Datatilsynets vejledning om samtykke er opdateret
Datatilsynet har netop opdateret sin vejledning om samtykke. Opdateringen fokuserer blandt andet på, hvornår et samtykke kan anses for utvetydigt, bedre forståelse af tjeklisten for samtykke og mere generelle opdateringer. Vi ser i nyhedsbrevet lidt nærmere på, hvad der er nyt og hvad det betyder for virksomheder.
Vejledningen om samtykke har til formål at hjælpe virksomheder med, at overholde reglerne om databeskyttelse gennem vejledning om, hvornår der er tale om et gyldigt samtykke. Opdateringen er derfor meget relevant for de behandlingsaktiviteter, hvor virksomheder anvender samtykke som grundlag.
De gældende krav til samtykke
I tidligere retningslinjer for samtykke ved hjemmesidebesøg har Datatilsynet blandt andet fremhævet, at samtykke selvfølgelig skal:
- Være et aktivt tilvalg, når man giver samtykke
- Være klart hvilke formål samtykket omfatter
- Være let at give formål til nogle formål, og ikke til andre
- Være nemt at give samtykke – også visuelt
- Være dokumenteret
Hvad er nyt?
Selvom opdateringerne hovedsageligt uddyber og præciserer de nuværende regler om samtykke, er det for virksomheder vigtigt at være opmærksomme på især tre elementer:
- At scrolling / swiping ikke altid kan udgøre et klart og utvetydigt samtykke
- At tjeklisten for samtykke nu kan kopieres og bruges direkte, som rettesnor for at overholde reglerne
- At afsnittet om overgangen fra de gamle samtykke-regler i persondataloven er blevet fjernet
I forhold til det første punkt om scrolling / swiping er det klart, at ”aktive handlinger” godt kan være en såkaldt utvetydig viljestilkendegivelse, og derfor et gyldigt samtykke.
Det betyder eksempelvis, at virksomheder som udgangspunkt godt kan bruge løsninger hvor et swipe, et vink eller en bestemt bevægelse på smartphone-skærmen udgør et samtykke, forudsat selvfølgelig at det er klart, at bevægelsen betyder samtykke.
Datatilsynets nye opdateringer understreger dog, at virksomheder skal være forsigtige, da løsninger hvor man scroller eller swiper igennem en hjemmeside eller anden elektronisk løsning ikke altid er et gyldigt samtykke - det er tilfældet hvis handlingen er svær at sondre fra anden aktivitet på siden. Det skyldes også, at det samtidig kan være stort set umuligt for virksomheden at udarbejde en tilsvarende løsning der gør, at man kan trække samtykket tilbage lige så let som det blev givet.
Efter den anden opdatering i Datatilsynets, kan virksomheder fra nu af bruge vejledningens tjekliste for samtykke direkte. Der er kun tale om en rettesnor, men tjeklisten indeholder en række hjælpsomme spørgsmål, som virksomheder kan bruge til at tjekke at samtykket er gyldigt. Spørgsmålene tvinger blandt andet stillingtagen til, om det kan få negative konsekvenser ikke at give samtykke, om samtykketeksten er tilstrækkelig samt på om virksomhedens iværksatte procedurer er tilstrækkelige.
Endelig har Datatilsynet fjernet afsnittet om samtykke efter de gamle regler. I den forbindelse har Datatilsynet dog understreget, at deres holdning fortsat er at samtykke indhentet efter de gamle regler fortsat er gyldigt, så længe det lever op til de nye regler.
IUNO mener
Samtykke-reglerne er komplekse, og som Datatilsynets seneste praksis også viser, skaber det for mange virksomheder problemer at sikre, at samtykkeløsningen opfylder alle databeskyttelsesreglernes høje krav.
IUNO anbefaler, at selvom Datatilsynets seneste opdateringer af samtykke-vejledningen er af begrænset omfang, er det for mange virksomheder en god idé, at kopiere og gennemgå den opdaterede tjekliste for at sikre, at virksomhedens samtykkeløsning er gyldig.
