Samtykke som grunnlag for behandling av personopplysninger etter GDPR – når kan det brukes og når bør det ikke brukes?

Samtykke er mye omtalt i tilknytning til personvernforordningen (GDPR). Men det blir også sagt mye feil om samtykke, som at samtykke kreves for all behandling. Samtykke er bare ett av flere grunnlag for behandling av personopplysninger, og ofte bør man heller unngå samtykke enn å benytte samtykke som grunnlag for behandling.

Bruk av samtykke eller ikke?

For å behandle personopplysninger må det foreligge et lovlig grunnlag. Ett slikt grunnlag er samtykke, men dette forutsetter at samtykket er lovlig avgitt. Det er en rekke krav til at samtykke skal være lovlig, og nedenfor er kravene omtalt. Siden det er mange – og strenge – krav til samtykke, så bør det vurderes om noen av de andre grunnlagene for behandling heller bør benyttes. For det å benytte samtykke som grunnlag har også mange konsekvenser som bør vurderes før man baserer behandling av personopplysningersamtykke. Oppfylles ikke kravene til samtykke – og det er tilstrekkelig at ett av kravene ikke er oppfylt – så er ikke samtykket lovlig, som igjen fører til at behandlingen av personopplysningene etter samtykket er ulovlig.

De øvrige grunnlagene for behandling av personopplysninger er listet opp i GDRP artikkel 6 nr. 1, hvor samtykke er ett av grunnlagene. De øvrige fem grunnlagene er at behandlingen er nødvendig for å:

  1. Oppfylle avtale med den registrerte
  2. Oppfylle en rettslig forpliktelse (dvs. pålegges en plikt etter lov)
  3. Verne fysisk persons vitale interesser
  4. Utføre oppgave i allmennhetens interesse eller utøve offentlig myndighet
  5. eller det foreligger en berettiget interesse for behandlingen hvor ikke personverninteressene til den registrerte går foran (interesseavveining).

Prosedyren bør være at man søker å finne ett av de øvrige fem grunnlagene til behandlingen fremfor å velge samtykke. Egner ingen av grunnlagene seg, eller de er for usikre som grunnlag til denne konkrete behandlingen, bør behandlingsgrunnlaget sikres med et samtykke. For som EUs Artikkel 29-gruppe sier, så er samtykke et godt grunnlag om det benyttes i overensstemmelse med GDPR, men følges ikke reglene vil et samtykke gi et illusorisk og ulovlig grunnlag for behandling.

Det benyttes samtykke i for mange tilfelle hvor det vil heller være riktig å benytte et annet grunnlag. Årsaken til at samtykke velges som grunnlag kan være uvitenhet (man vet ikke om de strenge kravene som stilles til samtykke, eller man kjenner ikke at det foreligger andre grunnlag enn samtykke) eller man vil sikre seg at det foreligger et grunnlag. Sistnevnte kan være dersom et grunnlag er for usikkert, som at et lovgrunnlag ikke er tilstrekkelig klart eller at bruk av interesseavveiningen i artikkel 6 nr. 1 punkt f) blir for usikker. At Datatilsynet også har ment at samtykke er det foretrukne og beste grunnlaget kan også ha hatt betydning (riktignok uttalt etter personopplysningsloven av 2000), men det er ikke en oppfatning som står seg under GDPR.

Krav til samtykke

Et samtykke er etter definisjonen i GDPR artikkel 4 nr. 11 «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende». Det er altså en rekke krav til at et samtykke skal være lovlig, og alle kravene må være innfridd.

Et gyldig samtykke må være avgitt frivillig

Et samtykke skal være frivillig avgitt. Dette innebærer at samtykket må gis fritt, som betyr at det ikke må være noen fordeler eller ulemper knyttet til samtykket. Samtykket må gis av den registrerte av dennes egne frie vilje, i motsetning til under tvang eller frykt for konsekvensene dersom samtykke ikke gis. Det må ikke være noen negative konsekvenser for en person som nekter samtykke, annet enn det naturlige resultatet at personopplysningene ikke kan behandles. Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.

