødvendig for kontraktens opfyldelse.

Det betyder med andre ord, at et samtykke ikke anses for at være givet frivilligt, hvis f.eks. køb af en vare eller en serviceydelse afhænger af samtykke, selvom et sådant samtykke ikke er nødvendigt for købet af varen eller serviceydelsen.

Som eksempel 4 viser, bør den dataansvarlige være særligt opmærksom på, hvilke oplysnin- ger der er nødvendige for kontraktens opfyldelse. Den dataansvarlige kan derfor overveje, om

7

man i stedet kan anvende et andet og mere passende grundlag end samtykke til at behandle de oplysninger, der er nødvendige for kontraktens opfyldelse.

Ulempe eller skade

En dataansvarlig kan i et vist omfang motivere de registrerede til at give samtykke ved, at der er en fordel forbundet med at samtykke. Indmeldelse i en forretnings fordelsprogram kan f.eks. indebære rabatter, som motiverer kunden til at give samtykke til at modtage reklamemateriale fra forretningen. Den rabat eller de fordele et samtykke til et fordelsprogram medfører, udeluk- ker ikke, at samtykket kan anses for at være frivilligt.

Det er dog vigtigt at være opmærksom på, om manglende samtykke medfører negative kon- sekvenser for den registrerede, som ikke vil give samtykke – f. eks. i form af meromkostninger.

2.3.2 Granularitet (opdeling)

Hvis en dataansvarlig ønsker at behandle personoplysninger til flere formål, skal de registre- rede frit kunne vælge, hvilke formål de samtykker til.

Et samtykke antages ikke at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktivi- teter vedrørende personoplysninger og dermed tvinges til at samtykke til samtlige formål. Sam- tykket skal altså granuleres.

Hvis en behandling af oplysninger tjener flere formål, skal den dataansvarlige indhente særskilt samtykke for hvert enkelt formål, som skal behandles på grundlag af den registreredes sam- tykke. Den dataansvarlige må derfor tilbyde den registrerede mulighed for at samtykke til et formål, men undlade at samtykke til andre formål. Rent praktisk kan dette ske f.eks. i form af en samlet erklæring, hvor den registrerede kan markere, hvilke formål vedkommende vil ac- ceptere, at der behandles oplysninger til.

8

Kravet om granularitet er tæt forbundet med både kravet om, at samtykke skal være specifikt, jf. nedenfor, og kravet om frivillighed.

2.4 Specifikt

Et samtykke skal være specifikt. Det må derfor ikke være generelt udformet eller uden en præcis angivelse af formålene med behandlingen af personoplysninger, og hvilke personop- lysninger der vil blive behandlet. Et samtykke skal med andre ord være konkretiseret på en sådan måde, at det klart og tydeligt fremgår, hvad der meddeles samtykke til.

Kravet om specifikt samtykke hænger sammen med princippet om formålsbegrænsning, der betyder, at personoplysninger altid skal indsamles til udtrykkeligt angivne og legitime formål (f.eks. offentlig myndighedsudøvelse eller kontraktopfyldelse i den private sektor), og ikke må viderebehandles på en måde, der er uforenelig med disse formål. De registreredes samtykke skal derfor i overensstemmelse med dette princip altid indhentes til specifikt angivne formål.

9

Den registrerede skal altså give samtykke til specifikke formål med behandlingen. Endvidere skal den dataansvarlige oplyse den registrerede om, hvilke oplysninger der vil blive behandlet til hvert formål.

Ønsker en dataansvarlig, der behandler oplysninger på grundlag af et samtykke givet til et formål, efterfølgende at anvende oplysningerne til andre formål, skal den dataansvarlige ind- hente et nyt samtykke, der omfatter de nye formål.

Den dataansvarlige skal endvidere være opmærksom på, hvordan en samtykkeformular ud- formes. Hvis erklæringen også vedrører andre forhold – f.eks. handelsbetingelser for køb af en serviceydelse – skal anmodningen om samtykke klart kunne skelnes fra de andre forhold.

Anmodningen om samtykke skal samtidig ske i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, som er egnet til den målgruppe, som er modtager. Normalt vil det være tilstrækkeligt at lave én anmodning, selvom målgruppen både er børn og voksne, hvis den er formuleret på en sådan måde, at den er let forståelig for børn.

2.5 Informeret

Et samtykke skal være informeret. Det betyder, at den registrerede skal være klar over, hvad der gives samtykke til. Den dataansvarlige skal give den registrerede en række informationer, som skal sikre, at den registrerede kan træffe sin beslutning på et oplyst grundlag.

