Inhämtande av samtycke
Inhämtande av samtycke är den vanligaste grunden för att få behandla individens personuppgifter för organisationer som säljer varor eller tjänster. En sådan organisation kan normalt sett inhämta samtycke vid ett eller flera naturliga situationer i förhållande till sina kunder. Det absolut vanligast tillfället att inhämta samtycke från en kund är vid tillfället då kunden köper någonting. Detta utgör det perfekta tillfället för organisationen att inhämta samtycke att få behandla kundens personuppgifter.
Inhämtande av samtycke
GDPR anger att ett samtycke ska vara frivilligt, specifikt och informerat samt utgöra ett otvetydigt medgivande från den registrerade att denna godkänner behandlingen av sina personuppgifter. Exakt vad som kom krävs är troligtvis något som kommer att prövas rättsligt relativt snart. Det är uppenbart att så kallade konkludenta (underförstådda) samtycker som fanns i den tidigare personuppgiftslagen försvinner. Detta innebär att en organisation inte kan utgå ifrån att en individ lämnat sitt samtycke genom att fylla i en intresseanmälan utan att ovannämnda rekvisit är uppfyllda.
I praktiken
Inom detaljhandeln är det vanligt att kunden första gången denne handlar tillfrågas om denne vill ingå eller delta i någon form av lojalitetsprogram i förhållande till butiken eller kedjan av butiker. Det flesta av oss tänker inte på att detta knyter oss till affären på ett sätt som ger företaget en mängd information om oss som de kan använda för att profilera oss och få data om våra konsumtionsvanor. Med vad är det egentligen vi samtycker till och hur får företaget som inhämtas data om os behandla den och hur länge får de spara dessa uppgifter? Detta beror en del på hur företaget utformat sitt samtycke.
Samtyckestexter
När samtyckestexter utformas måste man också bottna i andra delar av GDPR. I exemplet ovan om kundklubben ber organisationen om ett samtycke för profilering. Detta har organisationen gjort efter en noggrann analys av reglerna om samtycke och profilering. Risken med många personuppgiftsansvariga är att de skjuter för brett nät de klumpvis inhämtar samtycke som rör alla möjliga olika användningsområden som
- att administrera kundförhållandet;
- marknadsföring;
- säkerhetsfrågor;
- att lämna uppgifter till samarbetspartners; och
- affärs- och metodutveckling.
Med GDPR blir det viktigt att låta kunden få samtycka till varje del för sig. Texterna måste också vara enkla att förstå så att kunden kan ta ställning till vad denne vill. Kund ska inte tvingas att gå med på ett samtycke som innebar att denna måste motta information och reklam trots att det endast är tjänsten man är intresserad av.
Fall där man inte bör använda samtycke
Samtycke är inte möjligt att använda om det finns en stor ojämlikhet mellan parterna. Detta innebär bland annat att samtycke inte är en laglig grund för offentlig sektor. En annan situation när betydande ojämlikhet kan föreligga är på HR-området.
Liknande artiklar
- Arkivering och gallring
- Behandling av känsliga personuppgifter
- Behandling av personuppgifter
- Behandling på grund av allmänt intresse
- Behandling på grund av avtal
- Behandling på grund av berättigat intresse
- Behandling på grund av en rättslig förpliktelse
- Behandling vid myndighetsutövning
- Dataskyddsombud
- Den personuppgiftsansvarige
- Den registrerades rättigheter
- Personlig integritet
- Personuppgifter
- Personuppgiftsbiträde
- Personuppgiftsbiträdesavtal
- Sanktionsavgifter enligt GDPR