En sammenheng med frivilligheten er det er et krav etter GDPR at samtykket kan trekkes tilbake på et hvilket som helst tidspunkt, og dette skal kunne gjøres like enkelt som å gi samtykke. Trekkes samtykket, vil det ikke være lov til å behandle personopplysningene. Etter veiledningen fra EU (Artikkel 29-gruppen), kan man heller ikke hoppe over på andre grunnlag dersom det viser seg at samtykket ikke er dekkende eller fullstendig. Trekkes samtykket, må også behandlingen opphøre og opplysningene må slettes. Dette gjør det risikabelt å basere seg på samtykke.

Gis det samtykke i forbindelse med oppfyllelse av en avtale, så vil det at oppfyllelsen av avtalen er betinget av om samtykket er gitt ha betydning i vurderingen av om samtykke er frivillig gitt (se GDPR artikkel 7 nr. 4). Krever en nettbutikk at man må akseptere å motta nyhetsbrevet til nettbutikken for at de skal sende varene til kunden, så vil dette ikke være et frivillig samtykke (siden det kreves ikke at nyhetsbrevet mottas for at varene skal sendes), så dermed vil ikke samtykket være gyldig.

At samtykke skal være frivillig er vanskelig å få til dersom det er stor ulikhet i styrkeforholdet mellom den som gir samtykket og den som mottar det. Derfor bør samtykke ikke brukes som behandlingsgrunnlag hvis det er en klar skjevhet i maktforholdet mellom den registrerte og behandlingsansvarlige. Dette kan gjelde i forholdet mellom privatpersoner og offentlig myndighet, og i arbeidsforhold hvor arbeidstaker sjelden vil være i stand til å gi samtykke frivillig, for ikke å snakke om å trekke tilbake et samtykke som også er en rettighet. Er det usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter i den bestemte situasjonen, så er samtykket ugyldig. I arbeidsforhold bør man derfor basere behandling av personopplysninger på andre behandlingsgrunnlag enn samtykke foruten i helt spesielle situasjoner.

Det følger også av GDPR at det gis samtykke etter en elektronisk anmodning (som en popup i et spill), må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder. Med dette menes det at samtykker kan ikke være forstyrrende for tjenesten, som kan føre til at brukere aksepterer/samtykker for å slippe forstyrrelsene, som har betydning for om samtykket er frivillig avgitt.

Samtykket må være spesifikt

Et samtykke skal etter personvernforordningen være spesifikt, hvilket betyr at samtykket må være konkret for det formål samtykket samles inn for. Er det flere formål med behandlingen, bør det gis samtykke til alle formålene. Men innenfor formålet kan den behandlingsansvarlige velge hvordan formålet skal oppnås, dvs. hvilke behandlingsaktiviteter som kan gjennomføres, forutsatt at disse kan gjennomføres innenfor formålet.

Det må derfor innhentes separate samtykker for forskjellige formål, selv om det kan være hensiktsmessig i det enkelte tilfellet å gi et samlet samtykke. Er det derfor kun mulig å samtykke for en rekke forhold, uten å skille ut enkelte forhold som man ikke aksepterer, vil derfor samtykket være ugyldig (og det kan også vanskelig sies å være frivillig om man må samtykke for alle handlinger samlet). Ved sammensatte samtykker, må derfor den som ber om samtykke (den behandlingsansvarlig) dele opp samtykket i enkelte deler hvor den registrerte kan samtykke til de enkelte forhold for seg.

Kravet til spesifikt samtykke innebærer også at samtykke kan ikke inntas som del av vilkårene for en tjeneste, slik at man også gir samtykke for behandling av personopplysninger samtidig som man aksepterer vilkårene for tjenesten. Et slikt samtykke vil ikke være gyldig.

Samtykket må være utvetydig

Samtykket må også være utvetydig. Dette innebærer at den registrerte må ved erklæring eller en tydelig bekreftelse gi sitt samtykke til behandling. Det kreves altså en aktiv handling fra den registrerte sin side, som ved at det krysses av i en boks eller på andre måter behandlingen av personopplysningene aktivt godkjennes. Dette innebærer at samtykket gis i form av en tydelig bekreftelse, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring (som f.eks. ved telefonsamtale). Men vær klar over at dersom samtykket gis muntlig, så kreves det også at samtykket senere kan dokumenteres, se nedenfor. Siden dokumentasjon av muntlig samtykke nødvendigvis må skje ved lydopptak, kan dette føre til andre utfordringer.

Et samtykke skal i utgangspunktet være «opt in», det vil si at man aktivt sier at man samtykker, og ikke «opt out» – at man må foreta seg noe for å ikke samtykke. Det står nå klart i GDPR at forhåndsavkryssede bokser, inaktivitet eller taushet («ved å gå videre aksepterer du…») er ikke samtykke. Å krysse av boks eller «swipe» i en app kan derimot være å avgi et samtykke (men husk at samtykket må dokumenteres, så «swipet» må også kunne dokumenteres senere), men at man scroller ned for å lese hele teksten er ikke tilstrekkelig som samtykke siden det her ikke vil være en klar og utvetydig viljesytring.

Den som gir samtykke må være informert

I tillegg må samtykket være informert gjennom at det fremgå klart hva den registrerte samtykker til at behandlingen av personopplysninger kan omfatte (som formålet/formålene med behandlingen som personopplysningene skal brukes til), og hvem samtykket er gitt til, dvs. hvem som er behandlingsansvarlig, hvilke (typer) personopplysninger som vil bli samlet inn og behandlet, i tillegg til at samtykket kan fritt trekkes tilbake, om det vil skje automatisert behandling/profilering og om personopplysningene vil overføres, herunder om de vil overføres til land utenfor EU/EØS. Det stilles ikke krav til hvordan opplysningene gis, så det kan være i enhver form som sikrer klarhet og tydelighet for den vanlige person, hvor spesielt formålet for behandlingen må fremgå klart.

Gis det samtykke i forbindelse med en skriftlig erklæring som også gjelder andre forhold, så skal samtykket framlegges på en måte som gjør at den tydelig kan skilles fra andre forhold. Dette bør gjøres ved at samtykket fremkommer klart til begynne med i erklæringen. Samtykket skal gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Dette innebærer trolig at samtykkeerklæringer må gis på morsmålet til de registrerte eller et språk de behersker godt, og dette kravet er så strengt at de deler av et samtykke som ikke er gitt på et så klart språk som kreves, er ikke bindende (og dermed vil behandling på grunnlag av samtykket være ulovlig). Et samtykke bør heller ikke inneholde urimelige vilkår i følge GDPR, som setter grenser for hva det kan innhentes samtykke til.

Hvordan kan samtykket gis?

Det er ingen krav til hvordan et samtykkes gis (ingen formkrav), og det kan derfor gis både elektronisk, på papir, og også muntlig. Det må imidlertid fremgå klart hva det samtykkes til, og det anbefales derfor at samtykke mottas skriftlig. Dette vil også gjøre det enklere å bevise (dokumentere) at samtykke ble gitt.

Selv om det ikke står klart i GDPR, må samtykket være gitt før behandlingen tar til. Det anbefales at samtykker oppdateres ved regelmessige intervaller dersom behandlingen går over lang tid.

