Samtykke - Brug det som sidste udvej

Skrevet af Kasper Mai Jørgensen, CEO i ComplyTo

Samtykke til det ene og samtykke til det andet – du kan snart ikke foretage en handletur eller informationssøgning på internettet uden at du pludselig har givet samtykke til alt muligt.

Jeg vil vove den påstand at 80% af de samtykke du giver i GDPR’s navn er ligegyldige, ugyldige eller i værste fald ulovlige.

Jeg vil i dette indlæg gøre reglerne for samtykke mere klare for dig med nogle helt konkrete eksempler, som de fleste virksomheder kan nikke genkendende til.

For alt i verden, lad være med at bede abonnenter på din virksomheds nyhedsbrev om at bekræfte deres samtykke pga. GDPR! Du ender sandsynligvis med enten at miste en stor del af abonnenterne, eller stå i en gråzone.

I tiden op til den 25. maj 2018 blev mange danskeres indbakker bombarderet med mails fra virksomheder, hvor de havde skrevet sig op til at modtage nyhedsbreve, om at de vil bekræfte deres samtykke i henhold til GDPR. Problemet er, at persondataloven aldrig har sagt, at virksomheder skal spørge deres abonnenter om de fortsat vil modtage det. Det giver derimod mistanke til, at virksomheden er i tvivl om, hvorvidt den lovligt havde tilladelse til at sende nyhedsbreve til at starte med.

Helt konkret fungerer samtykke til nyhedsbreve sådan, at virksomheden skal gøre det klart og tydeligt for brugeren, hvad det er de skriver sig op til at modtage, og det skal altid være muligt at framelde sig nyhedsbrevet igen. Et samtykke kan altid trækkes tilbage.

Problemet for de virksomheder der sendte bekræftelsesmails ud til deres abonnenter er, at de derefter hverken må sende nyhedsbreve ud til de abonnenter, som har takket nej til fremover at modtage nyhedsbreve eller til dem der ikke svarer på mailen. Ved at spørge har du nemlig ophævet det forrige samtykke, da de nu skal tage stilling til, om de fortsat vil modtage nyhedsbrevet.

Og hvis du er eller var i tvivl om du har et samtykke fra modtagere af nyhedsbrevet er der ingen anden vej end at slette kontakterne. Men det følger faktisk mere på baggrund af markedsføringsreglerne og spam-regler, frem for GDPR. Du har altid skulle have samtykke for at sende nyhedsbreve.

Derfor, hvis du allerede havde et validt samtykke fra en person til at sende nyhedsbreve, så skal du ikke spørge igen, og du kan frit fortsætte med at sende dine abonnenter spændende nyhedsbreve.

Jeg er stoppet med at tælle hvor mange cookie pop-ups der på det seneste er blevet opdateret, i troen på at virksomheden så overholder EUs persondataforordning. Problemet er bare, at cookies som udgangspunkt er reguleret af ePrivacy-direktivet.

I Danmark er cookies håndteret af Erhversstyrelsen og ikke Datatilsynet. Persondataloven kræver ingen generel cookie pop-up politik, men der kan være enkelte tilfælde, hvor det er nødvendigt, eksempelvis ved tracking cookies, som følger en specifik brugers adfærd - det kunne være hvis du bruger Google Analytics eller Facebook Pixel på dit website. I disse tilfælde skal du - hvis du bruger samtykke som grundlag for indsamlingen - følge samtykkereglerne i GDPR – og de siger at sådanne cookies skal være slået fra som standard (helt lavpraktisk vil det betyde at ”nej tak” knappen skal være lige så stor og synlig som ”ja tak” knappen på cookie pop-up’en).

I langt de fleste tilfælde, bruger du under GDPR forretningsmæssig interesse som formålet med at anvende sådanne cookies - og så skal du ikke have samtykke efter GDPR. Du skal selvfølgelig stadig følge de nuværende ePrivacy-regler og som minimum en simpel cookie pop-up, som fortæller at du bruger cookies - det er bare ikke nødvendigvis samtykke i GDPRs forstand.

Se om cookie-reglerne på Erhvervsstyrelses hjemmeside. Læs mere her. 

Jeg har set mange eksempler på medarbejdersamtykke-formularer og lignende, der bliver solgt som løsningen til virksomhedernes GDPR-problemer. MEN – samtykke kan ikke gives, hvor der er et ulige magtforhold mellem giver og modtager af samtykket. Derfor vil et samtykke fra en medarbejder oftest ikke være den rigtige vej at gå. Og hvis du ikke kan finde en legitim/forretningsmæssig interesse eller kontraktlig forpligtelse til at behandle medarbejderens persondata – kan man også diskutere om sådanne persondata er lovlige.

Læs eventuelt mere i vejledningen om samtykke fra EU - afsnit 3.1.1, som kan findes på Datatilsynets hjemmeside. Læs mere her.

”Min virksomhed opbevarer dine personoplysninger, så vi kan sælge dig varen, og vi indsamler kun dine data på baggrund af dit udtrykkelige samtykke”. Noget lignende dette kan læses i rigtig mange persondatapolitikker – og er desværre forkert og forvirrende.  Salg af varer kan behandles med legitim interesse eller kontraktlig forpligtelse som formål.

Persondata der bliver indsamlet på baggrund af samtykke skal slettes når samtykket tilbagetrækkes – og jeg er sikker på, at din revisor og skattevæsenet bliver ret sure, hvis du sletter din bogføring, faktura og købshistorik på en kunde inden fem år. Med den ovenstående persondatapolitik, skal du slette persondata, hvis kunden forlanger det - og det giver jo ikke rigtigt mening.

Husk på, at det er helt legitimt at opbevare mange af dine kunders persondata i op til fem år efter du har modtaget dem, da bogføringsloven er over GDPR i den forstand, at den giver en valid grund til, at du opbevarer kundeoplysninger, som bruges i bogføringen. Det behøver du ikke samtykke til.

Hvis du har andre spørgsmål til samtykke eller persondataloven, så kontakt os endelig gennem vores chat i nederste højre hjørne af siden.