Forvirring er stor i det danske erhvervsliv
Der er nok ikke en eneste af os, der ikke har modtaget en e-mail i vores private indbakke, fra virksomheder som er i besiddelse af vores oplysninger. Måske er der endda nogle af disse virksomheder, som vi slet ikke var klar over, havde vores oplysninger. I EU persondataforordningens artikel 13 er det angivet at virksomheden har pligt til at oplyse den registrerede om en række informationer ifm. at personlysninger indsamles om vedkommende. De mails vi alle modtager er virksomhedens forsøg på at imødekomme oplysningspligten – og det er blot en af flere måder.
Problem opstår dog når informationerne i de e-mails ikke er fyldestgørende ift. kravene i artikel 13. Nedenfor kan I se hvilke oplysninger der skal være angivet:
- identitet og kontaktoplysninger for den dataansvarlige og dennes evt. repræsentant
- kontaktoplysninger for en evt. DPO
- formålene med behandlingen og retsgrundlaget for behandlingen de legitime interesser, som forfølges ved behandlingen
- eventuelle modtagere eller kategorier af modtagere af personoplysningerne hvorledes beskyttelsesniveauet er sikret
- hvor længe personoplysningerne vil blive opbevaret
- den registrerede skal oplyses om retten til indsigt, berigtigelse, sletning, begrænset behandling, indsigelse, samt retten til dataportabilitet
- retten til at klage til Datatilsynet
- hvilken hjemmel/lovligt grundlag, der er til at behandle data, fx samtykke, et lovkrav, en kontrakt
- retten til at trække et samtykke tilbage (hvis et sådant er afgivet)
- om personen har pligt til at afgive oplysningerne og de eventuelle konsekvenser af ikke at afgive disse
- om forekomsten af automatiske afgørelser, herunder profilering og at de har mulighed for at nægte deres oplysninger benyttes dertil.
Det er langt fra alle e-mails, og i dem linkede privatlivspolitikken som indeholder alle de nødvendige oplysninger.
Problemet med stiltiende samtykke
Dernæst er det et endnu større og mere væsentlig problem – nemlig at der i disse oplysningsmails også er indskrevet stiltiende samtykker. Eksempelvis kan der stå: ”Vi sender dig nyhedsbreve. Hvis du ønsker at vi skal blive ved med det, skal du ikke foretage dig noget. Hvis du ønsker at vi ikke fortsætter, skal du skrive til xxxxx”. Dvs. at nyhedsbrevsmodtageren i dette tilfælde afgiver et stiltiende samtykke ved ikke at reagerer på e-mailen.
Dataansvarlige, der på nuværende tidspunkt behandler oplysninger på baggrund af samtykke (fx ved udsendelse af nyhedsbreve), skal ikke nødvendigvis indhente et nyt samtykke. Samtykke indhentet i overensstemmelse med persondatalovens regler er fortsat gyldigt, hvis samtykket er i overensstemmelse med betingelserne i forordningen, jf. nedenstående tjekliste. De dataansvarlige skal derfor gennemgå deres metoder og procedurer for indhentning af samtykke for at vurdere, om de lever op til kravene i forordningen. Det bør i den forbindelse overvejes, om man som dataansvarlig lever op til punkterne i tjeklisten. Er dette ikke tilfældet, vil et samtykke ikke være i overensstemmelse med forordningen, og vil ikke kunne udgøre et lovligt behandlingsgrundlag, hvilket betyder at der skal indhentes nyt samtykke.
Det nye krav om, at den dataansvarlige skal informere om muligheden for at trække et samtykke tilbage, inden et samtykke er afgivet, antages ikke at være en gyldighedsbetingelse for et eksisterende samtykke, der er indhentet inden den 25. maj 2018. I det omfang det er praktisk muligt kan de dataansvarlige overveje at orientere de registrerede om muligheden for tilbagekaldelse for at sikre en gennemsigtig behandling for de registrerede.