Der gælder ingen formkrav til, hvordan denne information skal gives. Det er altså muligt at opfylde kravet både skriftligt, mundtligt eller digitalt.

2.5.1 Minimumskrav

Selve informationen skal som minimum bestå af oplysninger om:

• den dataansvarliges identitet,
• formålet med den påtænkte behandling,
• hvilke oplysninger der behandles, og
• retten til at trække samtykket tilbage.Hvis personoplysningerne anvendes til automatiske afgørelser efter databeskyttelsesforord- ningens artikel 22, stk. 2, litra c, skal der oplyses om dette. En dataansvarlig skal endvidere

10

oplyse om eventuelle risici ved dataoverførsler til usikre tredjelande1, hvis der skal ske over- førsel af personoplysningerne.

Den dataansvarlige skal altid tilpasse informationen til den konkrete situation og skal derfor gøre sig klart, hvilke oplysninger der indsamles og anvendes, formålet med behandlingen, eventuelle modtagere af oplysningerne, og hvordan den registrerede kan gøre brug af sine rettigheder om indsigt, tilbagekaldelse mv.

Det afgørende er at skabe gennemsigtighed for den registrerede og at sikre en lovlig og rimelig behandling af oplysningerne.

2.5.2 Oplysningspligt

I mange tilfælde indhentes samtykke på tidspunktet for indsamlingen af oplysninger hos den registrerede. Kravet om information ved afgivelsen af samtykke falder dermed sammen med den dataansvarliges almindelige – og mere omfattende – oplysningsforpligtelse, som følger af forordningen.

Det kan derfor anbefales at se på de oplistede typer af oplysninger, som den dataansvarlige skal meddele den registrerede i den forbindelse, når den dataansvarlige udarbejder den infor- mation, der skal meddeles forud for afgivelsen af samtykke.

For at skabe gennemsigtighed for de registrerede skal anmodningen om samtykke være ad- skilt fra vilkår og betingelser, jf. ovenfor om formulering af erklæring om samtykke.

1 Lande uden for EU/EØS-området, som EU-Kommissionen ikke har afgjort har et tiltrækkeligt beskyttelsesniveau.

11

2.6 Utvetydig viljestilkendegivelse

Den registreredes samtykke skal meddeles i form af en utvetydig tilkendegivelse. Det betyder, at det samtykke, der er givet, ikke må give anledning til tvivl.

En sådan tilkendegivelse kan bestå i, at den registrerede ved en erklæring eller ved en aktiv handling, klart tilkendegiver en accept af, at personoplysninger om vedkommende behandles.

En utvetydig viljestilkendegivelse kan således f.eks. meddeles ved underskrift på et dokument, ved at sætte kryds i et felt ved besøg på en hjemmeside eller ved valg af tekniske indstillinger til informationssamfundstjenester, f.eks. Facebook, Instagram og Snapchat.

Andre aktive handlinger kan også udgøre en utvetydig viljestilkendegivelse, forudsat at det er klart, at der foreligger et samtykke. Generel accept af almindelige betingelser og vilkår kan ikke opfattes som en klar bekræftelse, hvorved den registrerede giver samtykke til behandling af personoplysninger.

Et swipe, et vink foran et smartkamera, at bevæge sin smartphone rundt med uret eller i en ottetalsbevægelse kan være måder at meddele samtykke på, hvis de nødvendige oplysninger stilles til rådighed, og det er klart, at bevægelsen betyder, at den registrerede samtykker.

Det kan være tilstrækkeligt, at den registrerede accepterer en præformuleret erklæring om samtykke, hvis bekræftelsen gives ved en aktiv handling – eksempelvis ved at klikke på et felt, der tydeligt oplyser den registrerede om, at handlingen medfører et samtykke til behandling.

2.6.1 Passivitet

Tavshed, allerede afkrydsede felter på hjemmesider eller inaktivitet er ikke tilstrækkeligt til at udgøre en utvetydig tilkendegivelse og kan derfor ikke udgøre et samtykke.

12

2.7 Udtrykkeligt samtykke

I nogle tilfælde stilles der krav om et udtrykkeligt samtykke fra den registrerede. Det drejer sig bl.a. om den situation, hvor den dataansvarlige ønsker at behandle følsomme oplysninger (f.eks. oplysning om race eller etnisk oprindelse, politisk, religiøs overbevisning, fagforenings- mæssigt tilhørsforhold eller helbredsoplysninger) ved automatiseret behandling, profilering og ved overførsel til et usikkert tredjeland.

