GDPR › Personoplysninger

Samtykke og GDPR: Hvad er samtykke som behandlingshjemmel?

Samtykke er blot én af seks hjemler til behandling af personoplysninger under GDPR. Lær hvornår det er det rette valg, hvad der gør det gyldigt, og hvornår andre hjemler er et bedre alternativ.

Book demo
Flad vektorillustration med et hvidt kort med et afkrydset samtykkefelt og en underskriftsgest centralt, omgivet af ikoner for brugerprofil, lås, konvolut og et cirkulært flueben. Overskriften

Indholdsfortegnelse

    Alle dine behandlinger af personoplysninger kræver, at du har hjemmel i GDPR's artikel 6 til at foretage disse behandlinger, og samtykket er blot en af seks forskellige hjemler, som kan anvendes.

    Hvad er et samtykke?

    For mange er "samtykke" blevet forstået som den eneste hjemmel til at behandle personoplysninger, men dette er en misforståelse.

    Kort fortalt er et samtykke gyldigt, når:

    • Det kan påvises at være blevet afgivet.
    • Det er givet til et specifikt formål.
    • Det er afgivet frivilligt.
    • Det kan tilbagetrækkes af den som har afgivet sit samtykke.

    Fordele og ulemper ved brug af samtykke

    I det følgende vil vi se nærmere på fordele og ulemper ved at bruge samtykke som hjemmel til behandlingen af personoplysninger.

    Flad vektorillustration med to hvide kort side om side. Det venstre kort med teal-farvet header viser fordele ved samtykke med tre punkter markeret med flueben. Det højre kort med hot pink header viser ulemper med tre advarselsikoner — herunder tilbagetrækning, tvang og administrativ byrde.

    Ulemper

    Du bør som udgangspunkt blot anvende samtykket som hjemmel til din behandling af personoplysninger, når du ikke kan finde anvendelse af de øvrige hjemler. Det skyldes, at det kan være vanskeligt at foretage den ønskede behandling af personoplysninger, hvis behandlingen baseres på samtykke.

    Tilbagetrækning af samtykke

    Grunden hertil er, at den som afgiver samtykket altid kan tilbagetrække sit samtykke, hvilket i så fald vil kræve et stop af behandlingen af deres personoplysninger.

    Frivillighed

    Derudover skal samtykket afgives frit. Der må altså ikke være nogen tvang involveret i afgivelsen af samtykket, da det i så fald vil være ugyldigt. Dette gør det vanskeligt for arbejdsgivere at anvende samtykke som hjemmel til at behandle ansattes oplysninger, da medarbejdere kan føle sig tvunget til at afgive sit samtykke i denne relation af frygt for konsekvenser for ansættelsesforholdet.

    Modvillighed

    Afhængigt af konteksten kan det af nogle opfattes negativt, at de skal afgive samtykke til behandling af deres personoplysninger. Brugerne er trætte af de standardiserede og tørre juridiske tekster og procedurer, som ofte følger af virksomhedernes forsøg på at efterleve samtykkekravene. Dette kan føre til, at mange brugere blot klikker eller afkrydser "ja" uden at læse hvad de giver samtykke til, hvilket senere kan skabe problemer for din virksomhed i forhold til at skulle påvise gyldigheden af samtykket overfor brugerne.

    Administration af samtykket

    Det kan også være en administrativ byrde for dig at benytte sig af samtykke, da alle forhold i afgivelsen af samtykket skal dokumenteres. Du skal efterleve oplysningspligten, dokumentere korrekt afgivet samtykke og så skal du behandle og efterkomme eventuelle tilbagetrækninger af samtykket.

    Fordele

    En af fordelene ved at anvende samtykke som hjemmel til behandling af personoplysninger er den fleksibilitet, som det giver dig som dataansvarlig, da det kan anvendes som alternativ til følgende hjemmelsgrundlag; kontrakt, lovkrav og legitim interesse.

    Frivillighed og troværdighed

    Når du anvender samtykke, inddrager du brugerne, som aktivt kan tilvælge at få deres personoplysninger behandlet, og det viser derfor brugerne, at deres data kun anvendes med deres medbestemmelse. Dette kan styrke virksomhedens troværdighed.

    Forståelighed

    Det er ofte nemmere for brugerne at forstå hjemmelsgrundlaget 'samtykke' end fx den dataansvarliges legitime interesse. Samtykket kræver klar kommunikation om behandlingen, samt et klart ja eller nej til at vedkommendes personoplysninger kan behandles.

    Følsomme personoplysninger

    Private virksomheder har begrænsede muligheder for at behandle følsomme personoplysninger, hvilket kan behandles, hvis virksomheden fx er underlagt et lovkrav, varetager myndighedsopgaver, mv.

