DA
Persondata

Datatilsynets vejledning om samtykke er opdateret

logo
Juranyt
calendar 20 maj 2021
globus Danmark

Datatilsynet har netop opdateret sin vejledning om samtykke. Opdateringen fokuserer blandt andet på, hvornår et samtykke kan anses for utvetydigt, bedre forståelse af tjeklisten for samtykke og mere generelle opdateringer. Vi ser i nyhedsbrevet lidt nærmere på, hvad der er nyt og hvad det betyder for virksomheder.

Vejledningen om samtykke har til formål at hjælpe virksomheder med, at overholde reglerne om databeskyttelse gennem vejledning om, hvornår der er tale om et gyldigt samtykke. Opdateringen er derfor meget relevant for de behandlingsaktiviteter, hvor virksomheder anvender samtykke som grundlag.

De gældende krav til samtykke

I tidligere retningslinjer for samtykke ved hjemmesidebesøg har Datatilsynet blandt andet fremhævet, at samtykke selvfølgelig skal:

  • Være et aktivt tilvalg, når man giver samtykke
  • Være klart hvilke formål samtykket omfatter
  • Være let at give formål til nogle formål, og ikke til andre
  • Være nemt at give samtykke – også visuelt
  • Være dokumenteret

Hvad er nyt?

Selvom opdateringerne hovedsageligt uddyber og præciserer de nuværende regler om samtykke, er det for virksomheder vigtigt at være opmærksomme på især tre elementer:

  • At scrolling / swiping ikke altid kan udgøre et klart og utvetydigt samtykke
  • At tjeklisten for samtykke nu kan kopieres og bruges direkte, som rettesnor for at overholde reglerne
  • At afsnittet om overgangen fra de gamle samtykke-regler i persondataloven er blevet fjernet

I forhold til det første punkt om scrolling / swiping er det klart, at ”aktive handlinger” godt kan være en såkaldt utvetydig viljestilkendegivelse, og derfor et gyldigt samtykke.

Det betyder eksempelvis, at virksomheder som udgangspunkt godt kan bruge løsninger hvor et swipe, et vink eller en bestemt bevægelse på smartphone-skærmen udgør et samtykke, forudsat selvfølgelig at det er klart, at bevægelsen betyder samtykke.

Datatilsynets nye opdateringer understreger dog, at virksomheder skal være forsigtige, da løsninger hvor man scroller eller swiper igennem en hjemmeside eller anden elektronisk løsning ikke altid er et gyldigt samtykke - det er tilfældet hvis handlingen er svær at sondre fra anden aktivitet på siden. Det skyldes også, at det samtidig kan være stort set umuligt for virksomheden at udarbejde en tilsvarende løsning der gør, at man kan trække samtykket tilbage lige så let som det blev givet.

Efter den anden opdatering i Datatilsynets, kan virksomheder fra nu af bruge vejledningens tjekliste for samtykke direkte. Der er kun tale om en rettesnor, men tjeklisten indeholder en række hjælpsomme spørgsmål, som virksomheder kan bruge til at tjekke at samtykket er gyldigt. Spørgsmålene tvinger blandt andet stillingtagen til, om det kan få negative konsekvenser ikke at give samtykke, om samtykketeksten er tilstrækkelig samt på om virksomhedens iværksatte procedurer er tilstrækkelige.

Endelig har Datatilsynet fjernet afsnittet om samtykke efter de gamle regler. I den forbindelse har Datatilsynet dog understreget, at deres holdning fortsat er at samtykke indhentet efter de gamle regler fortsat er gyldigt, så længe det lever op til de nye regler.

IUNO mener

Samtykke-reglerne er komplekse, og som Datatilsynets seneste praksis også viser, skaber det for mange virksomheder problemer at sikre, at samtykkeløsningen opfylder alle databeskyttelsesreglernes høje krav.

IUNO anbefaler, at selvom Datatilsynets seneste opdateringer af samtykke-vejledningen er af begrænset omfang, er det for mange virksomheder en god idé, at kopiere og gennemgå den opdaterede tjekliste for at sikre, at virksomhedens samtykkeløsning er gyldig.

