Internet Explorer viser ikke vores hjemmeside optimalt. Vi anbefaler, at du i stedet bruger en anden browser, f.eks.

Chrome

.

10 aktuelle spørgsmål om ansættelsesret og GDPR i forhold til COVID-19

Blog

10 aktuelle spørgsmål om ansættelsesret og GDPR i forhold til COVID-19

Af: Kristine Mølgaard Mogensen

Senest opdateret den 17. marts 2020 kl. 10.00.

COVID-19 har bragt os alle i en ekstraordinær situation, hvor der hele tiden opstår nye spørgsmål i takt med nye udfordringer. Det gælder også i forhold til ansættelsesret og GDPR. Nedenfor giver advokat Kristine Mølgaard Mogensen, som er specialiseret i ansættelsesret og persondataret, svar på 10 aktuelle spørgsmål.

 

Har en arbejdsgiver pligt til at lade privatansatte medarbejdere arbejde hjemmefra?

Nej. Der er alene tale om en opfordring til de private virksomheder. Det skal derfor aftales mellem arbejdsgiveren og medarbejderne.

Det er arbejdsgiveren, som skal vurdere om, og i givet fald, hvem der kan arbejde hjemmefra og hvem, der skal møde på arbejde.

Hvis ikke alle kan arbejde hjemmefra, anbefaler vi, at arbejdsgivere tænker i alternative løsninger. Det kan være en mulighed at lave skiftevis hjemmearbejdsdage, mens andre bliver på arbejde. På den måde minimerer man antallet af medarbejdere på arbejdspladsen og dermed smitterisikoen. Der kan også laves aftaler om afvikling af ferie, afspadseringstimer eller i en afgrænset periode gå ned i tid.

 

Hvad skal man som arbejdsgiver være opmærksom på, hvis medarbejdere skal møde ind?

Virksomheden er forpligtet til at sikre et sundt og sikkert arbejdsmiljø. Derfor bør virksomheden sørge for, at risikoen for smittespredning i videst mulig omfang minimeres ved fx at følge de nationale anbefalinger om god hygiejne og om at holde afstand.

 

Kan en privatansat medarbejder, som er bekymret for at blive smittet, lade være med at møde op på arbejdspladsen?

Nej. Hvis en virksomhed har brug for, at der skal udføres opgaver på arbejdspladsen, ligger det inden for ledelsesretten at kræve, at medarbejderen skal møde ind.

 

Kan en arbejdsgiver sende medarbejderne på ferie med øjeblikkelig virkning?

Nej eller måske. Som udgangspunkt skal ferie varsles med de almindelige varsler, som er 1 måned for restferie og 3 måneder for hovedferie. Dog er det muligt at fravige varslerne ved særlige omstændigheder. Det vil afhænge af en konkret vurdering af forholdene i den enkelte virksomhed, om der er tale om særlige omstændigheder.

Vær opmærksom på, at der kan være mulighed for at afholde feriefridage, afhængig af den individuelle aftale.

 

Kan en arbejdsgiver pålægge medarbejderne at afspadsere?

Ja. Hvis en medarbejder har optjent afspadsering, og der ikke er særlige interne regler eller aftalt andet i ansættelseskontrakten, der forhindrer at arbejdsgiveren bestemmer, at der skal ske afspadsering, kan medarbejderen pålægges at afspadsere.

 

Må man som arbejdsgiver registrere og fortælle de andre medarbejdere, at en medarbejder er i karantæne?

Ja, hvis det er sagligt og nødvendigt. Man må dog ikke angive årsagen dertil som fx at et familiemedlem er smittet. Det er nemlig Datatilsynets vurdering, at der kan registreres og videregives oplysninger, der ikke er så konkrete og specifikke, at de anses for helbredsoplysninger, når situationen nødvendiggør det.

 

Må man som arbejdsgiver registrere og fortælle de andre medarbejdere, at en medarbejder er smittet med COVID-19?

Ja, hvis det er sagligt og nødvendigt. Det kan ifølge Datatilsynet fx være hensynet til, at ledelsen og kollegaer kan træffe de nødvendige forholdsregler.

 

Skal en arbejdsgiver betale løn til en medarbejder, som er kommet i karantæne?

Ja, hvis medarbejderen er pålagt at gå i karantæne af sundhedsmyndighederne, og medarbejderen har ret til løn under sygdom. Pålæg af karantæne er nemlig at sidestille med sygdom.