    Man kan dog behandle følsomme personoplysninger ved at bruge samtykket som behandlingshjemmel jf. artikel 9, stk. 2, litra a), hvis man har fået vedkommendes udtrykkelige samtykke.

    Samtykke eksempler

    I det følgende kan du finde eksempler på anvendelsen af samtykke som et hjemmelsgrundlag for behandlingen af personoplysninger.

    Offentliggørelse af kundecases

    Når du vil bruge en kundes navn, billede, udtalelse, etc. i din markedsføring, så kan du bede om samtykke. Kunden skal vide, hvad informationen bruges til, og have mulighed for at sige nej uden at dette medfører negative konsekvenser for kunden.

    Markedsundersøgelser

    Hvis du vil sende spørgeskemaer ud som led i en markedsundersøgelse, så skal du som udgangspunkt have samtykke fra modtagerne. Markedsundersøgelsen kan have til formål at undersøge markedet, målgrupper eller nye forretningsideer.

    Optagelse af telefonsamtaler med kundesupport

    Hvis du vil optage opkald med kunder for at bruge optagelser til efterfølgende træning af medarbejderne, så skal kunden give aktivt samtykke til optagelsen. Kunden skal informeres klart om formålet og have mulighed for at afvise det uden at dette har konsekvenser for den kundeservice, som de tilbydes.

    Nyhedsbreve

    Skærmbillede af dotlegals nyhedsbrevstilmelding med et aktivt opt-in afkrydsningsfelt, der illustrerer korrekt indhentning af samtykke, inden en bruger tilføjes til mailinglisten.

    Når man kan tilmelde sig virksomhedens nyhedsbrev via hjemmesiden, så skal man have brugerens samtykke for at kunne tilmelde dem nyhedsbrevet. Det skal være et aktivt tilvalg, og det skal være let at afmelde sig igen.

    Deltagelse i konkurrence

    Når du afholder en konkurrence, som interesserede kan tilmelde sig, så kan deltagernes samtykke anvendes hertil. Du behandler her deres oplysninger til et specifikt og tidsbegrænset formål, som er at udtrække en vinder af konkurrencen blandt deltagerne.

    Brug af marketing cookies på websitet


    Skærmbillede af dotlegal.com's cookiebanner, der viser en informeret og frivillig samtykkemulighed, hvor brugeren kan acceptere eller afvise markedsføringscookies med lige stor lethed.

    Hvis du ønsker at sætte marketing cookies i browseren på brugere af din hjemmeside, så skal du have deres aktive samtykke hertil. Det skal være et informeret og frivilligt valg, og brugeren skal kunne afvise det ligeså let, som det er at afgive samtykket.

    Alternative hjemler til samtykket

    Når en virksomhed vil behandle personoplysninger om sine kunder eller ansatte, så vil man ofte anvende kontraktforholdet som hjemmel jf. artikel 6, stk.1, litra b, eller virksomhedens legitime interesse jf. artikel 6, stk.1, litra f.

    Kontrakt

    Kontrakthjemlen anvendes til al den behandling, som det er påkrævet at udføre jf. en aftale mellem virksomheden og kunden, hvilket også gælder behandling af persondata, op til og efter, kontraktindgåelsen. Det vil derfor ikke give mening at skulle anvende samtykket i denne kontekst, da kontrakthjemlen giver bedre vilkår for at opfylde formålet med behandlingen af persondata fx at levere en pakke til en kunde.

    Legitim interesse

    Din virksomhed kan have interesse i at behandle en kundens data til andre formål fx for at beskytte virksomheden mod tyveri (kameraovervågning) eller misbrug (logning af brugeradfærd i et IT-system). Denne behandling kan foretages med udgangspunkt i virksomhedens legitime interesse. I denne kontekst giver det ikke mening at bede om kundens samtykke, da behandlingen foregår med henblik på at sikre at kunden ikke skader virksomheden.

    Samtykke og din GDPR-compliance

    Når du fører din fortegnelse, så bør du registrere den hjemmel, som du anvender for hver af dine behandlingsaktiviteter fx samtykke.

    Skærmbillede af dotlegals GDPR-compliance-software, der viser, hvordan samtykke registreres som retsgrundlag for en behandlingsaktivitet i behandlingsfortegnelsen.

    Du bør også have en procedure for håndteringen af tilbagetrækninger af samtykker for hver enkelt af de behandlingsaktiviteter, som anvender denne hjemmel.

    Denne procedure kan du uploade til dit GDPR compliance software og koble dette til den konkrete behandlingsaktivitet, hvor samtykket anvendes. Uden en sådan procedure vil det være tvivlsomt, at du kan efterleve dine forpligtelser over tid.

