I mange tilfeller krever imidlertid fellesskapet at det behandles opplysninger om deg enten du vil eller ikke, for eksempel ved ileggelse av skatt og utbetaling av trygd. Dersom behandlingen av personopplysninger ikke baseres på samtykke, må det foreligge et annet rettslig grunnlag.
Samtykket skal være informert
Dette betyr at den registrerte forstår hva samtykket gjelder og hvilke konsekvenser det får å gi sitt samtykke.
Informasjon til den som skal samtykke skal minst omfatte:
- navn og adresse på den behandlingsansvarlige
- hva opplysningene skal brukes til
- om opplysningene skal utleveres til andre, og eventuelt hvem dette er
- om det er frivillig å gi fra seg opplysningene
- informasjon som gjør den registrerte i stand til å bruke sine rettigheter , slik som å kreve innsyn i, retting og sletting av opplysningene
- hvor lenge personopplysningene vil bli behandlet eller oppbevart
- at samtykket når som helst kan trekkes tilbake
Samtykket skal gis frivillig
Det skal være frivillig for den som skal registreres å gi sitt samtykke.
Noen ganger kan det være vanskelig å vite om samtykket er frivillig. Eksempler på dette er når en virksomhet krever samtykke for å tilby en tjeneste eller for å ansette en person. Vil man ha jobben eller forsikringen, må man samtykke.
Spørsmålet om samtykket er frivillig eller ikke må avgjøres i det enkelte tilfelle: Hva spørres det etter? Hvor belastende vil et samtykke være? Er konsekvensene uforholdsmessige om man ikke samtykker?
Samtykket skal være uttrykkelig
Uttrykkelig samtykke betyr at den som skal registreres skal gjøre noe aktivt for å gi sitt samtykke, som å sende inn en svarslipp eller liknende.
Samtykke kan gis muntlig eller skriftlig, elektronisk eller på papir. Det må gå klart og tydelig fram:
- at den registrerte samtykker
- hvilke behandlinger samtykket gjelder
- hvilke virksomheter samtykket er gitt til
Den behandlingsansvarlige skal kunne gjøre det sannsynlig at samtykket er gitt. Dette er lettere dersom samtykket er gitt skriftlig.