Samtykke

Samtykke er en frivillig, specifik, informeret og utvetydig tilkendegivelse fra en person om, at vedkommende accepterer behandling af sine personoplysninger. Det er et af de seks behandlingsgrundlag i GDPR, og det stiller strenge krav til, hvordan du indhenter og dokumenterer det.

Tilbage til ordbog

Hvad er samtykke?

I GDPR er samtykke defineret i artikel 4, stk. 11. Det kræver fire ting: Samtykket skal være frivilligt, specifikt, informeret og utvetydigt. Det lyder simpelt, men i praksis er kravene skærpet, end mange tror.

Frivilligt betyder, at personen skal have et reelt valg. Hvis samtykket er en betingelse for at få en tjeneste, der ikke kræver data til at fungere, er det ikke frivilligt. Specifikt betyder, at du ikke kan bede om et bredt samtykke til flere usammenhængende formål; hvert formål kræver sit eget samtykke.

Forudafkrydsede bokse tæller ikke: GDPR kræver en aktiv handling fra den registrerede. En boks, der allerede er krydset af, er ikke gyldigt samtykke. EU-Domstolen slog det fast i Planet49-dommen.

De fire krav til gyldigt samtykke

Frivilligt: Den registrerede må ikke være under pres eller lide negative konsekvenser ved at sige nej.
Specifikt: Samtykket skal være knyttet til et bestemt formål. Et samlet samtykke til flere formål er ugyldigt.
Informeret: Personen skal vide, hvem der behandler data, til hvilket formål, og hvilke data det drejer sig om.
Utvetydigt: Der skal være en klar, aktiv handling som fx et klik eller en underskrift. Stiltiende samtykke gælder ikke.

Hvornår skal du bruge samtykke?

Samtykke er et af seks mulige behandlingsgrundlag i GDPR artikel 6. Det er ikke altid det bedste valg, fordi det kan trækkes tilbage. Overvej om et mere stabilt grundlag som legitim interesse eller kontrakt kan anvendes.

Samtykke er typisk relevant til:

Markedsføring via e-mail og SMS
Cookies og online tracking ud over strikt nødvendige cookies
Behandling af følsomme personoplysninger
Deling af data med tredjeparter til formål, der ikke er nødvendige for tjenesten

Tilbagetrækning af samtykke

Den registrerede kan til enhver tid trække sit samtykke tilbage, og det skal være lige så nemt som at give det. Hvis du indhenter samtykke med et klik, skal tilbagetrækning også kunne ske med et klik.

Tilbagetrækning påvirker ikke lovligheden af den behandling, der skete, mens samtykket var aktivt. Men når samtykket er trukket, skal du stoppe behandlingen med det samme.

Dokumentation

Du skal kunne bevise, at samtykket blev givet. Det betyder, at du skal gemme:

Hvem der gav samtykket
Hvornår det blev givet
Hvad de blev informeret om
Hvordan samtykket blev indhentet

Sørg for at din artikel 30-fortegnelse afspejler, hvilke behandlinger der bygger på samtykke.

Ofte stillede spørgsmål om samtykke

Hvad er samtykke i GDPR?

Samtykke er en frivillig, specifik, informeret og utvetydig viljeserklæring, hvor den registrerede accepterer behandling af sine personoplysninger. Det er et af seks mulige behandlingsgrundlag i GDPR artikel 6.

Kan man trække sit samtykke tilbage?

Ja. Den registrerede kan til enhver tid trække sit samtykke tilbage. Det skal være lige så nemt at trække samtykket som at give det. Tilbagetrækning påvirker ikke lovligheden af den behandling, der fandt sted før tilbagetrækningen.

Hvornår skal jeg bruge samtykke som behandlingsgrundlag?

Samtykke er relevant, når du ikke har et andet lovligt grundlag. Det bruges ofte til markedsføring, cookies og behandling af følsomme personoplysninger. Undgå samtykke, hvis du kan støtte dig på et mere stabilt grundlag som fx legitim interesse eller kontrakt.

Er forudafkrydsede bokse gyldigt samtykke?

Nej. GDPR kræver en aktiv handling fra den registrerede. Forudafkrydsede bokse udgør ikke gyldigt samtykke, som EU-Domstolen fastslog i Planet49-dommen.

Hvad skal organisationer dokumentere om samtykke?

Organisationer skal registrere, hvem der gav samtykket, hvornår det blev givet, hvad personen blev informeret om, og hvordan samtykket blev indhentet. Dokumentationen skal være tilgængelig i tilfælde af tilsyn.