[Datatilsynets vejledning om samtykke af den 5. maj 2021]
Vejledningen om samtykke har til formål at hjælpe virksomheder med, at overholde reglerne om databeskyttelse gennem vejledning om, hvornår der er tale om et gyldigt samtykke. Opdateringen er derfor meget relevant for de behandlingsaktiviteter, hvor virksomheder anvender samtykke som grundlag.
De gældende krav til samtykke
I tidligere retningslinjer for samtykke ved hjemmesidebesøg har Datatilsynet blandt andet fremhævet, at samtykke selvfølgelig skal:
- Være et aktivt tilvalg, når man giver samtykke
- Være klart hvilke formål samtykket omfatter
- Være let at give formål til nogle formål, og ikke til andre
- Være nemt at give samtykke – også visuelt
- Være dokumenteret
Hvad er nyt?
Selvom opdateringerne hovedsageligt uddyber og præciserer de nuværende regler om samtykke, er det for virksomheder vigtigt at være opmærksomme på især tre elementer:
- At scrolling / swiping ikke altid kan udgøre et klart og utvetydigt samtykke
- At tjeklisten for samtykke nu kan kopieres og bruges direkte, som rettesnor for at overholde reglerne
- At afsnittet om overgangen fra de gamle samtykke-regler i persondataloven er blevet fjernet
I forhold til det første punkt om scrolling / swiping er det klart, at ”aktive handlinger” godt kan være en såkaldt utvetydig viljestilkendegivelse, og derfor et gyldigt samtykke.
Det betyder eksempelvis, at virksomheder som udgangspunkt godt kan bruge løsninger hvor et swipe, et vink eller en bestemt bevægelse på smartphone-skærmen udgør et samtykke, forudsat selvfølgelig at det er klart, at bevægelsen betyder samtykke.
Datatilsynets nye opdateringer understreger dog, at virksomheder skal være forsigtige, da løsninger hvor man scroller eller swiper igennem en hjemmeside eller anden elektronisk løsning ikke altid er et gyldigt samtykke - det er tilfældet hvis handlingen er svær at sondre fra anden aktivitet på siden. Det skyldes også, at det samtidig kan være stort set umuligt for virksomheden at udarbejde en tilsvarende løsning der gør, at man kan trække samtykket tilbage lige så let som det blev givet.
Efter den anden opdatering i Datatilsynets, kan virksomheder fra nu af bruge vejledningens tjekliste for samtykke direkte. Der er kun tale om en rettesnor, men tjeklisten indeholder en række hjælpsomme spørgsmål, som virksomheder kan bruge til at tjekke at samtykket er gyldigt. Spørgsmålene tvinger blandt andet stillingtagen til, om det kan få negative konsekvenser ikke at give samtykke, om samtykketeksten er tilstrækkelig samt på om virksomhedens iværksatte procedurer er tilstrækkelige.
Endelig har Datatilsynet fjernet afsnittet om samtykke efter de gamle regler. I den forbindelse har Datatilsynet dog understreget, at deres holdning fortsat er at samtykke indhentet efter de gamle regler fortsat er gyldigt, så længe det lever op til de nye regler.
IUNO mener
Samtykke-reglerne er komplekse, og som Datatilsynets seneste praksis også viser, skaber det for mange virksomheder problemer at sikre, at samtykkeløsningen opfylder alle databeskyttelsesreglernes høje krav.
IUNO anbefaler, at selvom Datatilsynets seneste opdateringer af samtykke-vejledningen er af begrænset omfang, er det for mange virksomheder en god idé, at kopiere og gennemgå den opdaterede tjekliste for at sikre, at virksomhedens samtykkeløsning er gyldig.
[Datatilsynets vejledning om samtykke af den 5. maj 2021]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet