Svar
En anmodning om samtykke skal præsenteres på en tydelig og præcis måde og i et letforståeligt sprog, og den skal være nem at skelne fra andre oplysninger som for eksempel vilkår og betingelser. Anmodningen skal angive, hvordan dine personoplysninger vil blive brugt, og den skal indeholde kontaktoplysninger til den virksomhed, som behandler oplysningerne. Samtykket skal gives frivilligt, specifikt og informeret og være utvetydigt. »Informeret samtykke« betyder, at du skal have oplysninger om behandlingen af dine personoplysninger, herunder som minimum:
- identiteten på den organisation, der behandler oplysningerne
- formålet med at behandle oplysningerne
- typen af oplysninger, der behandles
- muligheden for at trække samtykket tilbage efterfølgende (for eksempel ved at sende en e-mail for at trække samtykket tilbage)
- hvis relevant: at oplysningerne vil blive anvendt til rent automatiske afgørelser, herunder opstilling af personprofiler
- informationer om samtykket gives i forbindelse med en international overførsel af dine oplysninger; de mulige risici ved dataoverførsel til lande uden for EU, hvis disse lande ikke er omfattet af en Kommissionsbeslutning om et tilstrækkeligt beskyttelsesniveau, og der ikke er passende garantier.
Eksempler
Her anmodes der ikke om samtykke, som der skal ifølge loven
Du tilmelder dig en musikskole for at få klaverundervisning. Tilmeldingsformularen indeholder et langt dokument, som indeholder svære juridiske og tekniske begreber og er trykt med små bogstaver. Dokumentet angiver, at skolen muligvis vil videregive dine personoplysninger til forhandlere af musikinstrumenter. Skolen overtræder loven, da dit samtykke til at modtage markedsføringsmateriale (som kan være fra forhandlere af musikinstrumenter) ikke blev krævet, som angivet i loven.
Du åbner en bankkonto online og vil bekræfte din bestilling. Der vises en side med to afkrydsningsfelter: »Jeg accepterer vilkår og betingelser« og »Jeg anerkender, at afgørelsen om, hvorvidt jeg kan få et kreditkort, udelukkende træffes på baggrund af en automatisk genereret personprofil«. Der er allerede kryds i begge felter. Du skal fjerne krydset i feltet, hvis du ikke vil have, at afgørelsen om, hvorvidt du kan få et kreditkort, udelukkende træffes på baggrund af en automatisk genereret personprofil. Også selv om du ikke fjerner krydset i feltet, anses banken ikke for at have indhentet gyldigt samtykke, da forudafkrydsede felter ikke anses for at være gyldigt samtykke under den generelle forordning om databeskyttelse (GDPR).
Referencer
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.