Forordningen forklarer ikke nærmere, hvad der skal forstås ved et udtrykkeligt samtykke, og formuleringen medfører ikke et yderligere skærpet krav til samtykket, men understreger vigtig- heden af, at der ikke må være tvivl om, at der er afgivet samtykke.

Den dataansvarlige skal som tidligere nævnt kunne bevise, at der foreligger et udtrykkeligt samtykke, og det vil derfor kunne være hensigtsmæssigt, at et samtykke foreligger skriftligt.

13

3. Retten til at tilbagekalde et samtykke

Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage. Det er den dataansvarliges opgave at sikre sig, at de registrerede kan trække deres samtykke tilbage på en enkel og lettilgængelig måde. Det skal være lige så let at trække sit samtykke tilbage som at give det, men det er ikke et krav, at tilbagekaldelse skal ske på samme måde, som samtyk- ket oprindeligt er givet.

Hvis et samtykke f.eks. indhentes ved et enkelt museklik, tasteslag eller swipe, bør den regi- strerede kunne tilbagekalde sit samtykke på tilsvarende enkel måde. Hvis samtykke indhentes via en hjemmeside, en applikation eller via e-mail, bør den registrerede kunne trække sit sam- tykke tilbage ved brug af samme løsning. Det anbefales endvidere at tilbyde de registrerede flere muligheder for at trække deres samtykke tilbage, idet ikke alle registrerede er trygge ved brugen af internettet eller har internetadgang. Hvis samtykket er afgivet på internettet, må det dog være tilstrækkeligt, at det kan trækkes tilbage på internettet.

Den registrerede skal endvidere have mulighed for at trække sit samtykke tilbage, uden at det er til skade for den pågældende. Det betyder bl.a., at den registrerede skal kunne tilbagekalde sit samtykke uden betaling af gebyrer.

Information om, at et samtykke kan trækkes tilbage og måden, hvorpå dette kan ske, skal være givet, inden den registreredes samtykke indhentes. Er der ikke givet tilstrækkelig infor- mation om muligheden for at trække samtykket tilbage, kan selve samtykket ikke anses for gyldigt.

Hvis den registrerede vælger at trække sit samtykke tilbage, påvirker det ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagekaldelsen. Tilbagekaldelse af sam- tykke vedrører kun den fremtidige behandling af den registreredes oplysninger.

Udgangspunktet er, at den dataansvarlige skal ophøre med at behandle oplysningerne så hur- tigt som muligt, hvis den registrerede tilbagekalder sit samtykke. Det er vigtigt at være op- mærksom på, at opbevaring af den registreredes oplysninger også er en behandling, som derfor skal ophøre ved tilbagekaldelsen. Det gælder dog kun de oplysninger, der er behandlet på grundlag af samtykket, men derimod ikke oplysninger, hvor behandlingsgrundlaget er et andet end samtykke – eksempelvis en kontrakt mellem den dataansvarlige og den registre- rede.

Den registrerede har ret til at få oplysninger om sig selv slettet, når et samtykke er tilbagekaldt. Selvom den registrerede ikke selv anmoder om det, bør den dataansvarlige tage stilling til spørgsmålet om at slette oplysningerne, hvis behandlingen alene hviler på samtykke, idet der ikke længere er et lovligt grundlag i forhold til opbevaring af den registreredes oplysninger.

14

Samtykke er efter databeskyttelsesforordningen udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres personoplysninger behandles. Når en dataansvarlig væl- ger at anvende samtykke, skal den dataansvarlige derfor, hvis den registrerede trækker sit samtykke tilbage, respektere dette valg og stoppe den del af behandlingen, der var baseret på samtykket.

Den dataansvarlige kan dermed som udgangspunkt ikke skifte behandlingsgrundlag, hvis den registrerede trækker sit samtykke tilbage. Det er derfor meget vigtigt, at den dataansvarlige inden indhentelse af samtykke overvejer, om samtykke er det mest passende behandlings- grundlag.

I nogle tilfælde vil det dog være muligt at fortsætte en behandling, selvom den registrerede har tilbagekaldt sit samtykke. En fortsat behandling må således kunne finde sted, hvis den er ri- melig i forhold til den registrerede.

Har den dataansvarlige et andet lovligt grundlag for behandling end samtykke med et selv- stændigt formål – eksempelvis opbevaring af oplysninger af hensyn til overholdelse af reglerne om bogføring – vil denne behandling endvidere fortsat kunne finde sted.

