Samtykke er kun én af flere mulige behandlingshjemler efter GDPR. Mange almindelige behandlinger af personoplysninger i virksomheder kan og bør i praksis baseres på anden hjemmel end samtykke.
 

 Det er en udbredt misforståelse, at virksomheder altid skal indhente samtykke, når de behandler personoplysninger. Det er ikke korrekt. Efter Databeskyttelsesforordningen skal der være et lovligt grundlag for behandlingen, men samtykke er kun én af seks mulige hjemler for behandling af almindelige personoplysninger.

Det afgørende er, at virksomheden vælger den hjemmel, der passer til formålet med behandlingen, og at den registrerede får klare oplysninger om behandlingen og behandlingsgrundlaget.

Hvilke hjemler kan bruges i stedet for samtykke?
Når en virksomhed behandler almindelige, ikke-følsomme personoplysninger, kan behandlingen blandt andet ske på følgende andre grundlag jf. Databeskyttelsesforordningens art. 6, stk. 1:

Retlig forpligtelse: Behandlingen er nødvendig, fordi virksomheden er forpligtet efter lovgivningen. Det kan for eksempel være opbevaring af regnskabsmateriale efter bogføringsreglerne.

Kontrakt: Behandlingen er nødvendig for at opfylde en kontrakt med den registrerede. Det kan for eksempel være behandling af navn, adresse og kontaktoplysninger for at levere en vare eller ydelse til en kunde.

Vitale interesser: Behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser. Denne hjemmel bruges typisk kun i særlige situationer, hvor liv eller helbred er på spil.

Samfundsmæssige interesser eller offentlig myndighedsudøvelse: Behandlingen er nødvendig af hensyn til en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse. Denne hjemmel er især relevant for offentlige myndigheder, men kan i visse tilfælde også have betydning for private aktører, hvis opgaven har et særligt lovgrundlag.

Legitime interesser: Behandlingen er nødvendig for, at virksomheden kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder vejer tungere. Behandlingsgrundlaget kræver en konkret interesseafvejning.

Hvornår er et samtykke gyldigt?
Behandling af personoplysninger på baggrund af samtykke er kun gyldigt, hvis samtykket opfylder kravene i Databeskyttelsesforordningen.

Et gyldigt samtykke skal være:

1. Frivilligt: Den registrerede må ikke presses til at give samtykke, og der må som udgangspunkt ikke være unødvendige negative konsekvenser ved at sige nej.

2. Specifikt: Samtykket skal angå et klart og afgrænset formål. Et bredt samtykke til “behandling af personoplysninger” er ikke tilstrækkeligt.

3. Informeret: Den registrerede skal vide, hvem der behandler oplysningerne, hvilke oplysninger der behandles, til hvilket formål, og at samtykket kan trækkes tilbage.

4. Utvetydigt: Samtykket skal gives ved en aktiv handling. Det kan derfor ikke afgives stiltiende, og forudafkrydsede felter vil som udgangspunkt ikke være gyldige.

Kravene følger af Databeskyttelsesforordningens artikel 4, nr. 11, artikel 6, stk. 1, litra a, og artikel 7.

Samtykke er ikke altid den bedste løsning
Selvom samtykke ofte virker som den mest enkle løsning, er det ikke altid den mest hensigtsmæssige hjemmel for behandling af personoplysninger.

Først og fremmest skal du sikre, at samtykke er gyldigt og opfylder ovenstående betingelser for samtykke. Bl.a. betyder betingelsen om ”specifikt”, at du ikke kan bede om ét samtykke til flere formål, uden at den registrerede kan vælge mellem formålene. Så længe blot én af betingelserne ikke er opfyldt, er samtykket ikke gyldigt og kan derfor ikke bruges som behandlingsgrundlag.

Desuden er man med samtykket som regel bundet af det formål, som den registrerede er blevet oplyst om, da samtykket blev indhentet, hvilket gør samtykket til en mindre ”smidig” behandlingshjemmel.

Endelig bør man være opmærksom på, at et samtykke altid kan trækkes tilbage. Hvis virksomheden har baseret behandlingen på samtykke, skal behandlingen derfor som udgangspunkt stoppe, når samtykket trækkes tilbage. Det gør samtykke mindre stabilt end de andre behandlingsgrundlag.

Derfor bør virksomheder altid starte med at spørge: Hvad er formålet med behandlingen af personoplysningerne, og hvilken hjemmel passer bedst til netop det formål?