GDPR: Kravet om samtykke
Det nye regelverket for personvern gir virksomheter nye plikter og enkeltpersoner nye rettigheter. Kravet om samtykke er et av temaene som kommer opp i forbindelse med GDPR, og er helt sentralt i forberedelsene din bedrift må foreta seg. La oss gå gjennom hva kravet om samtykke dreier seg om.
Vil du lære mer om GDPR? Da kan denne artikkelen være noe for deg: GDPR: Plikter vår virksomhet å ha personvernombud?
Samtykke – et absolutt krav
For å behandle personopplysninger må det foreligge et lovlig samtykke fra personen, og det er en forutsetning at samtykket er avgitt på lovlig vis. Samtykke skal etter GDPR være viljesytringer som er frivillige, spesifikke, informerte og utvetydige.
Frivillig
At samtykke er avgitt frivillig innebærer at det er avgitt fritt, altså uten fordeler eller ulemper knyttet til samtykket. Det må avgis av egen fri vilje (altså ikke under tvang eller i frykt for konsekvenser).
Spesifikt
For det andre må samtykket være spesifikt. Det betyr at samtykket må være avgitt konkret for det formålet samtykket samles inn for. Det må innhentes separate samtykker for de ulike formålene, selv om det i flere tilfeller kan være mer hensiktsmessig å innhente et samlet samtykke. Kravet innebærer også at samtykke ikke kan tas inn som en del av vilkårene for en tjeneste, et slikt samtykke vil være ugyldig.
Utvetydig
For det tredje må samtykket ikke være utvetydig, noe som innebærer at den registrerte må ved erklæring eller en tydelig bekreftelse gi sitt samtykke til samhandling. Det kreves altså en aktiv handling fra den registrertes side, eksempelvis at det krysses av i en boks eller på annen måte aktivt godkjenner behandlingen av personopplysninger.
Informert
For det fjerde må den som gir samtykke være informert, det skal altså klart fremgå hva den registrerte samtykker til at behandlingen av personopplysninger kan omfatte, altså formålet med behandlingen som personopplysningene skal brukes til, hvem samtykket er gitt til, hvilke typer personopplysninger som vil bli samlet inn og behandlet, at det kan fritt trekkes tilbake med mer.
Bakgrunn – EUs personvernreform
Kravet om samtykke i de nye personvernlovene er en del av EUs grep for å styrke individets rettigheter over egne personopplysninger. Dagens personvernlov bygger på et personverndirektiv fra 1995, og som alle vet har det skjedd mye på de 22 årene innen teknologi. For å tilpasse oss den digitale tidsalderen er det på høy tid at gjeldende lovverk blir oppdatert.
Dagens personopplysningslov fra år 2000 med tilhørende forskrift vil derfor oppheves, og erstattes med personvernloven
Hva er personopplysninger?
Personopplysninger består av tre element; en fysisk person som kan identifiseres, opplysninger og en kobling mellom personen og opplysningene. At personopplysninger kun omfatter fysiske personer, innebærer at opplysninger om juridiske personer (selskaper, organisasjoner, foreninger mv.) ikke er personopplysninger. Etter den nye personvernloven er en personopplysning ”enhver opplysning o en identifisert eller identifiserbar person”.
Etter dagens lov om personopplysninger, er definisjonen tilsvarende, men den tekniske utviklingen har ført til en endring av hva som anses å være personopplysninger.
Har du behov for veiledning i hvordan du best kan håndtere personopplysninger i din bedrift? Ta kontakt, så vil en av Accountors rådgivere kunne hjelpe deg.