    Vil du se, hvordan .legal kan hjælpe dig med at håndtere samtykker og øvrige GDPR-forpligtelser? Book en demo og lad os vise dig platformen.

    Oftest stillede spørgsmål om samtykke og GDPR

    Hvad er et samtykke under GDPR?

    Et samtykke under GDPR er en frivillig, specifik, informeret og utvetydig tilkendegivelse fra den registrerede om, at vedkommende accepterer behandlingen af sine personoplysninger til et bestemt formål. Det skal kunne påvises, at samtykket er afgivet, og det skal til enhver tid kunne tilbagetrækkes.

    Er samtykke den eneste hjemmel til at behandle personoplysninger?

    Nej, samtykke er blot én af seks mulige hjemler under GDPR's artikel 6. De øvrige hjemler er: opfyldelse af kontrakt, overholdelse af retlig forpligtelse, beskyttelse af vitale interesser, udførelse af opgave i samfundets interesse og den dataansvarliges legitime interesse.

    Hvornår er et samtykke gyldigt under GDPR?

    Et samtykke er gyldigt, når det kan påvises at være afgivet, er givet til et specifikt formål, er afgivet frivilligt uden tvang, og kan tilbagetrækkes af den registrerede. For følsomme personoplysninger kræves udtrykkelig samtykke jf. artikel 9, stk. 2, litra a).

    Kan en person tilbagetrække sit samtykke?

    Ja, et samtykke kan altid tilbagetrækkes. Tilbagetrækning skal være ligeså let som det var at afgive samtykket. Når samtykket trækkes tilbage, skal behandlingen af de pågældende personoplysninger ophøre, medmindre der er anden hjemmel for at fortsætte behandlingen.

    Kan arbejdsgivere bruge samtykke til at behandle medarbejderoplysninger?

    Det frarådes generelt, fordi medarbejdere kan føle sig tvunget til at afgive samtykke af frygt for konsekvenser for ansættelsesforholdet. Et samtykke afgivet under tvang er ugyldigt. Arbejdsgivere bør i stedet overveje hjemler som kontrakt eller lovkrav.

    Hvornår bør man bruge samtykke frem for legitim interesse?

    Samtykke er velegnet, når brugeren aktivt skal tilvælge noget, fx nyhedsbreve, marketing cookies eller deltagelse i konkurrencer. Legitim interesse er ofte mere hensigtsmæssig, når behandlingen sker i virksomhedens interesse, fx kameraovervågning eller logning af IT-systemer.

    Kan samtykke bruges til at behandle følsomme personoplysninger?

    Ja, udtrykkelig samtykke fra den registrerede er én af de mulige hjemler til behandling af følsomme personoplysninger jf. GDPR's artikel 9, stk. 2, litra a). Private virksomheder har ellers begrænsede muligheder for at behandle følsomme personoplysninger.

    Hvad skal man dokumentere, når man bruger samtykke?

    Du skal efterleve oplysningspligten, dokumentere at samtykket er korrekt afgivet, og håndtere eventuelle tilbagetrækninger. Det kræver en klar procedure for hvert samtykkebaseret behandlingsformål og registrering i din fortegnelse over behandlingsaktiviteter.

    Hvad sker der, hvis et samtykke trækkes tilbage?

    Behandlingen af de personoplysninger, der var baseret på samtykket, skal ophøre. Du skal have en klar procedure og sikre, at behandlingen stopper inden for en rimelig frist. Tilbagetrækning påvirker ikke lovligheden af behandling foretaget forud for tilbagetrækningen.

    Hvornår bør man bruge kontrakt som hjemmel frem for samtykke?

    Kontrakthjemlen bør bruges, når behandlingen er nødvendig for at opfylde en aftale med kunden, fx levering af en vare eller ydelse. Her giver kontrakthjemlen bedre vilkår end samtykke og gør det unødvendigt at indhente og administrere et samtykke.

    Har du fortsat spørgsmål?

    Spørg Johannes direkte, han giver de fleste af vores demoer personligt

    Book ham her

    Læs flere artikler om GDPR og samtykke

    Er du nysgerrig på at lære mere om behandlingshjemler, registreredes rettigheder og GDPR-compliance? Udforsk vores artikler om emnet her.

    Processing activities

    .legal compliance platform Håndtér samtykke og GDPR-compliance med lethed

    Brug .legal til at registrere samtykke som hjemmel for dine behandlingsaktiviteter, dokumentere tilbagetrækningsprocedurer og føre en komplet fortegnelse.
    • Samtykkeregistrering
    • Håndtering af tilbagetrækningsprocedurer
    • Fortegnelse over behandlingsaktiviteter
    • Komplet GDPR-complianceoverblik
    Book demo
    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl