Samtykke

En virksomhet kan behandle personopplysninger dersom den har innhentet gyldig samtykke fra personen eller personene det gjelder.

For at et samtykke skal være gyldig, må det være

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Hvor lenge et samtykke varer kommer an på hva man har bedt om samtykke til. For å unngå tvil anbefaler Datatilsynet at man spesifiser hvor lenge et samtykke er tiltenkt å vare når man ber om det. Vi anbefaler også at man med rimelige intervaller minner på den enkelte at de har gitt samtykke og at det kan trekkes tilbake.

Frivillig

Et samtykke er ikke gyldig dersom det foreligger press for å samtykke eller dersom det oppstår negative konsekvenser dersom man ikke samtykker. Den enkelte må være i stand til å foreta et fritt valg.

Dette betyr også at man ikke kan sette samtykke som et vilkår for å bruke en tjeneste. For eksempel, dersom en virksomhet ber om samtykke til å behandle personopplysninger som ikke er nødvendig for å levere tjenesten, og alle som ikke samtykker ikke får lov til å bruke tjenesten, er ikke samtykket gyldig. Konsekvensen er at alle personopplysninger som ble samlet inn på grunnlag av dette «samtykket» må slettes.

Eksempler

En abonnementstjeneste ønsker å sende markedsføring på e-post og sosiale medier til kundene. De ber derfor kundene om samtykke til dette. Det er helt frivillig å samtykke, og kundene kan bruke tjenesten som normalt selv om de takker nei. Samtykket er frivillig.

En konkurrerende abonnementstjeneste ber om samtykke til markedsføring når brukerne registrerer seg. Brukerne kan ikke gå videre i registreringen før de har samtykket, eller tjenesten koster mer hvis samtykke ikke gis. Samtykket er ikke frivillig.

En kosmetikkjede ber om samtykke til å sende markedsføringsnyhetsbrev. De som samtykker vil få mulighet til å kjøpe et nytt kosmetikkprodukt litt før alle andre. Selv om det foreligger et lite insentiv for å samtykke, er samtykket likevel frivillig. Alle får innen kort tid tilgang til de samme produktene, som ikke er nødvendighetsgoder, til den samme prisen.

I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom virksomheten og den enkelte. For eksempel vil normalt ikke offentlige myndigheter eller arbeidsgivere kunne bruke samtykke som behandlingsgrunnlag siden den enkelte er i et avhengighetsforhold til virksomheten.

Eksempler

En arbeidsgiver ber alle nyansatte skrive under på at de samtykker til kameraovervåking. I denne situasjonen står i realiteten ikke arbeidstakeren fritt til å ikke gi samtykke. Samtykket er ikke frivillig.

En offentlig myndighet spør to ansatte om samtykke til å publisere bildene deres i virksomhetens elektroniske nyhetsbrev i forbindelse med et vellykket arrangement. Det er helt klart at publiseringen er valgfri. Samtykket er frivillig.

En nyankommet asylsøker trenger helsehjelp. Før helsepersonell gir helsehjelp, spør de henne om samtykke til å bruke blodet hennes i et helseforskningsstudium. Asylsøkeren, som kanskje ikke er trygg på situasjonen eller kjent med vestlige helsesystem, lurer på om hun får dårligere helsehjelp dersom hun ikke gir samtykke. Samtykket er ikke gyldig.

Spesifikt

Det må være klart hva den enkelte samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette.

Kravet til spesifisitet innebærer også at man må be om samtykke til hvert enkelt formål separat.

Eksempel

En mobilapp ønsker tilgang til mobiltelefonens geografiske posisjon. Formålet er todelt: For det første kan posisjonen brukes for å avdekke misbruk og svindel, for eksempel dersom appen plutselig brukes i ulike verdensdeler med kort mellomrom. For det andre kan posisjonen brukes til å utarbeide nyttig statistikk om kundene.

For å sikre at samtykket er gyldig, ber appen om samtykke til de to formålene separat. Det er mulig for brukeren å gi samtykke til begge, bare ett eller ingen av disse formålene uten negative konsekvenser.