 

Skal en arbejdsgiver betale løn til en medarbejder, som er smittet med CO-VID-19?

Ja, hvis medarbejderen har ret til løn under sygdom. Hvis en medarbejder er smittet med COVID-19, er medarbejderen syg og de almindelige regler om løn under sygdom skal følges.

 

Kan man få lønkompensation til hjemsendte medarbejdere?

Måske, hvis du er en privat virksomhed. Efter den indgåede trepartsaftale kan det være en mulighed at søge om lønkompensation, hvis det forventes, at der skal afskediges minimum 30 % af den samlede medarbejderstab eller mere end 50 medarbejdere grundet økonomiske årsager som følge af COVID-19.

Virksomheden må i den periode, hvor der modtages kompensation ikke afskedige medarbejderne pga. økonomiske årsager. Ordningen forventes at kunne søges fra midt i uge 13. Læs mere om ordningen på Beskæftigelsesministeriets hjemmeside www.bm.dk og hold dig opdateret på www.virksomhedsguiden.dk.

Hvis du vil vide mere, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus A. Jensen

Advokatfuldmægtig
Tel.dir. +45 38 40 42 47
Mobil +45 38 40 42 47
maj@hulgaardadvokater.dk

Bøde på 2,4 mio. for manglende sikkerhedsforanstaltninger

Blog

Bøde på 2,4 mio. for manglende sikkerhedsforanstaltninger

 

Af: Marcus A. Jensen

Det engelske datatilsyn ICO har nu udstedt deres første bøde efter Databeskyttelsesforordningens regler. Bøden blev udstedt til apotekskæden Doorstep Dispensaree Ltd og lød på 275.000 britiske pund, svarende til 2,4 millioner danske kroner.

Ifølge ICO blev ca. 500.000 dokumenter, som bl.a. indeholdt helbredsoplysninger om kunder, opbevaret i en baggård i ulåste containere, plastikposer mv.

Databeskyttelsesforordningen bygger på et grundlæggende princip om, at den, der behandler personoplysninger, skal beskytte dem. Beskyttelsen sikres, ved at man indfører passende tekniske og organisatoriske foranstaltninger. Mange står herefter med spørgsmålet om hvad ”passende” foranstaltninger er. Svaret er, at man foretager en risikovurdering.

Denne vurdering gennemføres ved, at man først finder frem til, hvilke risici der er for fysiske personers rettigheder og frihedsrettigheder. Overordnet kan det bl.a. være risikoen for uautoriseret adgang til eller hændelig undergang af personoplysninger. Mere konkret kan det være risikoen for f.eks. phishing-forsøg, at man bliver angre-bet af malware eller at ens arkivfiler bliver ødelagt pga. af et sprunget vandrør. Når man har fundet en risiko, vurderer man sandsynligheden for, at risikohændelsen indtræffer. Man vurderer også konsekvenserne for de registrerede, hvis det skulle gå galt. Sammenholder man sandsynligheden med den mulige konsekvens, får man risikoen for fysiske personers rettigheder og frihedsrettigheder.

Doorstep Dispensaree Ltd havde opbevaret de ca. 500.000 dokumenter i en baggård i uaflåste containere og poser. Doorstep Dispensaree Ltd oplyste dog, at gården var aflåst. Flere af dokumenterne var imidlertid blevet gennemblødt af regn og således beskadiget. Meget tyder altså på, at der ikke var givet meget eftertanke til databeskyttelsesforordningens krav om beskyttelse. Efterforskningschef hos ICO, Steve Eckersley, udtalte også, at “The careless way Doorstep Dispensaree stored special category data failed to protect it from accidental damage or loss. This falls short of what the law expects and it falls short of what people expect”.

På linje med andre afgørelser kan vi se, at de forskellige landes tilsynsmyndigheder slår hårdt ned over for brud på de grundlæggende principper. I denne sag med en bøde svarende til 2,4 millioner danske kroner.

Det er vigtigt, at virksomheder overvejer mere end bare risikoen for IT-angreb, når de skal finde frem til, hvad passende sikkerhedsforanstaltninger er. Det er ikke unormalt, at virksomheder anvender loftrum, kældre og lignende rum til opbevaring af arkiverede dokumenter. Men også her skal personoplysninger beskyttes mod hændelig undergang.

