Svar
En begäran om samtycke måste presenteras på ett tydligt och koncist sätt, på ett språk som är lätt att förstå, och det måste klart och tydligt kunna särskiljas från andra typer av information såsom villkor. I begäran måste det anges hur dina personuppgifter kommer att användas, och det måste finnas kontaktuppgifter till det företag som behandlar uppgifterna. Samtycket måste vara frivilligt, specifikt, informerat och ett otvetydigt uttryck för dina önskemål. ”Informerat samtycke” innebär att du måste få information om behandlingen av dina personuppgifter, däribland åtminstone om
- identiteten hos den organisation som behandlar uppgifterna,
- i vilket syfte uppgifterna behandlas,
- vilken typ av uppgifter som kommer att behandlas,
- möjligheten att ta tillbaka samtycket (exempelvis genom att skicka ett e-postmeddelande för att ta tillbaka samtycket),
- när det är tillämpligt, det faktum att uppgifterna enbart kommer att användas för automatiserat beslutsfattande, däribland profilering,
- huruvida samtycket rör en internationell överföring av dina uppgifter, den möjliga risken för att uppgifter överförs till länder utanför EU, om det inte avseende dessa länder finns ett kommissionsbeslut om adekvat skyddsnivå eller lämpliga skyddsmekanismer.
Exempel
Samtycke som inte begärts på det sätt som fastställs i lagen
Du skriver in dig på en musikskola för att ta pianolektioner. Inskrivningsformuläret innehåller ett långt dokument i liten skrift med väldigt juridiska och tekniska termer som omfattar möjligheten att skolan kan lämna vidare dina personuppgifter till återförsäljare av musikinstrument. Skolan bryter mot lagen eftersom ditt samtycke till att ta emot marknadsföringsmaterial (från instrumentförsäljare) inte efterfrågades på det sätt som anges i lagen.
Du öppnar ett bankkonto online och vill bekräfta din begäran. En sida visas med två rutor att kryssa i där det står ”Jag accepterar villkoren” och ”Jag accepterar att beslutet angående om jag är berättigad till ett kreditkort fattas enbart utifrån profilering utan någon personlig kontakt”. Båda rutorna är aktiverade (ikryssade) som standard. Du måste avaktivera rutan om du inte vill att ett beslut rörande om du är berättigad till ett kreditkort ska fattas enbart utifrån profilering. Även om du inte avaktiverar rutan, har banken inte fått ett giltigt samtycke eftersom förkryssade rutor inte anses vara giltigt samtycke enligt den allmänna dataskyddsförordningen.
Referenser
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.