ARTIKKEL 29-GRUPPEN HAR GITT UT VEILEDNING OM SAMTYKKE ETTER GDPR
Den 27. november 2017 utga Artikkel 29-gruppen veiledning om samtykke etter GDPR (General Data Protection Regulation 2016/679, heretter «GDPR» eller «forordningen»). Samtykke er ett av seks mulige lovlige grunnlag for å behandle personopplysninger etter GDPR, og er definert i forordningens artikkel 4(11) som en «frivillig, spesifikk, informert og utvetydig viljesytring» fra den registrerte om at vedkommende samtykker i behandling av sine personopplysninger. I tillegg oppstiller artikkel 7 ytterligere vilkår for at behandlingsansvarlig kan basere sin behandling på samtykke, blant annet at samtykket skal kunne dokumenteres og at det skal være like lett å trekke et samtykke tilbake som å avgi det. Veiledningen supplerer tidligere utgivelser fra Artikkel 29-gruppen om samtykke etter någjeldende direktiv, og disse vil fortsatt være relevante i den grad de er i tråd med GDPR.
Veiledningen fremhever at samtykke er et verktøy som gir den registrerte reell kontroll over hvorvidt personopplysninger om vedkommende behandles eller ikke. Det presiseres samtidig at samtykke bare kan være et gyldig behandlingsgrunnlag under de omstendigheter hvor den registrerte gis kontroll og kan velge fritt mellom å gi sitt samtykke eller ikke. Behandlingsansvarlig må vurdere om situasjonen er slik at behandlingen ikke kan baseres på samtykke, for eksempel fordi en skjev eller ujevn maktbalanse mellom partene gjør at den registrerte ikke vil ha et reelt valg mellom å avgi samtykke eller la være.
Et praktisk viktig spørsmål for mange har vært om man kan basere seg på samtykker innhentet under dagens regelverk når GDPR trer i kraft 25. mai 2018. Av fortalen til GDPR fremkommer at svaret på dette i utgangspunktet er ja, men at det likevel kreves at «the manner in which the consent has been given is in line with the conditions of this Regulation» (fortalens punkt 171). Det er lett å tenke at dette sender oss tilbake til start og at behandlingsansvarlig vil måtte innhente nye samtykker for å sikre at disse er i tråd med GDPR.
Veiledningen gir noen eksempler på når behandlingsansvarlig kan baseres seg på samtykker avgitt under dagens regelverk, og når man må innhente nye samtykker eller finne et alternativt behandlingsgrunnlag. Det nevnes blant annet at GDPR krever at samtykker kan dokumenteres, og dersom behandlingsansvarlig kun har «presumed consents of which no references are kept» må nytt samtykke innhentes. Videre krever GDPR at samtykket er en «statement or a clear affirmative action», noe som betyr at dersom den registrerte kun har unnlatt å fjerne avkrysningen av en ferdig avkrysset boks, kan ikke denne unnlatelsen utgjøre et samtykke etter GDPR. En avklaring er at veiledningen presiserer at selv om informasjonen den registrerte fikk på tidspunktet for avgivelsen av samtykket ikke er i samsvar med GDPR artikkel 13 og artikkel 14, gjør ikke dette nødvendigvis at samtykket som sådan er ugyldig. Om behandlingen fortsatt kan baseres på det avgitte samtykke beror blant annet på hvilken informasjon som ble gitt når samtykket ble avgitt under dagens regelverk.
Veiledningen sier også noe om at behandlingsansvarlig vil ha mulighet til å vurdere om behandlingen kan baseres på et annet behandlingsgrunnlag, dersom man kommer til at samtykket innhentet under dagens regelverk ikke er i samsvar med GDPR. Dette siste vil nok være en praktisk løsning for mange.
Uten at det er behandlet her, redegjør veiledningen nærmere for hva som ligger i vilkårene om at et samtykke er frivillig, spesifikt, informert og utvetydig.
Les veiledningen her: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232
Denne artikkelen er også publisert i Lov&Data nr. 133, 1/2018