DI Handel / DI Digital Kundens samtykke: Hvordan, hvornår og hvorfor? v/kontorchef Peter Fogh Knudsen 1
Samtykke til behandling af personoplysninger * Enhver form for information om en identifi-ceret eller identificerbar fysisk person der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet 2
Hvorfor samtykke? * Et samtykke er et af de 6 mulige grundlag, man kan basere sin behandling af personoplysninger på 3
Hvornår har man brug for et samtykke? * Skal der gives samtykke til Registrering af navn, adresse, e-mail og telefon på en kunde Registrering af ordredata Videregivelse af en kundes navn, adresse, e-mail og telefon til PostNord m.h.b. på levering af pakken Brug af e-mail til markedsføring Profilering af kunden Logning af gps-koordinater på kundens fitbit 4
Definitionen på et samtykke Forordningens art. 4, nr. 11 * enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling 5
Et samtykke skal være * Frivilligt * Specifikt * Informeret * Utvetydigt / udtrykkeligt 6
Frivilligt samtykke * Der skal være et reelt valg * Er der en ubalance mellem parterne? * Er kontrakten betinget af samtykket? * Er samtykket tilstrækkelig granulært? * Kan samtykket trækkes tilbage uden negative konsekvenser (fx ekstra omk.)? 7
Betinget af samtykke 1. Nødvendigt til opfyldelse af kontrakt 2. Samtykke * De to hjemler skal holdes adskilte * Ej betinge en aftale af behandling af data der ikke er nødvendig til opfyldelse af aftalen * Ej lave aftalen dyrere, hvis ikke der gives samtykke * Ej sige at aftalen falder væk, hvis samtykket trækkes tilbage 8
Specifikt samtykke * Vær specifik * Undgå generelle formuleringer forbedring af brugeroplevelsen, markedsføringsøjemed, it-sikkerhedsformål * Man kan ikke bundle samtykker til forskellige formål 9
Informeret samtykke * Man må gøre sig klart Hvad der ønskes samtykke til Hvem målgruppen er Hvilken information er nødvendig Hvordan informationen skal præsenteres 10
Hvordan giver man et informeret samtykke? * Som sådan ingen formkrav Skriftlig, mundtlig, video, digitalt mv. * Klart og tydeligt sprog * Klart adskilt fra anden information = må ikke gemmes væk i generelle vilkår 11
Informeret samtykke Minimumsoplysninger * Den dataansvarliges identitet * Formålet med hvert behandlingsformål der ønskes samtykke til * Hvilke data der indsamles og behandles * Retten til at trække samtykket tilbage 12
Utvetydigt samtykke * Det må stå klart, at man giver et samtykke * Et samtykke kræver en aktiv handling forudfyldte afkrydsningsfelter accept af generelle vilkår inklusiv samtykke tavshed inaktivitet alle andre former for opt-out 13
Dokumentation af samtykket * Den dataansvarlige har bevisbyrden for Hvem der har givet samtykke At samtykket reelt er frivilligt Hvornår samtykket blev givet Hvordan samtykket blev givet Hvad indholdet af det enkelte samtykke er 14
Gamle samtykker * Ingen tidsbegrænsning på et samtykke * Samtykker indhentet før 25. maj 2018? Manglende information om muligheden for at trække samtykket tilbage Samtykker der i øvrigt ikke lever op til forordningens krav * Nyt samtykke hvis nyt/ændret formål 15
Tilbagetrækning af samtykke * Et samtykke kan til enhver tid trækkes tilbage * Det skal være lige så let at trække et samtykke tilbage som at give det * Tilbagetrækning af samtykke må ikke have negative konsekvenser 16
Hvis samtykket trækkes tilbage * Den behandling, der var baseret på samtykket, skal indstilles fremadrettet 17
Hvis reglerne for samtykke ikke overholdes * Er samtykket ikke gyldigt, kan persondata ikke behandles til det formål, samtykket var tiltænkt * Overtrædelse af kravene til samtykke kan straffes med bøder op til 20 millioner euro / 4 % af omsætningen 18
Materiale om samtykke * Den nylige danske vejledning * Vejledningen fra Artikel-29 gruppen I høring indtil 23. januar 2018 * Betænkningen * Lovforslaget * Hidtidig praksis 19
20