[Datatilsynets vejledning om samtykke af den 5. maj 2021]

Vejledningen om samtykke har til formål at hjælpe virksomheder med, at overholde reglerne om databeskyttelse gennem vejledning om, hvornår der er tale om et gyldigt samtykke. Opdateringen er derfor meget relevant for de behandlingsaktiviteter, hvor virksomheder anvender samtykke som grundlag.

De gældende krav til samtykke

I tidligere retningslinjer for samtykke ved hjemmesidebesøg har Datatilsynet blandt andet fremhævet, at samtykke selvfølgelig skal:

  • Være et aktivt tilvalg, når man giver samtykke
  • Være klart hvilke formål samtykket omfatter
  • Være let at give formål til nogle formål, og ikke til andre
  • Være nemt at give samtykke – også visuelt
  • Være dokumenteret

Hvad er nyt?

Selvom opdateringerne hovedsageligt uddyber og præciserer de nuværende regler om samtykke, er det for virksomheder vigtigt at være opmærksomme på især tre elementer:

  • At scrolling / swiping ikke altid kan udgøre et klart og utvetydigt samtykke
  • At tjeklisten for samtykke nu kan kopieres og bruges direkte, som rettesnor for at overholde reglerne
  • At afsnittet om overgangen fra de gamle samtykke-regler i persondataloven er blevet fjernet

I forhold til det første punkt om scrolling / swiping er det klart, at ”aktive handlinger” godt kan være en såkaldt utvetydig viljestilkendegivelse, og derfor et gyldigt samtykke.

Det betyder eksempelvis, at virksomheder som udgangspunkt godt kan bruge løsninger hvor et swipe, et vink eller en bestemt bevægelse på smartphone-skærmen udgør et samtykke, forudsat selvfølgelig at det er klart, at bevægelsen betyder samtykke.

Datatilsynets nye opdateringer understreger dog, at virksomheder skal være forsigtige, da løsninger hvor man scroller eller swiper igennem en hjemmeside eller anden elektronisk løsning ikke altid er et gyldigt samtykke - det er tilfældet hvis handlingen er svær at sondre fra anden aktivitet på siden. Det skyldes også, at det samtidig kan være stort set umuligt for virksomheden at udarbejde en tilsvarende løsning der gør, at man kan trække samtykket tilbage lige så let som det blev givet.

Efter den anden opdatering i Datatilsynets, kan virksomheder fra nu af bruge vejledningens tjekliste for samtykke direkte. Der er kun tale om en rettesnor, men tjeklisten indeholder en række hjælpsomme spørgsmål, som virksomheder kan bruge til at tjekke at samtykket er gyldigt. Spørgsmålene tvinger blandt andet stillingtagen til, om det kan få negative konsekvenser ikke at give samtykke, om samtykketeksten er tilstrækkelig samt på om virksomhedens iværksatte procedurer er tilstrækkelige.

Endelig har Datatilsynet fjernet afsnittet om samtykke efter de gamle regler. I den forbindelse har Datatilsynet dog understreget, at deres holdning fortsat er at samtykke indhentet efter de gamle regler fortsat er gyldigt, så længe det lever op til de nye regler.

IUNO mener

Samtykke-reglerne er komplekse, og som Datatilsynets seneste praksis også viser, skaber det for mange virksomheder problemer at sikre, at samtykkeløsningen opfylder alle databeskyttelsesreglernes høje krav.

IUNO anbefaler, at selvom Datatilsynets seneste opdateringer af samtykke-vejledningen er af begrænset omfang, er det for mange virksomheder en god idé, at kopiere og gennemgå den opdaterede tjekliste for at sikre, at virksomhedens samtykkeløsning er gyldig.

[Datatilsynets vejledning om samtykke af den 5. maj 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata HR-jura Corporate

2. juni 2021

Kan virksomheder bede om at se medarbejdernes coronapas? (1)

logo
Persondata

6. maj 2021

EU: Nye regler om kunstig intelligens på vej

logo
HR-jura Persondata Corporate

14. april 2021

Virksomheder kan ikke kræve konsulenter og bestyrelsesmedlemmer testet for coronavirus

logo
Persondata HR-jura

25. marts 2021

Kan virksomheder bede om at se medarbejdernes coronapas?

logo
Persondata

11. marts 2021

Videoovervågning på arbejdspladsen

logo
HR-jura Corporate Persondata

6. marts 2021

Kommende lov indfører krav om whistleblowerordninger

Learning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret