Nyhed

EDPB har udstedt nye retningslinjer om samtykke

Det Europæiske Databeskyttelsesråd (EDPB) udstedte nye retningslinjer om samtykke den 4. maj 2020, som erstatter de ældre retningslinjer fra 2018, så de stemmer overens med databeskyttelsesforordningens (GDPR) bestemmelser. EDPB’s nye retningslinjer har ikke medført væsentlige ændringer, men er flere steder blevet præciseret og uddybet - der er blandt andet blevet tilføjet retningslinjer om samtykkekravet i relation til cookie-walls.

EDPB har udstedt nye retningslinjer om samtykke
Nye retningslinjer

De nye retningslinjer indeholder en grundig gennemgang af samtykkekravet i GDPR. De tidligere retningslinjer indeholdt referencer til det tidligere databeskyttelsesdirektiv, og med de nye retningslinjer er referencerne blevet ajourført, så retningslinjerne nu stemmer overens med GDPR. Retningslinjerne er ikke blevet ændret væsentligt i sammenligning med retningslinjerne fra 2018, men flere steder har EDPB præciseret og uddybet, hvad der gælder for samtykkekravet.

Retningslinjernes indhold

I retningslinjerne lægger EDPB især vægt på, at dataansvarlige er forpligtede til at vurdere, om alle betingelser for et gyldigt samtykke er opfyldt. Den dataansvarlige har en forpligtelse til at finde innovative løsninger inden for GDPR, som støtter databeskyttelse og den registreredes interesser. I de nye retningslinjer klarlægger EDPB blandt andet, hvad der gælder i relation til:

  • Grundlaget for et samtykke og betingelser til samtykkets gyldighed
  • Betingelser til et udtrykkeligt samtykke, som er påkrævet i nogle situationer
  • Muligheden for at trække et samtykke tilbage
  • Samspillet mellem samtykkekravet og anden lovlig behandling efter artikel 6 i GDPR
  • Gyldigheden af samtykker givet forinden GDPR trådte i kraft
  • Samtykke i relation til specifikke problemområder som fx børn, forskning og den registreredes rettigheder

I retningslinjerne bemærker EDPB ligeledes, at samtykkekravet i udkastet til den fremtidige ePrivacy forordning er sammenkoblet med samtykkekravet i GDPR, og at GDPR’s betingelser for at opnå et gyldigt samtykke også er anvendelig i situationer, der falder inden for anvendelsesområdet af det eksisterende e-Privacy direktiv.

Ændringer

Der har været et behov for at klarlægge samtykkekravet i relation til såkaldte cookie walls og ved ’scrolling’ på hjemmesider.

EDPB har specificeret, at et samtykke ikke anses for at være givet frivilligt, hvor adgang til ydelser og funktioner bliver gjort betinget af et samtykke til at gemme information i en brugers dataudstyr (cookies walls). Det er fx situationer, hvor brugere ikke har mulighed til at få afgang til indholdet af en hjemmeside uden at klikke ’accepter cookies’. Her afgiver den registrerede ikke et frivilligt samtykke, da der ikke er anden mulighed for at få adgang til hjemmesidens indhold. Dette fremgik ikke tydeligt af de ældre retningslinjer, men er nu blevet klarlagt.

Herudover er eksempel 16 i retningslinjerne blevet ajourført. Eksemplet omhandler handlinger som at ’scrolle’ igennem en hjemmeside, hvilket aldrig betragtes som et klart og bekræftende samtykke.

Bemærkninger

En indhentelse af et samtykke vil ikke mindske den dataansvarliges forpligtelse til at følge andre regler vedrørende databeskyttelse. Hvis man behandler persondata, hvor samtykket er indhentet forinden, GDPR trådte i kraft i maj 2018, skal man sørge for, at man efterlever bestemmelserne i GDPR. I relation til samtykkekravet skal man fx også være opmærksom på artikel 5, hvoraf det fremgår, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.