Nye vejledninger om samtykke og dataansvarlige og databehandlere

17 november 2017

Datatilsynet har hhv. den 8. og 15. november 2017 offentliggjort to nye vejledninger om samtykke og dataansvarlige og databehandlere.

Kravene til samtykke og begreberne 'dataansvarlig' og 'databehandler' belyses i vejledningerne ved hjælp af forskellige eksempler for at sætte dem i en praktisk kontekst. Vejledningerne vil i det følgende blive omtalt kort.

Vejledningen om samtykke

Samtykkekravene har undertiden voldt problemer grundet sparsomme fortolkningsbidrag. Datatilsynet har øjensynligt være opmærksom herpå og giver i vejledningen en række eksempler, som bidrager til at illustrere de vanskelige krav.

Vejledningen omtaler bl.a. de tilfælde, hvor der foreligger et ulige forhold mellem parterne. Eksempelvis vil et samtykke afgivet af en medarbejder over for en arbejdsgiver i nogle sammenhænge ikke kunne betragtes som frivilligt. I eksemplet fra vejledningen ønsker en virksomhed at offentliggøre billeder af deres medarbejdere, hvilket kræver medarbejdernes samtykke. Samtykket vil ikke være afgivet frivilligt, hvis ledelsen af virksomheden har oplyst de ansatte om, at det vil få negative konsekvenser. Har ledelsen derimod informeret de ansatte om, at det ikke vil få negative konsekvenser at nægte samtykke, vil samtykket være afgivet frivilligt.

Vejledningen dedikerer halvanden side til den væsentligste nyskabelse i forhold til det nuværende samtykkekrav efter persondataloven – nemlig retten til at tilbagekalde samtykke.

Derudover omtales de forhold, man skal være særligt opmærksom på, når man indhenter samtykke fra børn, dokumentationskravet samt overgangen mellem persondataloven til forordningen.

Vejledningen om dataansvarlige og databehandlere

Vejledningen oplister en række hensyn, som er relevante, når man skal vurdere, om man er databehandler eller dataansvarlig.

Vejledningen oplister også en række udsagn, som alle er karakteristiske for en dataansvarlig – dvs. hvis man kan sige 'ja' til flere af udsagnene, peger det i retning af, at man er dataansvarlig, eksempelvis "Den anden part skal varetage en opgave, som i princippet kunne have været udført af dig selv (modsat en ydelse, som kun lovligt kan foretages af den anden part)". Listen er vejledende og kan derfor ikke i alle tilfælde afgøre, om man er dataansvarlig eller ej.

Vejledningen omtaler desuden underdatabehandlerforhold og fælles dataansvarlige, og i afsnit fem opregnes ni forskellige cases, som alle illustrerer dataansvarlig/databehandlerforhold i konkrete tilfælde.