Når Databeskyttelsesforordningen og Databeskyttelsesloven træder i kraft den 25. maj 2018, vil dette på flere punkter betyde en ændring af reglerne omkring samtykke. Generelt vil behovet for at benytte en skriftlig samtykkeerklæring stige.

Hvad er et samtykke egentlig?

Samtykke er udtryk for, at den registrerede gives et reelt valg og kontrol over, hvordan hans/hendes personoplysninger bruges. Et samtykke kan både afgives mundtligt, skriftligt og digitalt, men da det er den dataansvarlige, der skal kunne bevise, at den registrerede har givet samtykke til behandlingen af personoplysninger, samt hvad samtykket omfatter, anbefaler vi at det afgives skriftligt fx ved en samtykkeerklæring.

Kan den dataansvarlige ikke bevise, at der foreligger et gyldigt samtykke, er konsekvensen, at samtykket ikke kan anses for at være i overensstemmelse med forordningen og kan dermed ikke udgøre et lovligt behandlingsgrundlag. Kort sagt, hvis samtykkeerklæringen ikke lever op til reglerne eller den dataansvarlige ikke kan bevise at det findes, så gælder samtykket ikke.

Samtykke fra den registrerede er blot et af flere retlige grundlag, som den dataansvarlige kan bruge til at behandle personoplysninger. Det er derfor vigtigt, at overveje om samtykke vil være det bedste grundlag for behandling af personoplysninger, da det at behandle samtykkeerklæringer involverer noget arbejde for den dataansvarlige.

Behandling af almindelige oplysninger

Ved behandling af almindelige oplysninger, som fx den registreredes navn, adresse, telefonnummer osv., vil samtykke sjældent være det optimale behandlingsgrundlag. Behandlingen af almindelige oplysningerne vil normalt være nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, hvorfor forordningens artikel 6, stk. 1, litra b vil være mere egnet som behandlingsgrundlag.

Behandling af følsomme oplysninger

Hvis man derimod behandler følsomme oplysninger, som fx helbredsoplysninger, vil samtykke normalt være den eneste eller i hvert fald det bedste behandlingsgrundlag. Der må derfor som udgangspunkt kun behandles følsomme oplysninger om den registrerede, hvis oplysningerne er relevante i forbindelse med behandlingsforløbet, og den registrerede har givet udtrykkeligt samtykke.

Ikke alle behøver indhente samtykker

Det er ikke alle professioner, der er har brug for at indhente et samtykke for at kunne behandle følsomme oplysninger. Flere steder i lovgivningen er det tværtimod påkrævet, at bestemte personer behandler særlige personoplysninger. Læger og tandlæger har fx pligt til at indsamle og registre følsomme personoplysninger, idet det fremgår af Autorisationsloven og Journalføringsbekendtgørelsen at sundhedspersoner skal føre patientjournaler. Det er således kun i de tilfælde, hvor behandlingen af personoplysninger ikke er reguleret af særlovgivningen, at Persondatalovens regler finder anvendelse. Sundhedspersoner skal derfor ikke have samtykke for at behandle følsomme oplysninger (der er relevante for patientjournalen), idet der allerede er en anden hjemmel, mens samtykke derimod vil være et krav for fx alternative behandlere, idet deres behandling af personoplysninger følger af Persondataloven.

Oplysninger om børn

Hvis man behandler oplysninger om børn skal man være særlig opmærksom, idet forordningen her stiller flere krav ved behandlingen. Det er dog endnu ikke klart, hvornår man efter forordningen er et barn. Derudover er der spørgsmålet om hvornår man er gammel nok til at give samtykke efter forordningen. Dette er ikke specifikt angivet i forordningen, men i relation til anden lovgivning finder man forskellige grænser. Efter sundhedsloven kan børn over 15 år give samtykke til at personoplysninger videregives, mens Datatilsynet har arbejdet med at børn helt ned til 12 år kan give samtykke efter Persondataloven. Der er således endnu ikke en helt klar retstilling, når det kommer til børn.

Tilbagetrækning af samtykke

Selvom der er givet samtykke, kan den registrerede til enhver tid trække sit samtykke tilbage. Det er den dataansvarliges opgave at sikre sig, at den registrerede kan trække sit samtykke tilbage på en nem og enkel måde. Det skal af den årsag være lige så let at trække sit samtykke tilbage som at give det. Derudover skal den registrerede have mulighed for at trække sit samtykke tilbage, uden at det er til skade for den pågældende. Det er også en betingelse for at samtykket er gyldigt, at den registrerede inden samtykket gives, skal oplyses om, at samtykket kan trækkes tilbage.
Hvis den registrerede vælger at trække sit samtykke tilbage, påvirker det ikke lovligheden af den behandling, der allerede har fundet sted. Tilbagekaldelsen af samtykket vedrører kun den fremtidige behandling af den registreredes oplysninger.

Hvad betyder det i praksis?

Som udgangspunkt skal den dataansvarlige ophøre med at behandle oplysningerne så hurtigt som muligt, hvis den registrerede tilbagekalder sit samtykke. Det er nemlig vigtigt at være opmærksom på, at opbevaring af den registreredes oplysninger også er en behandling, som derfor skal ophøre ved tilbagekaldelsen. Det gælder dog kun de oplysninger, der er behandlet på grundlag af samtykket, og ikke de oplysninger, hvor behandlingsgrundlaget er et andet end samtykke, fx en kontrakt mellem den dataansvarlige og den registrerede.

Andre rettigheder

Udover at kunne trække sit samtykke tilbage har den registrerede også andre rettigheder, der følger af forordningen. Det gælder fx retten til indsigt, indsigelse og retten til at blive glemt. Her er det dog vigtigt at være opmærksom på at retten til at blive glemt ikke er ubegrænset. Er der fx en retlig forpligtigelse til at behandle personoplysninger, som i eksemplet med patientjournalerne, skal oplysningerne ikke slettes, selv hvis personen ønsker det.

Egenkontrol

Selv når de registreredes samtykker er indsamlet, er det stadig nødvendigt at have kontrol og overblik over samtykkeerklæringerne. Dette kan gøres på flere forskellige måder, fx ved at lave en kontrol engang om året, hvor man tjekker, at man har samtykkeerklæringer på alle de registrerede, eller ved at lave en politik omkring at hver gang man fx skriver noget i den registreredes journal, tjekker man om personen har givet samtykke.