Hvis du vil vide mere om persondata, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus A. Jensen

Advokatfuldmægtig
Tel.dir. +45 38 40 42 47
Mobil +45 38 40 42 47
maj@hulgaardadvokater.dk

Hvor gælder GDPR?

Blog

Hvor gælder GDPR?

 

Af: Marie Martens Lawsen

Hvordan skal man forholde sig, hvis ens virksomhed alene behandler oplysninger vedrørende ikke EU-borgere? Og er virksomheder uden for EU omfattet af GDPR?

Databeskyttelsesforordningens artikel 3 udstikker det territoriale anvendelsesområde for forordningen. Det territoriale anvendelsesområde henviser til, hvor reglerne finder anvendelse.
 

Virksomheder i EU, der behandler personoplysninger om ikke EU-borgere

Af artikel 3 fremgår, at databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen.

Med andre ord, vil en virksomhed, der er etableret i Danmark eller EU, være omfattet af databeskyttelsesforordningen, også selv om virksomheden alene behandler personoplysninger for eksempelvis amerikanske borgere.

Virksomhedens retlige form er ikke afgørende, og der kan derfor være tale om en filial, et datterselskab eller noget helt tredje. Det følger af retspraksis, at begrebet ”etableret” omfatter selv en minimal, reel og faktisk aktivitet, der udøves via en permanent struktur.

Man bør som virksomhed hermed være opmærksom på, at der skal meget lidt til, for at man betragtes som etableret i EU, og at man dermed forpligtes til at give ikke EU- borgere den samme beskyttelse som EU-borgere inden for rammerne af GDPR – uanset hvor i verden borgerne befinder sig.
 

Virksomheder uden for EU

Databeskyttelsesforordningens indfører en ændring i forhold til de tidligere regler ved, at forordningen finder anvendelse på behandlinger, der har virkning for fysiske per-soner, som befinder sig inden for EU’s grænser. Det er dermed ikke længere en be-tingelse, at behandlingen af personoplysninger sker med hjælpemidler inden for EU.

Anvendelsesområdet for virksomheder, der ikke er etableret i EU er dog afgrænset til at omfatte behandlingsaktiviteter:

  • der vedrører udbud af varer eller tjenester til registrerede i EU, uanset om varen eller tjenesten kræver betaling, og
  • overvågning af registreredes adfærd, for så vidt deres adfærd finder sted i EU.

Idet borgere via internettet i høj grad kan tilgå varer og tjenester fra mange forskel-lige lande, er det centralt at undersøge, om det er åbenbart, at den dataansvarlige eller databehandleren påtænker at udbyde sine varer eller tjenesteydelser til registre-rede i EU.

I denne vurdering kan bl.a. lægges vægt på, om udbyderen henvender sig konkret til EU-borgere, fx ved at tilbyde information på sprog, der overvejende benyttes i EU eller med EU-valuta. Desuden kan omtale af kunder og brugere, der befinder sig i EU tydeliggøre, at den dataansvarlige eller databehandleren henvender sig til denne målgruppe.

Det forhold, at EU-borgere har adgang til udbyderens websted, mailadresse eller andre kontaktoplysninger, eller at der anvendes et sprog, der også almindeligvis anvendes i det tredjeland, hvor udbyderen er etableret, er i sig selv utilstrækkeligt til at fastslå, at den dataansvarlige eller databehandleren henvender sig til EU-kunder.

Behandling af personoplysninger vedrørende registreredes adfærd i EU er også omfattet af forordningen. Det afgørende for, hvorvidt der er tale om en overvågning er, om fysiske personer spores på internettet, fx via indsamling af IP-adresser, herunder at der benyttes teknikker til profilering, navnlig med det formål at træffe beslutning om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd eller holdninger. Dette forekommer eksempelvis ved online markedsføring.

Virksomheder uden for EU er dermed omfattet af GDPR i det omfang, de konkret udbyder varer eller tjenesteydelser til EU-borgere eller foretager overvågning af EU-borgere, fx med henblik på online markedsføring.
 

Kontakt

Book et gratis møde med advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller juridisk rådgiver cand.merc. Marie Martens Lawsen på tlf. 38 40 42 42 eller mml@hulgaardadvokater.dk
hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.

 

Tilsyn med databehandlere og underdatabehandlere

Blog

Tilsyn med databehandlere og underdatabehandlere

 

Af: Marie Martens Lawsen

Selvom det ikke udtrykkeligt fremgår af databeskyttelsesforordningen (GDPR), skal du som dataansvarlig føre kontrol med dine databehandlere.

