ComplyTo - GDPR og Samtykke - Det du bør vide

Samtykke - Brug det som sidste udvej

Samtykke alle vegne

Skrevet af Kasper Mai Jørgensen, CEO i ComplyTo

Samtykke til det ene og samtykke til det andet – du kan snart ikke foretage en handletur eller informationssøgning på internettet uden at du pludselig har givet samtykke til alt muligt.

Jeg vil vove den påstand at 80% af de samtykke du giver i GDPR’s navn er ligegyldige, ugyldige eller i værste fald ulovlige.

Jeg vil i dette indlæg gøre reglerne for samtykke mere klare for dig med nogle helt konkrete eksempler, som de fleste virksomheder kan nikke genkendende til.

Faktaboks om samtykke

Samtykke er når en virksomhed giver en person et valg og kontrol over hvordan virksomheden må anvende personens oplysninger. Man bruger ofte samtykke i forbindelse med nyhedsbreve, hvor virksomheder før elektronisk henvendelse med henblik på lovlig markedsføring, skal have forbrugerens samtykke til, at virksomheden må henvende sig. Databeskyttelsesforordningens ordrette definition af samtykke er følgende:

”Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”

4 samtykke-scenarier du måske kender

Samtykke til nyhedsbreve

For alt i verden, lad være med at bede abonnenter på din virksomheds nyhedsbrev om at bekræfte deres samtykke pga. GDPR! Du ender sandsynligvis med enten at miste en stor del af abonnenterne, eller stå i en gråzone.

I tiden op til den 25. maj 2018 blev mange danskeres indbakker bombarderet med mails fra virksomheder, hvor de havde skrevet sig op til at modtage nyhedsbreve, om at de vil bekræfte deres samtykke i henhold til GDPR. Problemet er, at persondataloven aldrig har sagt, at virksomheder skal spørge deres abonnenter om de fortsat vil modtage det. Det giver derimod mistanke til, at virksomheden er i tvivl om, hvorvidt den lovligt havde tilladelse til at sende nyhedsbreve til at starte med.

Helt konkret fungerer samtykke til nyhedsbreve sådan, at virksomheden skal gøre det klart og tydeligt for brugeren, hvad det er de skriver sig op til at modtage, og det skal altid være muligt at framelde sig nyhedsbrevet igen. Et samtykke kan altid trækkes tilbage.

Problemet for de virksomheder der sendte bekræftelsesmails ud til deres abonnenter er, at de derefter hverken må sende nyhedsbreve ud til de abonnenter, som har takket nej til fremover at modtage nyhedsbreve eller til dem der ikke svarer på mailen. Ved at spørge har du nemlig ophævet det forrige samtykke, da de nu skal tage stilling til, om de fortsat vil modtage nyhedsbrevet.

Og hvis du er eller var i tvivl om du har et samtykke fra modtagere af nyhedsbrevet er der ingen anden vej end at slette kontakterne. Men det følger faktisk mere på baggrund af markedsføringsreglerne og spam-regler, frem for GDPR. Du har altid skulle have samtykke for at sende nyhedsbreve.

Derfor, hvis du allerede havde et validt samtykke fra en person til at sende nyhedsbreve, så skal du ikke spørge igen, og du kan frit fortsætte med at sende dine abonnenter spændende nyhedsbreve.

Samtykke til cookies

Jeg er stoppet med at tælle hvor mange cookie pop-ups der på det seneste er blevet opdateret, i troen på at virksomheden så overholder EUs persondataforordning. Problemet er bare, at cookies som udgangspunkt er reguleret af ePrivacy-direktivet.

I Danmark er cookies håndteret af Erhversstyrelsen og ikke Datatilsynet. Persondataloven kræver ingen generel cookie pop-up politik, men der kan være enkelte tilfælde, hvor det er nødvendigt, eksempelvis ved tracking cookies, som følger en specifik brugers adfærd - det kunne være hvis du bruger Google Analytics eller Facebook Pixel på dit website. I disse tilfælde skal du - hvis du bruger samtykke som grundlag for indsamlingen - følge samtykkereglerne i GDPR – og de siger at sådanne cookies skal være slået fra som standard (helt lavpraktisk vil det betyde at ”nej tak” knappen skal være lige så stor og synlig som ”ja tak” knappen på cookie pop-up’en).

I langt de fleste tilfælde, bruger du under GDPR forretningsmæssig interesse som formålet med at anvende sådanne cookies - og så skal du ikke have samtykke efter GDPR. Du skal selvfølgelig stadig følge de nuværende ePrivacy-regler og som minimum en simpel cookie pop-up, som fortæller at du bruger cookies - det er bare ikke nødvendigvis samtykke i GDPRs forstand.

Se om cookie-reglerne på Erhvervsstyrelses hjemmeside. Læs mere her. 

Samtykke fra medarbejdere

Jeg har set mange eksempler på medarbejdersamtykke-formularer og lignende, der bliver solgt som løsningen til virksomhedernes GDPR-problemer. MEN – samtykke kan ikke gives, hvor der er et ulige magtforhold mellem giver og modtager af samtykket. Derfor vil et samtykke fra en medarbejder oftest ikke være den rigtige vej at gå. Og hvis du ikke kan finde en legitim/forretningsmæssig interesse eller kontraktlig forpligtelse til at behandle medarbejderens persondata – kan man også diskutere om sådanne persondata er lovlige.

Læs eventuelt mere i vejledningen om samtykke fra EU - afsnit 3.1.1, som kan findes på Datatilsynets hjemmeside. Læs mere her.

Samtykke om kundeoplysninger

”Min virksomhed opbevarer dine personoplysninger, så vi kan sælge dig varen, og vi indsamler kun dine data på baggrund af dit udtrykkelige samtykke”. Noget lignende dette kan læses i rigtig mange persondatapolitikker – og er desværre forkert og forvirrende.  Salg af varer kan behandles med legitim interesse eller kontraktlig forpligtelse som formål.

Persondata der bliver indsamlet på baggrund af samtykke skal slettes når samtykket tilbagetrækkes – og jeg er sikker på, at din revisor og skattevæsenet bliver ret sure, hvis du sletter din bogføring, faktura og købshistorik på en kunde inden fem år. Med den ovenstående persondatapolitik, skal du slette persondata, hvis kunden forlanger det - og det giver jo ikke rigtigt mening.

Husk på, at det er helt legitimt at opbevare mange af dine kunders persondata i op til fem år efter du har modtaget dem, da bogføringsloven er over GDPR i den forstand, at den giver en valid grund til, at du opbevarer kundeoplysninger, som bruges i bogføringen. Det behøver du ikke samtykke til.

Hvis du har andre spørgsmål til samtykke eller persondataloven, så kontakt os endelig gennem vores chat i nederste højre hjørne af siden.

Få mange flere nyheder og guides om GDPR.

Skriv dig op til vores nyhedsbrev her

Andre relevante artikler

Persondata er dit ansvar

Når din virksomhed indsamler persondata gennem analyseværktøjer på, for eksempel, dens hjemmeside, så er opbevaringen og behandlingen af data din virksomheds svar. 

Læs mere her

Facebook og GDPR - Din virksomhed deler ansvaret med Facebook

Domstolen har slået fast, at virksomheder med en Facebookside deler ansvaret for persondata med IT-giganten, og det stopper ikke der. Sociale medier som LinkedIn og analyseværktøjer som Google Analytics er også ramt af sammen dom.

Læs mere her

FORBRUGERNE FRAVÆLGER VIRKSOMHEDER, DER IKKE HAR STYR PÅ GDPR

Forbrugerne kræver styr på GDPR fra de virksomheder de handler hos. Hvad mener de om din branche? Vi har samlet tallene.

Læs mere her
Kunder fravælger webshops pga GDPR

Find alle vores artikler

Tilbage til Blog-oversigten