Det vil imidlertid ikke være rimeligt eller gennemsigtigt for den registrerede, hvis den dataan- svarlige efterfølgende baserer behandlingen på legitime interesser, når et samtykke er tilba- gekaldt. I denne situation burde den dataansvarlige oprindeligt have anvendt dette behand- lingsgrundlag frem for at bede den registrerede om samtykke.

Fortsættes behandlingen på et andet grundlag, skal den registrerede have information om behandlingsgrundlag, formål mv.

3.1 Opbevaring af dokumentation for samtykke

Hvis en behandling er baseret på et samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet et sådan samtykke.

Når behandlingen ophører – f.eks. fordi samtykket bliver trukket tilbage – bør dokumentationen for, at der var givet samtykke, ikke opbevares længere end, hvad der er nødvendigt eksem- pelvis for at overholde en retlig forpligtelse eller for, at et retskrav kan fastlægges, gøres gæl- dende eller forsvares.

Det vil bero på en konkret vurdering, hvor længe dokumentationen kan opbevares.

Ved en eventuel senere tvist om indhentning eller gyldighed af et samtykke kan den dataan- svarlige – hvis den konkrete dokumentation for samtykket er blevet slettet – dokumentere pro- cesserne for indhentning af samtykker, og hvordan anmodningen om samtykke, evt. samtyk- keerklæringen, var på tidspunktet for indhentningen af det bestridte samtykke.

15

4. Børn og samtykke

Børn skal efter databeskyttelsesforordningen have en særlig beskyttelse, fordi de er mindre bevidste om de risici og konsekvenser, der kan være forbundet med behandling af personop- lysninger. En sådan særlig beskyttelse bør navnlig gælde for brug af børns personoplysninger med henblik på markedsføring eller til at oprette personligheds- eller brugerprofiler og indsam- ling af personoplysninger vedrørende børn, når de anvender tjenester, der tilbydes direkte til børn.

4.1 Børns mulighed for at give samtykke

Når en dataansvarlig ønsker at behandle personoplysninger om et barn på baggrund af et samtykke, skal den dataansvarlige overveje, om barnet selv kan give samtykke, eller om sam- tykket skal indhentes hos forældremyndighedsindehaver.

Om barnet selv kan give samtykke, afhænger af en konkret modenhedsvurdering. Den data- ansvarlige skal derfor konkret vurdere, om barnet har tilstrækkelig modenhed og forståelse til selv at give samtykke. Normalt vil et barn på 15 år være tilstrækkelig moden til at kunne give samtykke på egne vegne.

Hvis den dataansvarlige vurderer, at barnet ikke har den tilstrækkelige modenhed, bør sam- tykket i stedet indhentes fra forældremyndighedsindehaver.

Den information, som skal gives forud for meddelelse af samtykke, skal tilpasses barnets for- ståelse. Informationen skal være formuleret i et klart og let forståeligt sprog, så barnet kan overskue oplysningerne.

4.2 Børns samtykke indhentet i forbindelse med informationssamfu- ndstjenester

Forordningen indeholder yderligere krav til et samtykke indhentet fra et barn i forbindelse med informationssamfundstjenester direkte til børn. Disse krav gælder samtidig med de krav, der ellers i alle andre sammenhænge gælder, når en dataansvarlig vil basere en behandling af personoplysninger på et samtykke fra den registrerede.

Informationssamfundstjenester er f. eks. e-handel, online spil og sociale medier som Face- book, Instagram og Snapchat.

Behandling af almindelige personoplysninger i forbindelse med udbud af informationssam- fundstjenester til børn er som udgangspunkt lovlig, hvis den registrerede er mindst 16 år og har givet samtykke. Databeskyttelsesforordningen giver imidlertid mulighed for, at de enkelte lande kan fastsætte en lavere aldersgrænse, som dog ikke må være lavere end 13 år.

I databeskyttelsesloven er aldersgrænsen fastsat til 13 år i situationer, hvor den dataansvarlige eller databehandleren er etableret i Danmark. Er barnet under 13 år, skal indehaveren af for- ældremyndigheden give samtykke på barnets vegne.

Udbydere af informationssamfundstjenester direkte til børn skal sikre beskyttelse ved at ind- bygge mekanismer, så børn under den fastsatte aldersgrænse udelukkes fra at give samtykke i forbindelse med f.eks. oprettelse af en profil. Kontrol af brugerens alder eller samtykke fra indehaveren af forældremyndigheden bør ske under inddragelse af de risici, der er forbundet med behandlingen og den tilgængelige teknologi.

