ICO publicerar vägledning om samtycke enligt dataskyddsförordningen
Artikel 29-gruppen uppgav i ett pressmeddelande från januari 2017 att arbetsgruppen kommer att publicera en vägledning om samtycke enligt dataskyddsförordningen under året. I väntan på Artikel 29-gruppens vägledning vill vi tipsa om att the Information Commissioner’s Office (ICO), den engelska motsvarigheten till Datainspektionen, har publicerat en vägledning på samma tema. I vägledningen tar ICO bl.a. upp när en personuppgiftsansvarig bör basera personuppgiftsbehandlingen på den registrerades samtycke och när så inte bör ske, vad som utgör ett giltigt samtycke och hur länge ett samtycke är giltigt.
Enligt dataskyddsförordningen ska ett samtycke, för att anses giltigt, vara en frivillig, specifik, informerad och otvetydig viljeyttring, samt anges uttryckligen då samtycket inhämtas för behandling av särskilt känsliga uppgifter. I vägledningen har ICO redogjort för ICO:s tolkning av de olika delarna som ska vara uppfyllda för att det ska föreligga ett giltigt samtycke och exemplifierat vad kraven kan komma att innebära. ICO:s tolkning verkar till stor del överensstämma med den uppfattning som Datainspektionen har om samtycke enligt personuppgiftslagen (PuL) idag, vilket inte är särskilt förvånande eftersom samtyckesdefinitionen till stor del är densamma. Den stora skillnaden mellan PuL och dataskyddsförordningen är snarare på vilket sätt samtycket ska inhämtas, något som ICO tolkar i sin vägledning.
Dataskyddsförordningen kräver att samtycket ska inhämtas genom en text som dels är lättförståelig och dels är avskild från andra villkor eller liknande. Det är med andra ord inte längre möjligt att ”gömma” samtycken i långa texter. Enligt ICO innebär detta bl.a. att juridiskt eller tekniskt språkbruk ska undvikas, att ett enhetligt språk och enhetliga metoder bör användas samt att samtycket ska hållas så koncist och specifikt som möjligt. ICO menar även att en personuppgiftsansvarig bör överväga användning av ”just-in-time”-information, dvs. att information kommer upp på skärmen i samband med att individen fyller i uppgifterna samt att det finns en kort förklaring om vad uppgifterna kommer att användas till.
ICO menar att den information som minst bör ges i samband med att samtycket inhämtas är:
- Namnet på den personuppgiftsansvarige och tredje part som kommer att basera personuppgiftsbehandlingen på samtycket (att samtycka till kategorier av tredje parter anses inte specifikt nog),
- ändamålen med behandlingen,
- vad uppgifterna ska användas till, och
- att samtycket när som helst kan återkallas och hur detta ska göras.
Enligt dataskyddsförordningen krävs det att individen gör en aktiv opt-in. Lämpliga metoder för detta är bl.a. att kryssa i tomma rutor, kryssa i ja eller nej som svar på en samtyckesförfrågan eller att frivilligt ge in uppgifter för ett särskilt syfte (t.ex. att fylla i frivilliga fält i ett formulär kombinerat med just-in-time-information eller när en individ lämnar sitt visitkort i en låda för prisdragning).
Dataskyddsförordningen innehåller krav på att det är den personuppgiftsansvarige som ska kunna visa att den registrerade har samtyckt till behandlingen. Det innebär, enligt ICO, att den personuppgiftsansvarige ska föra ett register över vem som har samtyckt(t.ex. namn eller andra identifikationsuppgifter såsom användarnamn eller ID), när denne samtyckt (t.ex. kopia på ett daterat dokument, onlineregister med tidsangivelser eller, när det rör ett muntligt samtycke, en notering om tid och datum), vilken information som givits (t.ex. kopia av dokumentet där samtycket inhämtats, tillsammans med eventuell integritetspolicy), hur individen samtyckt (t.ex. dokumentation, formulär eller notering om samtycket inhämtats muntligen) samt om individen har återkallat samtycket (om så är fallet ska tidpunkten noteras i registret).
Sammanfattningsvis menar ICO att de mest centrala förändringarna angående samtycke enligt dataskyddsförordningen rör följande punkter:
- En samtyckesförfrågan måste separeras från andra villkor.
- På förhand ikryssade opt-in rutor är ogiltiga. Den personuppgiftsansvarige bör i stället använda tomma opt-in rutor eller liknande aktiva opt-in metoder.
- Vid inhämtande av samtycke bör förfrågan delas upp i förhållande till olika typer av behandlingar, på en så detaljerad nivå som anses lämpligt.
- Namnge din organisation och alla tredje parter som kommer att behandla personuppgifter med stöd av samtycket.
- För en förteckning för att visa vad de registrerade har samtyckt till, inklusive vad de har fått för information samt när och hur de samtyckte.
- Informera individerna om att de har rätt att återkalla sina samtycken när som helst och berätta hur de ska gå tillväga. Det måste vara lika lätt att återkalla ett samtycke som att ge det. Detta innebär att enkla och effektiva metoder för återkallelse av samtycke behöver upprättas.
- Ett samtycke kommer inte anses ha lämnats frivilligt om det finns en obalans i förhållandet mellan den registrerade och den personuppgiftsansvarige. Särskilt myndigheter och arbetsgivare bör söka alternativa grunder för behandling pga. detta.
Läs ICO:s vägledning i sin helhet här.