<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2374102812652515&amp;ev=PageView&amp;noscript=1">

Det besværlige samtykket?

Skrevet av Christian Butenschøn den 15. oktober, 2019

Kategorier: GDPR

Den 21 januar 2019 blir Google varslet om en rekord bot på ca 500 MNOK for brudd på GDPRs informasjons og samtykkekrav. Noen måneder senere i Aten, nærmere 30 juli blir rådgivningskjempen PWC blir ilagt ca. 1,5MNOK kr i bot for brudd på GDPR ved å bruke samtykker som juridisk grunnlag i behandlingen av personopplysninger for ansatte og får 3 måneder frist på å rette feilen. 

I Stockholm den 22 august fikk Datainspektionen i Sverige varsler bot på 200 000 til en skole i Stockholm for å bruke ansiktsgjenkjenning via kamera i et prøveprosjekt for fraværsregistrering av 22 elever over 3 uker, til tross for at samtykke var innhentet. Omtrent på samme tid fikk 100 000 vis av foreldre i Norge oversendt mer eller mindre velformulerte samtykkeskjemaer i ranselposten fra skolene.

Hva er det som gjør at disse samtykkene ikke er gyldige, og hvordan unngå å gå i samme felle?

 

Først er det lurt å se på fakta.

GDPR artikkel 4 punkt 11 gir definisjon av hva et samtykke er: «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende».

Videre beskriver GDPR artikkel 7 hva som skal til for at det skal være et gyldig samtykke:

  1. Det skal kunne påvises at gyldig samtykke foreligger

  2. Samtykke skal fremlegges på en måte som gjør det tydelig å skilles fra andre forhold, skal være forståelig og på ett lett tilgjengelig form og på et klart og enkelt språk. Et samtykke er ikke bindende om deler er i strid med dette regelverket.

  3. Den registrerte skal ha rett til å trekke samtykket til enhver tid. Det skal være like enkelt å trekke tilbake som å gi samtykke. Om samtykke trekkes skal tilbake skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke skal den registrerte informeres om dette.

  4. Ved vurdering om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av avtale er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale. Det er også i forarbeidene påpekt at for å sikre at samtykket er frivillig må det ikke være en klar skjevhet mellom den registrerte og behandlingsansvarlige (sånn som mellom offentlig myndighet og enkeltperson eller arbeidsgiver og arbeidstaker)

Få oversikt og forståelse for GDPR. Klikk her for å få tilgang til ordlisten! 


Ut fra sakene referert til i innledningen er det kanskje to områder som er spesielt viktige å ta hensyn til; i) at et samtykke skal være informert, spesifikt og på et enkelt forståelig språk og ii) at når maktforholdet mellom partene er skjevt så vil ikke et avgitt samtykke kunne ansees som frivillig. Dette gjelder særlig for offentlige myndigheter, men er også relevant for arbeidsgivere hvor behandling av personopplysninger heller bør søkes i andre juridiske grunnlag enn samtykke.

Så for å unngå å basere databehandling på feilaktige samtykker må virksomheter spørre seg;

  • Er formålet for behandlingen som det skal samtykkes til formulert på en enkel og forståelig måte?

  • Er formålet spesifikt og konkret?

  • Er det like lett å trekke som å gi?

  • Er samtykket påkrevet for at også andre bestilte tjenester/leveranser skal gjøres?

  • Er det et avhengighetsforhold mellom behandlingsansvarlig og den registrerte som kan påvirke slik at samtykke ikke kan ansees å være frivillig?

    Svarene og vurderingene rundt disse spørsmålene må dokumenteres i grunnlaget for behandlingen. 



Se vår video som forklarer GDPR på tre minutter.

 

Andre betraktninger og hensyn man må ta ved vurdering av samtykker.