Informert

Et samtykke er bare gyldig dersom man vet hva man samtykker til. Dette må sees i lys av personvernprinsippene om rettferdighet og åpenhet. Virksomheten må selv vurdere hva den enkelte trenger å vite for å kunne foreta et reelt og informert valg, men samtykkeforespørselen må i det minste inneholde

  • hvem den behandlingsansvarlige er
  • formålet for hver av behandlingene som virksomheten ber om samtykke til
  • hva slags personopplysninger som vil samles inn
  • informasjon av retten til å trekke tilbake samtykke
  • informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
  • informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området 

Når virksomheten ber om samtykke, må den bruke klart, enkelt og forståelig språk som målgruppen forstår og fatte seg i korthet. Informasjon om hva man samtykker til, må være klart skilt fra annen informasjon. Det er for eksempel ikke lov å gjemme denne informasjonen i brukervilkårene.

Den generelle informasjonsplikten kommer fremdeles i tillegg til informasjon som gis i forbindelse med innhenting av samtykke.

Utvetydig gjennom aktiv handling

For å samtykke må den enkelte foreta en handling, for eksempel ved å klikke på en knapp, hake av i en boks eller skrive under på et skjema. Passivitet, stillhet eller på forhånd avhakede bokser kan aldri utgjøre et gyldig samtykke.

Samtykket skal dessuten være en handling som er separat fra avtaleinngåelse eller aksept av brukervilkår.

Det kan ikke foreligge tvil om den enkelte gjennom en handling har ment å samtykke eller gjøre noe annet.

Eksempel

En virksomhet skriver at dersom man bruker et nettsted eller blar ned på siden, samtykker man samtydig til behandling av personopplysninger. Samtykket er ikke gyldig.

Formkrav

Når man ber om samtykke elektronisk, må ikke forespørselen om samtykke være unødig forstyrrende for brukeropplevelsen. Dette er særlig viktig å huske på når det gjelder mindre skjermer – dersom det er vanskelig å bruke tjenesten fordi forespørselen om samtykke tar opp store deler av skjermen og ikke lar seg fjerne uten å samtykke, kan dette føre til at innhentede samtykker ikke er gyldige.

Når det gjelder selve samtykket, er det ingen formkrav. Samtykke kan gis skriftlig, muntlig, gjennom bevegelser eller på andre måter. Det eneste kravet er at samtykke må kunne dokumenteres.

Dokumentasjon

Et samtykke er bare gyldig hvis det kan dokumenteres. Dessuten må virksomheten kunne dokumentere at samtykket var gyldig. Det vil si at man må kunne dokumentere at alle lovens krav til samtykke er oppfylt, herunder kravet til informert samtykke. Virksomheter kan selv utvikle eller velge egnede løsninger for dokumentasjon av samtykke. Loven sier ikke hvordan dette skal gjøres.

Det er viktig at virksomhetene ikke samler mer opplysninger enn det som er nødvendig for å dokumentere samtykke.

Eksempel

En virksomhet ringer et utvalg personer og ber om samtykke til deltakelse i et helseforskningsstudium. De som velger å samtykke, blir bedt om å lese inn på bånd at de samtykker (men resten av samtalen tas ikke opp, og opptaket slettes når behandling av personopplysninger ikke lenger finner sted). Virksomheten tar vare på dokumentasjon og rutiner som viser hvilken informasjon den enkelte ble gitt per telefon og hva de ble bedt om å samtykke til.

Når det gjelder samtykker som gis ved å klikke på en knapp på en nettside eller i en app, kan man for eksempel ta vare på teknisk informasjon fra økten. Man kan ikke kreve at en person registrerer seg med navn bare for å holde oversikt over hvem som har og ikke har samtykket.

Tilbaketrekning av samtykke

Et samtykke må kunne trekkes tilbake uten negative konsekvenser, hvis ikke er det ikke gyldig. Som nevnt ovenfor må den enkelte få informasjon om retten til å trekke tilbake samtykke.

Dessuten kan det ikke være vanskeligere å trekke tilbake samtykke enn det var å gi det. Det betyr imidlertid ikke at samtykke må trekkes tilbake på nøyaktig samme måte som det ble avgitt, men tilbaketrekning må normalt kunne skje i samme system eller brukergrensesnitt.

Eksempel

Ved kjøp av konsertbilletter i en app kan man samtykke til at ens kontaktdetaljer brukes til markedsføring. Dersom noen ønsker å trekke tilbake samtykket, må de imidlertid ringe kundeservice i åpningstiden. Samtykket oppfyller ikke kravene til tilbaketrekning.

