Wikier

Personvern og GDPR

Samtykke for behandling av personopplysninger

Samtykke er et av flere behandlingsgrunnlag (lovlige grunnlag) for å bruke personopplysninger om den enkelte.

Temaside om informasjonssikkerhet | Sider merket med personvern

For noen behandlinger av personopplysninger er det imidlertid ikke tilstrekkelig med behandlingsgrunnlag – det må foreligge et særskilt grunnlag i tillegg. Dette gjelder behandling av sensitive personopplysninger, automatiserte individuelle avgjørelser og overføring til utlandet. I disse tilfellene kan eksplisitt samtykke være et mulig tilleggsgrunnlag. Med eksplisitt samtykke menes et samtykke som er gitt på en ekstra tydelig måte. Eksempler på dette er der den enkelte sender en skriftlig erklæring om hva vedkommende samtykker til. Kravene til gyldighet skjerpes tilsvarende.

Krav til samtykkets gyldighet

For at et samtykke skal være gyldig, stilles det krav til slikt samtykke.

For at et samtykke skal være gyldig, må det være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

NTNU må som behandlingsansvarlig være sikker på at samtykke kan dokumenteres, enten skriftlig eller elektronisk.

 

Hvor lenge varer et samtykke?

Hvor lenge et samtykke varer kommer an på hva man har bedt om samtykke til. For å unngå tvil anbefaler Datatilsynet at man spesifiser hvor lenge et samtykke er tiltenkt å vare når man ber om det. Vi anbefaler også at man med rimelige intervaller minner på den enkelte at de har gitt samtykke og at det kan trekkes tilbake.

 

Sjekkliste for innhentet samtykke

  • Samtykke kan dokumenteres (skriftlig eller elektronisk)
  • Samtykke er inngått frivillig (ikke negative konsekvenser av å ikke samtykke)
  • Informasjonen om bakgrunnen for innhenting av samtykke og bruken er gitt på et enkelt og forståelig språk. Informasjon er gitt om:
    • hvem som er behandlingsansvarlig
    • formålet for hver av behandlingene som du har bedt om samtykke til
    • hva slags personopplysninger som vil samles inn
    • informasjon av retten til å trekke tilbake samtykke
    • informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
    • informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området
  • Det er ikke tvilsomt hva samtykket dekker og perioden for bruken av personopplysningene bør fremgå
  • Dersom erklæringen ved innhentet samtykke er gitt i forbindelse med andre forhold, skal det klart fremgå hva samtykket gjelder
  • Samtykke er gitt gjennom en aktiv handling
  • Det fremgår klart at samtykke kan når som helst trekkes tilbake
  • Kontaktperson for informasjon og eventuell tilbaketrekning av samtykke fremgår lett tilgjengelig

Samtykke til forskning 

Når en virksomhet samler inn personopplysninger til bruk i vitenskapelig forskning (i tråd med etablerte metodiske og etiske standarder), kan det noen ganger være vanskelig å formulere et presist formål på innsamlingstidspunktet. Der behandlingsgrunnlaget for behandlingen av personopplysninger er samtykke, utfordres kravene om spesifikt og informert samtykke.

Loven åpner derfor for at formålet i slike tilfeller kan være litt mindre presist formulert i samtykkeforespørselen, men det må fortsatt være en generell formålsangivelse. Hvor generell den kan være, kommer blant annet an på hvor beskyttelsesverdige personopplysninger det er snakk om. I tillegg må man ha på plass andre tiltak for å vareta personvernet. Eksempler på slike tiltak kan være:

  • Virksomheten ber om samtykke til ett og ett trinn av forskningsstudiet av gangen.
  • Virksomheten gir den enkelte oppdatert informasjon underveis slik at samtykket over tid blir informert og spesifikt. Den enkelte blir samtidig minnet på retten til å trekke tilbake samtykke.
  • Virksomheten gir den enkelte en utfyllende forskningsplan der også forskningsspørsmål og arbeidsmetoder fremgår.

Se forøvrig Norsk senter for forskningsdata (NSD) sine sider om informasjon og samtykke i forskning