Samtykker som er gitt før 20. juli 2018 er gyldig bare hvis de oppfyller kravene nedenfor. Hvis bedrifter bruker samtykke som behandlingsgrunnlag, bør man altså sjekke om det er nødvendig å "oppdatere" de samtykkene man har.
Utgangspunktet for reglene om samtykke er at de registrerte selv skal ha kontroll over personopplysningene om dem. Bedriften må derfor gi dem informasjon som gjør at de kan vurdere om de vil gi samtykke eller ikke.
Her er en oppsummering av de reglene som gjelder:
1. Bedriften må ha mottatt samtykke før den starter behandlingen av opplysningene.
2. Bedriften må gi en del informasjon før samtykke kan bli gitt.
Samtykke skal nemlig gis "informert". Meningen er at den registrerte skal få den informasjonen han trenger for å bestemme seg for om han vil gi samtykke. Følgende informasjon må bedrifter minst gi:
- Formålet med den behandlingen bedriften ber om samtykke til
- De opplysningene bedriften ønsker å behandle
- Den behandlingen det er snakk om
- Retten til å trekke samtykket tilbake
- Navn og organisasjonsnummer på bedriften som skal behandle opplysningene
- Eventuell overføring av opplysninger til mottakere i land utenfor EØS
- Eventuell bruk av opplysningene til automatiske avgjørelser eller profilering
Denne informasjonen vil ofte inngå i personvernerklæringen.
Bedriften må gi denne informasjonen på en klar og forståelig måte. Informasjonen skal være klart atskilt fra annen informasjon bedriften gir.
3. Den registrerte må reelt kunne velge om han vil avgi samtykke.
Det må altså være frivillig. Poenget er blant annet at det ikke skal ha noen negative konsekvenser for en som ikke vil gi samtykke. Et eksempel er at en nettbutikk – for markedsføringsformål – krever at kunden samtykker til å motta et nyhetsbrev for å få kjøpt varen. Dersom kunden ikke kan få kjøpt varen uten å samtykke til å motta ukentlige nyhetsbrev fra nettbutikken, så er samtykket til nyhetsbrevet ikke frivillig.
4. Om egne ansatte.
Styrkeforholdet mellom arbeidsgiver og en ansatt kan gjøre at ansatte oppfatter at de ikke kan velge å si nei til å gi samtykke. Da er samtykke ikke frivillig. Som arbeidsgiver bør man derfor være forsiktig med å bruke samtykke som behandlingsgrunnlag. Har arbeidsgiver stort behov for opplysningene vil man som regel ha andre behandlingsgrunnlag, som berettiget interesse. Velger man likevel å basere seg på samtykke, må det være helt klart for den ansatte at det er frivillig å gi det.
5. Samtykket må være spesifikt.
Bedriften må sørge for at samtykket gjelder det konkrete formål den skal bruke opplysningene til. Har bedriften flere formål med behandlingen må man vurdere å hente inn samtykke for hvert av formålene, for eksempel ved å bruke flere avkrysningsbokser.
Ønsker bedriften senere å bruke opplysningene til andre formål, må den skaffe nytt eller oppdatert samtykke fra de registrerte.
6. Et samtykke skal være utvetydig.
Det skal altså ikke være noe tvil om at samtykket er gitt eller om hva samtykket omfatter. "Den som tier, samtykker", gjelder ikke her. Taushet eller passivitet utgjør ikke samtykke. Det gjør heller ikke forhåndsutfylte "Ja, jeg ønsker..."-bokser.
Du har ikke en god ordning for samtykke hvis du tror at kundene kan si "jeg skjønte ikke at jeg ga samtykke".
7. Dokumentasjon
Bedriften kan motta samtykke skriftlig, muntlig, digitalt eller på en hvilken som helst måte. Men bedriften må kunne dokumentere at samtykket er gitt.
8. Bedriften må kunne påvise at den har mottatt samtykke.
Hvem har gitt samtykke? Hvordan? Når? Hvilken informasjon fikk de registrerte før de ga samtykke?
9. Et samtykke varer så lenge som det selv angir.
Hvis det ikke er angitt noen varighet, faller det i prinsippet ikke bort før det er trukket tilbake.
10. Vedrørende sensitive opplysninger.
Bedrifter som vil bruke samtykke som grunnlag for å behandle sensitive personopplysninger bør være ekstra oppmerksomme på hvordan de etterlever reglene. Et samtykke til å behandle sensitive personopplysninger skal være uttrykkelig. Bedriften bør forsikre seg særlig godt om at den registrerte er innforstått med hva samtykket om sensitive opplysninger omfatter. En mulighet er at samtykket blir gitt skriftlig med signatur. En annen mulighet er å gi kunden en bekreftelse på at den har mottatt et samtykke fra vedkommende. Ytterligere et alternativ er å be om "dobbelt samtykke", der en kunde som har gitt samtykke etterpå må bekrefte at samtykket er gitt.
11. Vedrørende behandling av personopplysninger om barn.
Hvis bedriften ønsker å behandle personopplysninger om barn, bør man også være særlig forsiktig og sette seg inn i reglene. Barn kjenner ikke risikoene og konsekvensene ved behandling av personopplysninger. Det gjelder dessuten egne regler om hvordan barn kan påta seg juridiske forpliktelser.
12. Den registrerte skal når som helst kunne trekke samtykket tilbake.
Det skal være like enkelt å trekke tilbake et samtykke som det var å gi det. Hvis et samtykke blir trukket tilbake må bedriften avslutte behandlingen og slette de opplysningene som er omfattet av samtykket.
13. Andre regler som kan gjelde for samtykke.
Markedsføringsloven har regler om noen former for markedsføring. Ehandelsloven har regler om informasjon man må gi ved elektronisk handel.
Datatilsynet har laget en veileder om samtykke som du kan lese her.
Datatilsynet har også informasjon om samtykke til deling av bilder av ansatte som du kan lese her.