Behandling av personopplysninger for barn og unge samt andre sårbare personer krever ytterligere aktsomhet. Skal samtykke gis på vegne av barnet, eller er det verifisering av et samtykke barnet selv har gitt? Trenger man bekreftelse fra en eller to foresatte, og hva om de ikke er enige? Med alle ranselpostsamtykkene kan jeg forestille meg at det er mange kontaktlærere som er frustrert over å holde oversikt. Hvis du administrerer samtykker, kan du med hånden på hjertet si at du har full oversikt og kontroll? Om samtykke er samlet inn manuelt med signerte skjemaer, hva da om man endrer mening? Er det like lett å trekke som å gi?

 

Hvor sikker er du på hvem som faktisk har avgitt samtykke?

I mange bransjer er kunnskapen om hvem som er den faktiske kunden viktig og mange har et behov for å verifisere identiteten. I Norden er BankID identifisering er en utbredt måte å autentisere enkeltpersoner. Når et samtykke, fullmakt eller bekreftelse blir gitt kan det være nødvendig benytte en løsning som har forskjellige autentiseringsmuligheter tilgjengelig, særlig hvis det er snakk om økonomiske eller helsemessige opplysninger som behandles. Da holder det sannsynligvis ikke med en enkel avkryssingsboks på et nettskjema, uten god versjonshåndtering av tekster og autentisering av enkeltpersonen. Hvem var det som faktisk samtykket, og hva var den eksakte teksten personen samtykket til?

 

Dokumentasjonskrav

Krav til gyldig samtykke i GDPR er blant annet at det skal dokumenteres at det foreligger et gyldig samtykke. For behandling av personopplysninger på grunnlag av samtykke skal dette altså ikke kunne skje før samtykke er innhentet. Hvordan gjør man det i praksis? Her er det behov for tekniske løsninger som innarbeides i arbeidsprosessene. Det finnes flere gode løsninger på markedet som ivaretar Cookie-samtykker, men det er mer begrenset med løsninger som ivaretar samtykker som må innhentes for bruk av data som ikke er knyttet til hjemmesider/web-shops eller lignende.

Bruk av avledede data for analyser og profilering, forskning, deling av data for alternative formål er eksempler hvor dette kan være aktuelt. For mange er det også viktig å ha et enkelt grensesnitt i hverdagen og ikke en jungel av systemer. Er det mulig å forene et tydelig samtykke med en løpende arbeidsprosess. 

 

Er det noen bedre alternativer enn samtykker?

I mange sammenhenger er det andre juridiske grunnlag som er bedre egnet enn samtykke. Advokatene har lenge argumentert med at samtykke som juridisk grunnlag for behandling av personopplysninger bør unngås og at et godt alternativ er Berettiget Interesse. Det er særlig 2 årsaker til dette; i) mindre risiko for ikke å få et dokumentert samtykke og ii) betydelig redusert risiko for at juridisk grunnlag bortfaller (samtykke trekkes). Dette er gode argumenter. Særlig der det er skjevhet i maktforhold er en balansetest for interesseavveining en god måte å evaluere personvernet og skape grunnlag for behandling. Men, ved Berettiget interesse er det fortsatt en omfattende informasjonsplikt hvor blant annet det skal informeres om hva den Berettigede interessen er.

I tillegg skal det informeres om retten til å protestere. Det vil si at enhver enkeltperson kan ha en personlig situasjon som gjør at den negative konsekvensen ved behandling av personopplysningene veier tyngre enn fordelen for organisasjonen som behandler opplysningene. Det er altså en rett til å 'opt-out' og bedriften må informere om dette. Ved bruk av berettiget interesse skal det nettopp dokumenteres en interesseavveining hvor virksomhetens fordeler veies opp mot den negative effekten for enkeltpersoner.

De organisasjoner som behandler samtykker på en god måte, som informerer og er tydelige på hva de ønsker å benytte personopplysningene til og som ber om lov, de bygger tillit. De organisasjonene som møter enkeltpersoner med rettighetene og som legger til rette for en god personverndialog vil skape et godt grunnlag for videre vekst.


“It seems to me that a lot of energy and effort is being spent on trying to find a way to avoid consent. That energy and effort would be much better spent establishing informed, active, unambiguous consent.” -
Elizabeth Denham, ICO commissioner 23/2 2018 at Direct Marketing Association Data Protection event

New call-to-action