Behandlingsgrunnlag

Samtykke

En virksomhet kan behandle personopplysninger dersom den har innhentet gyldig samtykke fra personen eller personene det gjelder.

For at et samtykke skal være gyldig, må det være

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Hvor lenge et samtykke varer kommer an på hva man har bedt om samtykke til. For å unngå tvil anbefaler Datatilsynet at man spesifiser hvor lenge et samtykke er tiltenkt å vare når man ber om det. Vi anbefaler også at man med rimelige intervaller minner på den enkelte at de har gitt samtykke og at det kan trekkes tilbake.

Frivillig

Et samtykke er ikke gyldig dersom det foreligger press for å samtykke eller dersom det oppstår negative konsekvenser dersom man ikke samtykker. Den enkelte må være i stand til å foreta et fritt valg.

Dette betyr også at man ikke kan sette samtykke som et vilkår for å bruke en tjeneste. For eksempel, dersom en virksomhet ber om samtykke til å behandle personopplysninger som ikke er nødvendig for å levere tjenesten, og alle som ikke samtykker ikke får lov til å bruke tjenesten, er ikke samtykket gyldig. Konsekvensen er at alle personopplysninger som ble samlet inn på grunnlag av dette «samtykket» må slettes.

I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom virksomheten og den enkelte. For eksempel vil normalt ikke offentlige myndigheter eller arbeidsgivere kunne bruke samtykke som behandlingsgrunnlag siden den enkelte er i et avhengighetsforhold til virksomheten.

Spesifikt

Det må være klart hva den enkelte samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette.

Kravet til spesifisitet innebærer også at man må be om samtykke til hvert enkelt formål separat.

Informert

Et samtykke er bare gyldig dersom man vet hva man samtykker til. Dette må sees i lys av personvernprinsippene om rettferdighet og åpenhet. Virksomheten må selv vurdere hva den enkelte trenger å vite for å kunne foreta et reelt og informert valg, men samtykkeforespørselen må i det minste inneholde

  • hvem den behandlingsansvarlige er
  • formålet for hver av behandlingene som virksomheten ber om samtykke til
  • hva slags personopplysninger som vil samles inn
  • informasjon av retten til å trekke tilbake samtykke
  • informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
  • informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området 

Når virksomheten ber om samtykke, må den bruke klart, enkelt og forståelig språk som målgruppen forstår og fatte seg i korthet. Informasjon om hva man samtykker til, må være klart skilt fra annen informasjon. Det er for eksempel ikke lov å gjemme denne informasjonen i brukervilkårene.

Den generelle informasjonsplikten kommer fremdeles i tillegg til informasjon som gis i forbindelse med innhenting av samtykke. Les mer om plikten til å gi informasjon

Utvetydig gjennom aktiv handling

For å samtykke må den enkelte foreta en handling, for eksempel ved å klikke på en knapp, hake av i en boks eller skrive under på et skjema. Passivitet, stillhet eller på forhånd avhakede bokser kan aldri utgjøre et gyldig samtykke.

Samtykket skal dessuten være en handling som er separat fra avtaleinngåelse eller aksept av brukervilkår.

Det kan ikke foreligge tvil om den enkelte gjennom en handling har ment å samtykke eller gjøre noe annet.

Formkrav

Når man ber om samtykke elektronisk, må ikke forespørselen om samtykke være unødig forstyrrende for brukeropplevelsen. Dette er særlig viktig å huske på når det gjelder mindre skjermer – dersom det er vanskelig å bruke tjenesten fordi forespørselen om samtykke tar opp store deler av skjermen og ikke lar seg fjerne uten å samtykke, kan dette føre til at innhentede samtykker ikke er gyldige.

Når det gjelder selve samtykket, er det ingen formkrav. Samtykke kan gis skriftlig, muntlig, gjennom bevegelser eller på andre måter. Det eneste kravet er at samtykke må kunne dokumenteres.

Dokumentasjon

Et samtykke er bare gyldig hvis det kan dokumenteres. Dessuten må virksomheten kunne dokumentere at samtykket var gyldig. Det vil si at man må kunne dokumentere at alle lovens krav til samtykke er oppfylt, herunder kravet til informert samtykke. Virksomheter kan selv utvikle eller velge egnede løsninger for dokumentasjon av samtykke. Loven sier ikke hvordan dette skal gjøres.

Det er viktig at virksomhetene ikke samler mer opplysninger enn det som er nødvendig for å dokumentere samtykke.

Når det gjelder samtykker som gis ved å klikke på en knapp på en nettside eller i en app, kan man for eksempel ta vare på teknisk informasjon fra økten. Man kan ikke kreve at en person registrerer seg med navn bare for å holde oversikt over hvem som har og ikke har samtykket.