Hvorvidt et tilsyn skal gennemføres af dig selv eller en uafhængig tredjepart, samt hvor ofte og hvordan tilsynet skal gennemføres, afhænger af en konkret risikovurdering.

Tilsyn med eventuelle underdatabehandlere føres i udgangspunktet af den oprindelige databehandler. Den dataansvarlige har dog en forpligtelse til at sikre sig, at tilsynet løbende føres.

 

Baggrund

Hvis man benytter databehandlere, skal man som dataansvarlig indgå en databehandleraftale. Af databehandleraftalen skal det fremgå, at databehandleren sikrer sig, at der implementeres et passende niveau af teknisk og organisatorisk sikkerhed i forhold til de data og risici, som behandlingen indebærer. De konkrete sikkerhedsforanstaltninger bør fremgå af databehandleraftalen.

Kravet om at føre kontrol med databehandlere og underdatabehandlere fremgår ikke af en konkret bestemmelse i databeskyttelsesforordningen, men det er Datatilsynets opfattelse, at man for at kunne leve op til ansvarlighedsprincippet skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen, og at den dataansvarlige ikke vil kunne leve op til dette krav ved blot at indgå en databehandleraftale og herefter ikke føre kontrol.

 

Hvad er ansvarlighedsprincippet?

Ansvarlighedsprincippet henviser til databeskyttelsesforordningens artikel 5, stk. 2, hvoraf det fremgår, at den dataansvarlige er ansvarlig for at kunne påvise, at
de grundlæggende principper for behandling af personoplysninger overholdes.

 

Hvem skal føre tilsyn?

Som dataansvarlig kan man vælge selv at påse behandlingssikkerheden hos underleverandører, eller man kan vælge at få en ekstern uafhængig tredjepart til at påse behandlingssikkerheden og overholdelse af databehandleraftalen.

Ved kontrollen tages udgangspunkt i de sikkerhedsforanstaltninger, der er aftalt i den indgåede databehandleraftale.

 

Hvordan skal der føres tilsyn?

Tilsynet med en databehandler kan gennemføres som et fysisk besøg eller som et skriftlig tilsyn baseret på et tilsynsskema.

Ved valget af tilsynsform, vil man skulle tage udgangspunkt i den risikovurdering, der ligger til grund for de implementerede sikkerhedsforanstaltninger. Tilsynsformen af-hænger således af den identificerede risiko for de registrerede.

 

Hvor ofte skal man føre tilsyn med sine databehandlere?

Hyppigheden af tilsyn afhænger ligeledes af den risikovurdering, som den dataansvarlige ved indgåelse af databehandleraftalen har foretaget.

Hvis risikoen for de registrerede er høj, kan det være nødvendigt at påse behandlingssikkerheden hos databehandlere årligt eller halvårligt. Hvis risikoen er lav, kan tilsynet føres med en lavere frekvens.

 

Skal man også føre tilsyn med underdatabehandlere?

Den oprindelige databehandler skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som dem der gør sig gældende for databehandleren selv. På denne baggrund er Datatilsynets udgangspunkt, at det overlades til den op-rindelige databehandler at føre kontrol med egne underdatabehandlere. Den dataansvarlige er dog forpligtet til at sikre sig, at databehandleren fører kontrol med underdatabehandlere.

Hos Hulgaard Advokater har vi erfaring med at føre både fysiske og skriftlige tilsyn med databehandlere og underdatabehandlere, herunder vurdere formen og frekvensen af tilsyn.

Book et gratis møde med advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller juridisk rådgiver cand.merc. Marie Martens Lawsen på tlf. 38 40 42 42 eller mml@hulgaardadvokater.dk for en vurdering af dit behov for at føre tilsyn med eventuelle databehandlere eller underdatabehandlere.

 

Samtykke til behandling af personoplysninger

Blog

Samtykke til behandling af personoplysninger

Af: Marie Martens Lawsen

Samtykke benyttes i vidt omfang til behandling af personoplysninger.

I september 2019 opdaterede Datatilsynet sin vejledning om samtykke. Denne opdatering sker op baggrund af, at Det Europæiske Databeskyttelsesråd i 2018 har offentliggjort en revideret vejledning om samtykke.