Ved tilbaketrekning av samtykke skal normalt de aktuelle personopplysningene slettes. Unntak gjelder blant annet der virksomheten har bedt om samtykke til å behandle opplysningene for flere formål og personen bare trekker tilbake samtykke for ett eller noen av formålene. Unntak gjelder også for eksempel dersom de samme personopplysningene behandles til ulike formål med grunnlag i andre behandlingsgrunnlag.

Bytte til andre behandlingsgrunnlag

Dersom samtykke er behandlingsgrunnlaget, må virksomheten holde seg til dette. Dersom en person trekker tilbake samtykke, eller det viser seg at samtykke ikke var gyldig innhentet, må virksomheten ta konsekvensen av dette og bringe til opphør den aktuelle behandlingen av personopplysninger. Dersom en virksomhet i slike tilfeller i etterkant prøver å bytte behandlingsgrunnlag til «nødvendig for legitime interesser», bryter virksomheten rettferdighetsprinsippet og åpenhetsprinsippet, noe som kan være et alvorlig lovbrudd.

Krav om eksplisitt samtykke i enkelte tilfeller

Samtykke er ett av flere mulige behandlingsgrunnlag. For noen behandlinger av personopplysninger er det imidlertid ikke tilstrekkelig med behandlingsgrunnlag – det må foreligge et særskilt grunnlag i tillegg. Dette gjelder behandling av sensitive personopplysninger, automatiserte individuelle avgjørelser og overføring til utlandet. I disse tilfellene kan eksplisitt samtykke være et mulig tilleggsgrunnlag.

Med eksplisitt samtykke menes et samtykke som er gitt på en ekstra tydelig måte. Eksempler på dette er der den enkelte sende en skriftlig erklæring om hva hun samtykker til eller må bruke BankID for å signere en samtykkeforespørsel.

Samtykke til forskning

Når en virksomhet samler inn personopplysninger til bruk i vitenskapelig forskning (i tråd med etablerte metodiske og etiske standarder), kan det noen ganger være vanskelig å formulere et presist formål på innsamlingstidspunktet. Der behandlingsgrunnlaget for behandlingen av personopplysninger er samtykke, utfordres kravene om spesifikt og informert samtykke.

Loven åpner derfor for at formålet i slike tilfeller kan være litt mindre presist formulert i samtykkeforespørselen, men det må fortsatt være en generell formålsangivelse. Hvor generell den kan være, kommer blant annet an på hvor beskyttelsesverdige personopplysninger det er snakk om. I tillegg må man ha på plass andre tiltak for å vareta personvernet. Eksempler på slike tiltak kan være:

  • Virksomheten ber om samtykke til ett og ett trinn av forskningsstudiet av gangen.
  • Virksomheten gir den enkelte oppdatert informasjon underveis slik at samtykket over tid blir informert og spesifikt. Den enkelte blir samtidig minnet på retten til å trekke tilbake samtykke.
  • Virksomheten gir den enkelte en utfyllende forskningsplan der også forskningsspørsmål og arbeidsmetoder fremgår.

Der behandlingsgrunnlaget er samtykke, kan selvsagt samtykket trekkes tilbake. Som nevnt ovenfor er hovedregelen da at personopplysningene skal slettes (eventuelt anonymiseres). Det er viktig å være oppmerksom på dette før virksomheten iverksetter forskningsprosjektet.

Samtykke til barns bruk av digitale tjenester

I forordningen er begrepet informasjonssamfunnstjeneste brukt. Dette er en kommersiell tjeneste som leveres elektronisk, på avstand og etter individuell forespørsel. Sosiale medier er et eksempel på informasjonssamfunnstjenester.

Der slike tjenester er rettet mot barn og samtykke er behandlingsgrunnlaget, må samtykke innhentes fra foreldre eller foresatte dersom barna er under 13 år gamle. I slike tilfeller må virksomheten iverksette rimelige tiltak for å verifisere at samtykke er gitt fra rette vedkommende.

Merk at andre EU/EØS-land kan ha andre aldersgrenser for når foreldrenes samtykke er påkrevd (15 eller 16 år). Reglene kan ta utgangspunkt i hvor virksomheten er etablert eller barnas hjemsted. Virksomheter som er etablert i flere EØS-stater må derfor også passe på å følge reglene andre land setter.