Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

ICO publicerar vägledning om samtycke enligt dataskyddsförordningen

Artikel 29-gruppen uppgav i ett pressmeddelande från januari 2017 att arbetsgruppen kommer att publicera en vägledning om samtycke enligt dataskyddsförordningen under året. I väntan på Artikel 29-gruppens vägledning vill vi tipsa om att the Information Commissioner’s Office (ICO), den engelska motsvarigheten till Datainspektionen, har publicerat en vägledning på samma tema. I vägledningen tar ICO bl.a. upp när en personuppgiftsansvarig bör basera personuppgiftsbehandlingen på den registrerades samtycke och när så inte bör ske, vad som utgör ett giltigt samtycke och hur länge ett samtycke är giltigt.

Enligt dataskyddsförordningen ska ett samtycke, för att anses giltigt, vara en frivillig, specifik, informerad och otvetydig viljeyttring, samt anges uttryckligen då samtycket inhämtas för behandling av särskilt känsliga uppgifter. I vägledningen har ICO redogjort för ICO:s tolkning av de olika delarna som ska vara uppfyllda för att det ska föreligga ett giltigt samtycke och exemplifierat vad kraven kan komma att innebära. ICO:s tolkning verkar till stor del överensstämma med den uppfattning som Datainspektionen har om samtycke enligt personuppgiftslagen (PuL) idag, vilket inte är särskilt förvånande eftersom samtyckesdefinitionen till stor del är densamma. Den stora skillnaden mellan PuL och dataskyddsförordningen är snarare på vilket sätt samtycket ska inhämtas, något som ICO tolkar i sin vägledning.

Dataskyddsförordningen kräver att samtycket ska inhämtas genom en text som dels är lättförståelig och dels är avskild från andra villkor eller liknande. Det är med andra ord inte längre möjligt att ”gömma” samtycken i långa texter. Enligt ICO innebär detta bl.a. att juridiskt eller tekniskt språkbruk ska undvikas, att ett enhetligt språk och enhetliga metoder bör användas samt att samtycket ska hållas så koncist och specifikt som möjligt. ICO menar även att en personuppgiftsansvarig bör överväga användning av ”just-in-time”-information, dvs. att information kommer upp på skärmen i samband med att individen fyller i uppgifterna samt att det finns en kort förklaring om vad uppgifterna kommer att användas till.

ICO menar att den information som minst bör ges i samband med att samtycket inhämtas är:

  • Namnet på den personuppgiftsansvarige och tredje part som kommer att basera personuppgiftsbehandlingen på samtycket (att samtycka till kategorier av tredje parter anses inte specifikt nog),
  • ändamålen med behandlingen,
  • vad uppgifterna ska användas till, och
  • att samtycket när som helst kan återkallas och hur detta ska göras.

Enligt dataskyddsförordningen krävs det att individen gör en aktiv opt-in. Lämpliga metoder för detta är bl.a. att kryssa i tomma rutor, kryssa i ja eller nej som svar på en samtyckesförfrågan eller att frivilligt ge in uppgifter för ett särskilt syfte (t.ex. att fylla i frivilliga fält i ett formulär kombinerat med just-in-time-information eller när en individ lämnar sitt visitkort i en låda för prisdragning).

Dataskyddsförordningen innehåller krav på att det är den personuppgiftsansvarige som ska kunna visa att den registrerade har samtyckt till behandlingen. Det innebär, enligt ICO, att den personuppgiftsansvarige ska föra ett register över vem som har samtyckt (t.ex. namn eller andra identifikationsuppgifter såsom användarnamn eller ID), när denne samtyckt (t.ex. kopia på ett daterat dokument, onlineregister med tidsangivelser eller, när det rör ett muntligt samtycke, en notering om tid och datum), vilken information som givits (t.ex. kopia av dokumentet där samtycket inhämtats, tillsammans med eventuell integritetspolicy), hur individen samtyckt (t.ex. dokumentation, formulär eller notering om samtycket inhämtats muntligen) samt om individen har återkallat samtycket (om så är fallet ska tidpunkten noteras i registret).

Sammanfattningsvis menar ICO att de mest centrala förändringarna angående samtycke enligt dataskyddsförordningen rör följande punkter:

  • En samtyckesförfrågan måste separeras från andra villkor.
  • På förhand ikryssade opt-in rutor är ogiltiga. Den personuppgiftsansvarige bör i stället använda tomma opt-in rutor eller liknande aktiva opt-in metoder.
  • Vid inhämtande av samtycke bör förfrågan delas upp i förhållande till olika typer av behandlingar, på en så detaljerad nivå som anses lämpligt.
  • Namnge din organisation och alla tredje parter som kommer att behandla personuppgifter med stöd av samtycket.
  • För en förteckning för att visa vad de registrerade har samtyckt till, inklusive vad de har fått för information samt när och hur de samtyckte.
  • Informera individerna om att de har rätt att återkalla sina samtycken när som helst och berätta hur de ska gå tillväga. Det måste vara lika lätt att återkalla ett samtycke som att ge det. Detta innebär att enkla och effektiva metoder för återkallelse av samtycke behöver upprättas.
  • Ett samtycke kommer inte anses ha lämnats frivilligt om det finns en obalans i förhållandet mellan den registrerade och den personuppgiftsansvarige. Särskilt myndigheter och arbetsgivare bör söka alternativa grunder för behandling pga. detta.

Läs ICO:s vägledning i sin helhet här.

This entry was posted in Nyheter. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment .

Kommentera

  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.