Samtykke er et af flere ligestillede retlige grundlag, som en dataansvarlig kan bruge til at behandle personoplysninger. Andre retlige grundlag omfatter:

  • at behandlingen af personoplysninger er nødvendig for opfyldelse af en kontrakt eller foranstaltninger der træffes forud for indgåelsen af en kontrakt
  • at behandlingen er nødvendig for, at den dataansvarlige kan overholde en retlig forpligtelse
  • at behandlingen er nødvendig for at beskytte den registreredes eller andre fysiske personers vitale interesser
  • at behandlingen er nødvendig for at udføre en opgave i samfundet interesser, herunder myndighedsudøvelse
  • at behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse.

Samtykke bør alene benyttes, når den dataansvarlige ikke har et andet retlig grundlag. Årsagen hertil er, at den dataansvarlige ikke vil kunne støtte sin behandling på et andet retlig grundlag ved tilbagetrækning af et samtykke fra den registrerede.

Der er forskellige krav til et samtykke.
 

Tidspunkt for indhentelse af et samtykke

Et samtykke skal indhentes, inden den dataansvarlige påbegynder sin behandling af de personoplysninger, som samtykket angår.
 

Mundtligt eller skriftligt?

Et samtykke kan både afgives mundtligt, skriftligt eller digitalt. Det afgørende er, at den registreredes handling tydeligt tilkendegiver den registreredes hensigt, og samtykket kan derfor ikke gives stiltiende eller ved passivitet.

Det er desuden den dataansvarliges ansvar at bevise, at der er givet et gyldigt samtykke. Af denne årsag er det tilrådeligt så vidt muligt at benytte skriftlige eller digitale samtykker.
 

Et samtykke skal være frivilligt

Formålet med at indhente et samtykke til behandling af personoplysninger er at give den registrerede et frit valg over behandlingen. Et samtykke anses ikke for at være afgivet frivilligt, hvis det er afgivet under tvang eller en anden form for pres.

Enhver form for upassende pres eller påvirkning af den registreredes frie vilje vil derfor medføre, at samtykket ikke er gyldigt.

Man skal som dataansvarlig være særligt opmærksom på, at et samtykke afgives frivilligt, hvis der er et ulige forhold mellem parterne. Dette forekommer eksempelvis i ansættelsesforholdet, hvor den ansatte kan have en frygt for væsentlige, negative konsekvenser ved afgivelse af samtykket.

Derfor skal en arbejdsgiver undlade at indhente samtykke samtidig med, at en ny medarbejder underskriver sin ansættelseskontrakt, da det kan skabe usikkerhed omkring, hvorvidt ansættelsesforholdet er betinget af afgivelse af samtykket.

På samme måde skal man som dataansvarlig være opmærksom på, at en kontrakt, fx ved køb af en vare eller en serviceydelse, ikke gøres afhængig af et samtykke, hvis samtykket ikke er nødvendigt for købet. Dette kunne eksempelvis forekomme ved, at den dataansvarlige forudsætter, at køberen giver samtykke til at modtage et nyhedsbrev eller andre tilbud, for at købet kan gennemføres. Eller at varen bliver dyrere, hvis køberen ikke giver sit samtykke. Man må dog anse det som acceptabelt, at den dataansvarlige motiverer sine købere til at give et samtykke til fordelsprogrammer eller lignende ved at tilbyde en rabat ved afgivelse af samtykke til disse formål.
 

Kan man indhente oplysninger til flere formål i et samlet samtykke?

Et samtykke skal være specifikt. Dette betyder bl.a., at der skal indhentes et særskilt samtykke til hvert formål, som man ønsker at behandle personoplysningerne til. Det-te følger forordningens grundlæggende princip om formålsbegrænsning og skaber gennemsigtighed for den registrerede.

Hvis man ønsker at indhente samtykke til flere formål, kan man eksempelvis opdele sit samlede samtykke, således at den registrerede får mulighed for at afkrydse hvert formål separat, fx ved brug af tjekbokse.

Desuden skal et samtykke klart kunne adskilles fra andre forhold, fx handelsbetingelser og almindelige vilkår.

Ønskes personoplysningerne efterfølgende brugt til et andet formål end det indhente-de, skal der indhentes et nyt samtykke hertil.
 

Et samtykke skal være informeret

At et samtykke er informeret betyder, at den registrerede skal være klar over, hvad der gives samtykke til.

