Datatilsynet har opdateret vejledningen om GDPR-samtykke

Datatilsynet har for nylig offentliggjort en opdateret udgave af vejledningen om samtykke. Vejledningen erstatter Datatilsynets vejledning fra november 2017 og er i store træk et udtryk for præciseringer i forhold til den tidligere vejledning. De grundlæggende regler om hvornår en virksomhed kan anvende et samtykke er derfor de samme som tidligere. I det følgende kan du læse mere om de væsentligste tilføjelser og præciseringer fra den opdaterede vejledning.

Opdeling af GDPR-samtykke (granularitet)

Datatilsynet har i den nye vejledning tilføjet et punkt om opdeling af samtykker (granularitet). Dette betyder, at hvis en behandling af personoplysninger tjener mere end ét formål, da skal den dataansvarlige indhente et særskilt samtykke for hvert af disse formål. Det er således ikke muligt at have flere formål under samme samtykke og den registrerede skal frit kunne vælge mellem, hvilket formål denne accepterer.

Flere minimumskrav til informeret samtykke

Datatilsynet tilføjer to nye krav til, hvornår et samtykke kan betragtes som informeret. Såfremt den dataansvarlige anvender personoplysninger til automatiske afgørelser efter databeskyttelsesforordningens artikel 22, stk. 2, litra c skal den dataansvarlige oplyse om dette. Derudover skal den dataansvarlige oplyse om risici ved dataoverførsler til usikre tredjelande (navnlig lande uden for EØS, som efter Kommissionens vurdering ikke har tilstrækkeligt beskyttelsesniveau), såfremt oplysningerne overføres til lande eller organisationer udenfor EU/EØS.

Et samtykke opfylder kravet om at være ”informeret”, når den registrerede får følgende, når samtykket afgives:

  • Den dataansvarliges identitet,
  • formålet med den påtænkte behandling,
  • hvilke oplysninger der behandles,
  • retten til at trække samtykket tilbage
  • anvendelsen af automatiske afgørelser (hvis relevant)
  • eventuelle risici ved dataoverførelser til ”usikre tredjelande” (hvis relevant).

Krav til dokumentation for samtykke

Datatilsynet præciserer endvidere, at den dataansvarlige skal kunne fremvise dokumentation for, at den dataansvarlige har indhentet et gyldigt samtykke.

Hvis et samtykke tilbagekaldes eller databehandlingen på ophører på anden vis, må dokumentationen for et samtykke ikke opbevares længere end det er nødvendigt, f.eks. til brug for dokumentation af samtykket i forbindelse med en indsigelse fra den registrerede. Det vil bero på en konkret vurdering, hvor lang tid den dataansvarlige må opbevare dokumentation for et samtykke.

Børns mulighed for at give samtykke

Datatilsynet fastslår også, at børn har en helt særlig beskyttelse hvad for så vidt angår indsamling af personoplysninger til brug for markedsføring og oprettelse personligheds- eller brugerprofiler, når de anvender tjenester, der tilbydes direkte til børn. Det fremgår af Datatilsynets vejledning, at en dataansvarlig i alle tilfælde af behandling af personoplysninger om børn skal foretage en konkret modenhedsvurdering i forhold til at bestemme, om børn i den tiltænkte målgruppe har tilstrækkelig modenhed til selv at give samtykke, eller om samtykket bør indhentes fra en forældremyndighedsindehaver. Hvis den dataansvarlige vurderer, at børnene ikke har den tilstrækkelige modenhed, bør samtykket i stedet indhentes fra forældremyndighedsindehaverne.

Du kan læse Datatilsynets opdaterede vejledning om GDPRsamtykke her

Under hensyntagen til navnlig de nye krav omkring det informerede samtykke, anbefaler CLEMENS Advokatfirma, at virksomheder gennemgår deres eksisterende samtykketekster med henblik på at afdække, om de skal opdateres på baggrund af Datatilsynets seneste vejledning.

Har du spørgsmål til GDPR-samtykke og granularitet, står vores persondatateam naturligvis klar til at hjælpe, og du er altid velkommen til at kontakte os.

Aktuelt

Andre nyheder om Compliance

Se flere relevante nyheder

Fandt du ikke det, du søgte? 

Kontakt os her. Vi sikrer, at der står en specialist klar til at hjælpe dig.

Når du kontakter os, behandler vi dine personoplysninger. Læs mere om dette i vores privatlivspolitik.
Dette felt er til validering og bør ikke ændres.