Tilbaketrekning av samtykke

Et samtykke må kunne trekkes tilbake uten negative konsekvenser, hvis ikke er det ikke gyldig. Som nevnt ovenfor må den enkelte få informasjon om retten til å trekke tilbake samtykke.

Dessuten kan det ikke være vanskeligere å trekke tilbake samtykke enn det var å gi det. Det betyr imidlertid ikke at samtykke må trekkes tilbake på nøyaktig samme måte som det ble avgitt, men tilbaketrekning må normalt kunne skje i samme system eller brukergrensesnitt.

Ved tilbaketrekning av samtykke skal normalt de aktuelle personopplysningene slettes. Unntak gjelder blant annet der virksomheten har bedt om samtykke til å behandle opplysningene for flere formål og personen bare trekker tilbake samtykke for ett eller noen av formålene. Unntak gjelder også for eksempel dersom de samme personopplysningene behandles til ulike formål med grunnlag i andre behandlingsgrunnlag.

Les mer om retten til sletting med unntak

Bytte til andre behandlingsgrunnlag

Dersom samtykke er behandlingsgrunnlaget, må virksomheten holde seg til dette. Dersom en person trekker tilbake samtykke, eller det viser seg at samtykke ikke var gyldig innhentet, må virksomheten ta konsekvensen av dette og bringe til opphør den aktuelle behandlingen av personopplysninger. Dersom en virksomhet i slike tilfeller i etterkant prøver å bytte behandlingsgrunnlag til «nødvendig for legitime interesser», bryter virksomheten rettferdighetsprinsippet og åpenhetsprinsippet, noe som kan være et alvorlig lovbrudd.

Krav om eksplisitt samtykke i enkelte tilfeller

Samtykke er ett av flere mulige behandlingsgrunnlag. For noen behandlinger av personopplysninger er det imidlertid ikke tilstrekkelig med behandlingsgrunnlag – det må foreligge et særskilt grunnlag i tillegg. Dette gjelder behandling av sensitive personopplysninger, automatiserte individuelle avgjørelser og overføring til utlandet. I disse tilfellene kan eksplisitt samtykke være et mulig tilleggsgrunnlag.

Med eksplisitt samtykke menes et samtykke som er gitt på en ekstra tydelig måte. Eksempler på dette er der den enkelte sende en skriftlig erklæring om hva hun samtykker til eller må bruke BankID for å signere en samtykkeforespørsel.

Samtykke til forskning

Når en virksomhet samler inn personopplysninger til bruk i vitenskapelig forskning (i tråd med etablerte metodiske og etiske standarder), kan det noen ganger være vanskelig å formulere et presist formål på innsamlingstidspunktet. Der behandlingsgrunnlaget for behandlingen av personopplysninger er samtykke, utfordres kravene om spesifikt og informert samtykke.

Loven åpner derfor for at formålet i slike tilfeller kan være litt mindre presist formulert i samtykkeforespørselen, men det må fortsatt være en generell formålsangivelse. Hvor generell den kan være, kommer blant annet an på hvor beskyttelsesverdige personopplysninger det er snakk om. I tillegg må man ha på plass andre tiltak for å vareta personvernet. Eksempler på slike tiltak kan være:

  • Virksomheten ber om samtykke til ett og ett trinn av forskningsstudiet av gangen.
  • Virksomheten gir den enkelte oppdatert informasjon underveis slik at samtykket over tid blir informert og spesifikt. Den enkelte blir samtidig minnet på retten til å trekke tilbake samtykke.
  • Virksomheten gir den enkelte en utfyllende forskningsplan der også forskningsspørsmål og arbeidsmetoder fremgår.

Der behandlingsgrunnlaget er samtykke, kan selvsagt samtykket trekkes tilbake. Som nevnt ovenfor er hovedregelen da at personopplysningene skal slettes (eventuelt anonymiseres). Det er viktig å være oppmerksom på dette før virksomheten iverksetter forskningsprosjektet.

Samtykke til barns bruk av digitale tjenester

I forordningen er begrepet informasjonssamfunnstjeneste brukt. Dette er en kommersiell tjeneste som leveres elektronisk, på avstand og etter individuell forespørsel. Sosiale medier er et eksempel på informasjonssamfunnstjenester.

Der slike tjenester er rettet mot barn og samtykke er behandlingsgrunnlaget, må samtykke innhentes fra foreldre eller foresatte dersom barna er under 13 år gamle. I slike tilfeller må virksomheten iverksette rimelige tiltak for å verifisere at samtykke er gitt fra rette vedkommende.

Merk at andre EU/EØS-land kan ha andre aldersgrenser for når foreldrene må gi samtykke for de mindreårige (15 eller 16 år). Reglene kan ta utgangspunkt i hvor virksomheten er etablert eller barnas hjemsted. Virksomheter som er etablert i flere EØS-stater må derfor også passe på å følge reglene andre land setter.

Les mer om mindreårige og samtykke