Det skal tydeligt fremgå af samtykketeksten:

  • hvem den dataansvarlige er
  • hvad formålet med behandlingen er
  • hvilke oplysninger der behandles
  • at den registrerede til enhver tid har ret til at trække samtykket tilbage, og hvordan dette kan gøres.

Desuden skal det meddeles, hvis oplysningerne anvendes til automatiske afgørelser, fx profilering samt om eventuelle risici ved dataoverførsel til usikre tredjelande, hvis der skal ske overførsel af persondata.
 

Hvad betyder det, at et samtykke ikke må afgives stiltiende eller passivt?

Et samtykke skal meddeles i form af en utvetydig tilkendegivelse. Det betyder, at der ikke må være tvivl om, hvorvidt den registrerede har givet sit samtykke.

En utvetydig tilkendegivelse kan fx ske ved, at den registrerede underskriver en samtykkeerklæring eller sætter kryds i et felt ved besøg på en hjemmeside. Generel accept af almindelige betingelser og vilkår kan ikke opfattes som en klar bekræftelse, hvorved den registrerede giver samtykke til behandling af personoplysninger.

Det kan dog godt være tilstrækkeligt, at den registrerede accepterer en forudformuleret erklæring om samtykke ved en aktiv handling. Dette kan for eksempel forekomme ved, at en person tydeligt oplyses om, at når der fx trykkes ”send” ved besvarelse af en spørgeskemaundersøgelse gives samtykke til behandling af personoplysningerne. Samtykkets gyldighed forudsætter, at den registrerede har modtaget de på-krævede oplysninger, for at samtykket kan leve op til kravet om at være informeret.
 

Tilbagekaldelse af samtykke

Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage.

Tilbagetrækning af samtykket skal være lige så nemt, som det var at afgive samtykket, og bør kunne ske ved brug af samme løsning som benyttet ved afgivelsen af samtykket. Desuden må der ikke være udgifter eller andre ulemper forbundet med tilbagetrækning af samtykket.

Udgangspunktet er, at den dataansvarlige skal ophøre med at behandle personoplysninger så hurtigt som muligt, efter et samtykket er tilbagekaldt. Herunder ophøre med at opbevare personoplysningerne, hvis den dataansvarlige ikke har en særlig forpligtelse hertil. Tilbagekaldelse af et samtykke berører ikke lovligheden af den behandling, der er baseret på samtykket inden tilbagekaldelsen.

Ved tilbagekaldelse af et samtykke bør den dataansvarlige vurdere, hvordan sletning af de omhandlede personoplysninger kan finde sted. Dels fordi den dataansvarlige ikke længere har et retlig grundlag for opbevaring, dels fordi den registrerede har ret til at få de personoplysninger slettet, som behandles på grundlag af det tilbagetrukne samtykke.

Der er særlige krav til indhentelse af samtykke fra børn, herunder børns samtykke indhentet i forbindelse med informationssamfundstjenester. Dette indlæg omhandler ikke disse krav.
 

Opsamling

  • Samtykke skal alene bruges som behandlingsgrundlag for personoplysninger, hvis ikke andre ligestillede behandlingsgrundlag kan benyttes.
  • En samtykkeanmodning skal være tydelig og adskilt fra øvrig tekst og vilkår.
  • Et samtykke skal altid indhentes ved et aktivt tilvalg fra den samtykkendes side, og må dermed aldrig baseres på forudafkrydsede samtykkefelter eller anden vis, der baserer sig på passivitet.
  • Samtykket skal være formuleret i et klart og enkelt sprog.
  • Samtykket skal specificere formålet med den påtænkte behandling af person-oplysninger.
  • Der skal indhentes separate samtykker til forskellige formål.
  • Navnet på den dataansvarlige skal fremgå af samtykketeksten.
  • Det skal tydeligt fremgå af samtykketeksten, at samtykket til enhver tid kan trækkes tilbage.
  • Samtykket må aldrig afgives under tvang eller pres, herunder direkte eller indirekte.
  • Samtykket må ikke være en betingelse for levering af en vare eller serviceydelse.
  • Der er særlige krav til indhentelse af samtykke fra børn

Læs mere i Datatilsynets vejledning om samtykke fra september 2019 og Det Europæiske Databeskyttelsesråds reviderede retningslinjer.

Book et gratis møde med advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller juridisk rådgiver cand.merc. Marie Martens Lawsen på tlf. 38 40 42 42 eller mml@hulgaardadvokater.dk, hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.