Er barnet under den fastsatte aldersgrænse, skal udbyderen af tjenesten ud fra den tilgænge- lige teknologi, gøre sig rimelige anstrengelser for at kontrollere, at forældremyndighedsinde- haveren har givet sit samtykke.

Forebyggende eller rådgivende tjenester, der tilbydes direkte til børn er ikke omfattet af kravet om samtykke, idet børn i alle aldre skal kunne henvende sig til eksempelvis BørneTelefonen

16

eller anden offentlig eller privat rådgivning uden samtykke fra indehaveren af forældremyndig- heden.

17

5. Overgangen fra persondataloven til databeskyttelsesforordningen

Mange dataansvarlige behandler personoplysninger på baggrund af et samtykke indhentet i overensstemmelse med persondatalovens krav til et gyldigt samtykke. Med forordningen, der finder anvendelse fra den 25. maj 2018, introduceres en række nye krav til et gyldigt samtykke, jf. ovenfor.

Dataansvarlige, der på nuværende tidspunktet fortsat behandler oplysninger på baggrund af samtykke, skal ikke nødvendigvis indhente et nyt samtykke. Det følger af forordningen, at samtykke indhentet i overensstemmelse med persondatalovens regler fortsat er gyldigt, hvis samtykket er i overensstemmelse med betingelserne i forordningen.

De dataansvarlige skal derfor gennemgå deres metoder og procedurer for indhentning af sam- tykke for at vurdere, om de lever op til kravene i forordningen. Det bør i den forbindelse over- vejes, om man som dataansvarlig lever op til bl.a. kravet om, at man skal kunne bevise, at der er meddelt samtykke, og til hvad samtykke er meddelt, for de enkelte registrerede. Er dette ikke tilfældet, vil et samtykke ikke være i overensstemmelse med forordningen og vil ikke kunne udgøre et lovligt behandlingsgrundlag.

Det nye krav om, at den dataansvarlige skal informere om muligheden for at trække et sam- tykke tilbage, inden samtykke afgives, antages ikke at være en gyldighedsbetingelse for et eksisterende samtykke, der er indhentet inden den 25. maj 2018. I det omfang det er praktisk muligt, kan de dataansvarlige overveje at orientere de registrerede om muligheden for tilbage- kaldelse for at sikre en gennemsigtig behandling for de registrerede.

18

6. Tjekliste

Tjeklisten herunder kan tjene som en rettesnor for, om man som dataansvarlig er på linje med kravene i databeskyttelsesforordningen eller ej:

• I har taget stilling til, at samtykke er det mest passende behandlingsgrundlag til at behandle personoplysninger i den givne situation
• Samtykkeanmodningen er tydelig og adskilt fra øvrig tekst som f.eks. salgs- og leve- ringsbetingelsesvilkår
• I indhenter altid samtykke via et aktivt tilvalg fra den samtykkendes side
• I indhenter aldrig samtykke via forudafkrydsede samtykkefelter eller på anden vis, derbaserer sig på den samtykkendes passivitet
• Samtykket er formuleret i et klart og enkelt sprog, som er letforståeligt for en personimålgruppen
• Samtykket specificerer formålet med den påtænkte behandling af personoplysninger
• Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke forhvert formål
• Navnet på den/de dataansvarlige fremgår af samtykketeksten
• I oplyser om muligheden for at trække samtykket tilbage
• Der er ikke negative konsekvenser forbundet med ikke at give samtykke, og det vilikke skade den registrerede at trække samtykket tilbage
• Samtykke er ikke en betingelse for levering af en vare/ydelse
• Hvis I udbyder informationssamfundstjenester direkte rettet mod børn under 13 år,anvender I kun samtykke i det omfang, det er muligt at tjekke barnets alder, og I ind-henter forældrenes samtykke, hvis barnet er under 13 år.
• I kan dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blevgivet, hvad den enkelte har samtykket til, og at samtykket reelt er afgivet frivilligt
• I følger regelmæssigt op på, at samtykket stadig er aktuelt og korrekt, og at formåletmed behandlingen eller selve behandlingen ikke har ændret sig.

19

Vejledning

© 2019 Datatilsynet

Eftertryk med kildeangivelse er tilladt

Udgivet af: Datatilsynet Borgergade 28, 5. 1300 København K T 33 19 32 00 dt@datatilsynet.dk datatilsynet.dk