Når samtykke benyttes som grunnlag må den behandlingsansvarlige sørge for at alle de ovenstående kravene oppfylles når samtykke innhentes, blant annet ved å etablere gode rutiner. For å sikre at rutinene følges, bør disse være skriftlige (som også kan være hensiktsmessig dersom rutinene må dokumenteres overfor Datatilsynet). En del av rutinene må være at det sikres dokumentasjon av at den registrerte har gitt samtykke til behandling av personopplysninger om vedkommende. Det må altså dokumenteres at det er gitt samtykke, og hva innholdet av samtykket som ble gitt var. Sistnevnte omfatter også at det kan dokumenteres at den registrerte var kjent med innholdet i samtykket, som f.eks. dokumentere at vedkommende har scrollet ned og lest samtykket. At dokumentasjonen er tilgjengelig i en logg i en database eller lignende, er tilstrekkelig, bare at dette er troverdig dokumentasjon.

Brukes det samtykke som grunnlag, har dette også virkning for hvordan personopplysningene kan behandles senere. Dette omfatter bl.a.:

  • Trekkes samtykket, skal behandlingen opphøre, se ovenfor. Dette innebærer at personopplysningene skal slettes.
  • Samtykke er ett av to grunnlag som gir rett til dataportabilitet, dvs. at den registrerte kan kreve å få utlevert/overlevert sine data til annen behandlingsansvarlig, se GDPR artikkel 20 nr. 1 punkt a).
  • Behandling av særlige kategorier personopplysninger kan gjøres dersom det foreligger samtykke, se GDPR artikkel 9 nr. 2 punkt a).
  • Samtykke kan være grunnlag for overføring av personopplysninger til tredjestater som ikke har tilstrekkelig sikkert behandlingsnivå for personopplysninger, forutsatt at den registrerte er informert om risikoene ved overføringen, se GDPR artikkel 49 nr. 1 punkt a). Men det er da begrensninger på hvilke overføringer som kan gjøres, se nevnte artikkel.
  • I informasjonen som gis til de registrerte, må det presiseres at behandlingen gjøres på grunnlag av samtykke og det skal informeres om at samtykket kan trekkes tilbake, se GDPR artikkel 13 og nr. 2 punkt c) og artikkel 14 nr. 2 punkt d).
  • Ved samtykke som grunnlag kan det likevel behandles personopplysninger i visse tilfelle selv om behandling er begrenset i henhold av GDPR artikkel 18, se artikkel 18 nr. 2.
  • Registrerte kan være gjenstand for avgjørelse utelukkende basert på automatisert behandling, herunder profilering, når behandlingen er basert på samtykke, se GDPR artikkel 22 nr. 2 punkt c).

Som nevnt ovenfor kan den registrerte trekke tilbake samtykke til enhver tid. Dette er spesielt viktig dersom det benyttes samtykke fra barn, siden den registrerte kan, dersom denne ikke helt kjente til risikoen ved behandlingen da samtykket ble gitt som barn, trekke samtykket senere når det er blitt voksent. Vær også klar over at det er spesielle krav til barns samtykke, men det omtales ikke nærmere her. Trekkes samtykket, vil det være lovlig å behandle personopplysningene inntil samtykket trekkes, men så snart det trekkes må behandlingen opphøre og videre behandling er ulovlig. Den registrert må gis informasjon om at denne har rett til trekke samtykket, og det må legges til rette for at det skal være like lett å trekke samtykket som å gi det. Brytes dette, vil samtykket og behandling etter samtykket være ulovlig. At samtykke trekkes kan heller ikke føre til at tjenester som den registrerte mottas reduseres i kvalitet eller andre ulemper.

For samtykker som er gitt under reglene som gjelder før GDPR, så vil samtykket kun være gjeldende for behandling under GDPR dersom samtykket er dekkende for kravene etter GDPR (dvs. kravene ovenfor). Alle samtykker bør undersøkes om de er dekkende, men det bør i denne sammenheng også undersøkes om det skal benyttes annet grunnlag til behandling enn samtykke. Men merk at det er krav til dokumentasjon på at samtykke er gitt, så foreligger ikke slik dokumentasjon for samtykker gitt før GDPR trer i kraft, må nye samtykker (med dokumentasjon) innhentes.

Ønsker du å lese mer om samtykke, så anbefales veiledningene fra EUs Artikkel 29-gruppe: WP259 (utkast) og WP187.