Er samtykke altid det bedste behandlingsgrundlag for persondata? Det korte svar er nej.
Hos DPO-Danmark har vi for nylig stået over for en velkendt GDPR-compliance situation, hvor vi skulle tage nye billeder af medarbejderne. Selvom vi udarbejdede en samtykkeerklæring, er det vigtigt at huske, at samtykke ikke altid er det bedste behandlingsgrundlag for persondata.
Samtykke skal altid kunne trækkes tilbage og kan derfor være et usikkert behandlingsgrundlag. Nedenfor har vi listet 3 punkter som man bør holde sig for øje, før man som virksomhed anvender samtykke som behandlingsgrundlag.
1. Identificer mindstekravene til samtykke:
– Informeret: Den registrerede skal være informeret om den dataansvarliges identitet, formålet med behandlingen, hvilke oplysninger der behandles, retten til at trække samtykket tilbage, og eventuelle risici ved dataoverførsler til usikre tredjelande.
– Frivilligt: Samtykket skal gives frivilligt uden tvang eller pres. Dette betyder bl.a. at samtykket ikke må skjules i en kontrakt, blandes sammen med andre samtykker og at den som afgiver samtykket ikke må føle sig direkte eller indirekte presset til at skrive under.
– Specifikt: Samtykket skal være specifikt og klart adskilt fra andre forhold. Samtykket bør opdeles, hvis det indeholder flere formål bag den ønskede behandling, så den registrerede, kan gennemskue de forskellige behandlinger.
– Utvetydigt: Samtykket skal være en klar og utvetydig viljestilkendegivelse.
– Tilbagetrækkeligt: Den registrerede skal kunne trække samtykket tilbage lige så let som det blev givet og metoden til at tilbagetrække samtykket skal fremgå.
2. Forstå samtykke som et af mange behandlingsgrundlag:
Samtykke er en af flere hjemler for behandling af personoplysninger og skal opfylde specifikke krav for at være gyldigt jf. GDPR art. 7. Det er vigtigt at forstå, at samtykke er kun én af flere mulige hjemler, og det er ikke altid nødvendigt, hvis andre lovlige grundlag er til stede.
For eksempel kan behandling af personoplysninger fortages sikkert og effektivt baseret på kontraktlige forpligtigelser, lovforpligtigelser eller legitime interesser. Ved at vælge det mest passende behandlingsgrundlag kan virksomheden sikre, at de overholder GDPR samt beskytter deres kunders data på en effektive måde.
3. Håndtering af udfordringerne ved samtykkeerklæringer med 5 simple strategier:
- Klare og forståelige samtykkeerklæringer. Brug klart og enkelt sprog uden juridisk jargon.
- Effektiv dokumentation. Dette kan inkludere digitale løsninger, der automatisk registrerer og gemmer samtykke.
- Brugervenlige tilbagetrækningsprocesser. Dette kan gøres ved at tilbyde en enkel online proces eller en tydelig kontaktmulighed.
- Løbende uddannelse og træning. Dette kan reducere risikoen for fejl og sikre overholdelse samt sikre, at der ikke eksistere eller anvendes samtykke uden ledelsens kendskab.
- Regelmæssig gennemgang og opdatering så du sikrer din virksomhed altid er i overensstemmelse med de nyeste GDPR-krav.
Med ovenstående overvejelser burde din virksomhed kunne foretage en informeret beslutning, om samtykke er det rigtige behandlingsgrundlag for jer.
Hvis det stadig er tvivlsomt, hvordan du bedst muligt strukturere brugen af samtykke i din virksomhed, kan du altid finde en sparringspartner i DPO Danmark ApS.
