Samtykkeerklæringen

Hvis man som virksomhed vil indsamle og bruge personoplysninger om en kunde, skal man med den nye persondataforordning (GDPR) have en samtykkeerklæring.

Det kan man få lov til, hvis det specifikt står i loven eller i en kontrakt, men højst sandsynligt vil det kræve et specifikt samtykke, før man må indsamle disse data.

Langt de fleste virksomheder har i dag e-mailadresser i forbindelse med nyhedsbreve, indsamler personlige informationer for at kunne tilrette produkttilbud eller har billeder og navne af medarbejdere på hjemmesiden.

Derfor skal næsten alle virksomheder også have styr på deres hjemmel for databehandling og samtykkeerklæringer. Det er vigtigt for de enkelte firmaer at have styr på, hvilke nye standarder og forpligtelser der følger med den kommende lovgivning, da sanktioner og bøder fremover vil ramme endnu hårdere.

Hvis et online skofirma i forbindelse med en målrettet kampagne for løbesko f.eks. ønsker at benytte sig af personoplysninger, så de kan tilbyde de helt rigtige sko, skal firmaet have lov til dette af kunden, hvilket ville kræve en samtykkeerklæring.

En samtykkeerklæring skal tydeligt beskrive, hvor og hvordan at kundens data behandles, hvad oplysningerne bruges til, og hvem data evt. videregives til. Ellers risikerer man, at man ikke har den fornødne hjemmel til rent faktisk at behandle og bruge disse data.

Hvornår skal samtykkeerklæringen bruges, og hvor tit skal man have en?

Erklæringen skal som udgangspunkt kun indhentes én gang fra en forbruger/kunde. Ønsker man at bruge persondataene til nye formål, kræves der er en ny opdateret samtykkeerklæring, der beskriver, hvad data nu skal bruges til.

I eksemplet med skofirmaet, kunne man forestille sig, at de nu ville udvide deres brug af kundedata, så data kunne bruges til flere forskellige kampagner og måske af en underleverandør.

Her ville det kræve, at kunden på ny skulle undersskrive en samtykkeerklæring, hvor det nye formål er inkluderet, og hvordan den nye behandling af data bliver forklaret.

Hvad skal en samtykkeerklæring indeholde?

Lovgivningen er ret klar om, at indsamling af persondata skal ske til konkret angivne formål. Det betyder, at man ikke kan lave en generel formulering om, at de indsamlede oplysninger kan bruges til diverse formål, som ikke nærmere specificeres.

Samtykkeerklæringen skal derfor indeholde:

  • Navnet på din virksomhed (hvis du er dataansvarlig) samt kontaktoplysninger på virksomhedens dataansvarlige
  • Formålet med dataindsamlingen. Der skal tydeligt gøres opmærksom på, hvordan persondata indsamles og behandles, og det skal være skrevet i en nemt tilgængelig form ved brug af klart og tydeligt sprog
  • Navnene på modtagere eller kategorier af modtagere af oplysningerne
  • Den registreredes rettigheder til at rette og slette data samt at trække samtykket tilbage
  • Muligheden for at klage til den nationale databeskyttelsesmyndighed (Datatilsynet)
  • Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare

Desuden skal samtykket være afgivet udtrykkeligt og være synligt adskilt fra andet information. Samtykkeerklæringen må derfor ikke indgå i f.eks. standardvilkår eller konkurrencevilkår, men skal afgives via et særskilt afkrydsningsfelt.

Tilbage til skofirmaet, vil de leve op til forordnignen, hvis de tydeligt oplyser brugerne om, at de indsamler persondata, hvordan data helt konkret bruges og via samtykkeerkælringen oplyser om alle overstående punkter.

Ligeledes skal skofirmaet sørge for, at de enkelte persondata kan ændres og trækkes ud af firmaets databaser af de enkelte kunder. Firmaet skal også kunne dokumentere, at de behandler persondata korrekt.

Har din virksomhed behov for yderligere rådgivning vedr. persondataforordningen, kan man altid kontakte advokat Søren Wolder fra DAHL Advokatfirma, swk@dahllaw.dk, 30 84 35 12.

Her kan du læse Datatilsynets vejledning om Samtykke.

Dansk Erhverv har derudover udarbejdet en skabelon til et samtykke for at bruge medarbejderbilleder på f.eks. hjemmeside. Her kan du hente Samtykkeerklæring om brug af medarbejderbilleder i ansættelsesforhold.

Hvis du vil vide mere

Du kan læse Datatilsynets vejledning ”Behandlingssikkerhed, Databeskyttelse gennem design og standardindstillinger”, hvis du vil vide mere om ovenstående.

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.