GDPR artikel 7 omhandler de »vilkår for samtykke«, der skal være opfyldt, for at det kan fastslås, at en organisation har opnået den fornødne autorisation forud for behandling af en persons data.
Betingelser for samtykke
- Hvor behandlingen er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen af hans eller hendes personoplysninger.
- Hvis den registreredes samtykke er givet i forbindelse med en skriftlig erklæring, der også vedrører andre forhold, skal anmodningen om samtykke fremsættes på en måde, der klart adskiller sig fra de øvrige forhold, i en forståelig og let tilgængelig form under anvendelse af tydelige og almindeligt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.
- Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke påvirker ikke lovligheden af behandling baseret på samtykke før tilbagetrækningen. Inden samtykke gives, skal den registrerede informeres herom. Det skal være lige så nemt at trække tilbage som at give samtykke.
- Ved vurderingen af, om samtykke gives frit, skal der tages størst mulig hensyn til, om bl.a. opfyldelse af en kontrakt, herunder levering af en tjenesteydelse, er betinget af samtykke til behandling af personoplysninger, der ikke er nødvendig for udførelsen af den kontrakt.
Betingelser for samtykke
- Hvor behandlingen er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen af hans eller hendes personoplysninger.
- Hvis den registreredes samtykke er givet i forbindelse med en skriftlig erklæring, der også vedrører andre forhold, skal anmodningen om samtykke fremsættes på en måde, der klart adskiller sig fra de øvrige forhold, i en forståelig og let tilgængelig form under anvendelse af tydelige og almindeligt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.
- Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke påvirker ikke lovligheden af behandling baseret på samtykke før tilbagetrækningen. Inden samtykke gives, skal den registrerede informeres herom. Det skal være lige så nemt at trække tilbage som at give samtykke.
- Ved vurderingen af, om samtykke gives frit, skal der tages størst mulig hensyn til, om bl.a. opfyldelse af en kontrakt, herunder levering af en tjenesteydelse, er betinget af samtykke til behandling af personoplysninger, der ikke er nødvendig for udførelsen af den kontrakt.
Samtykke behandles i hele GDPR Artikel 7 på tværs af 3 nøgleområder:
Organisationer skal indsamle samtykke på en måde, der gør det nemt for PII-personer at anmode om oplysninger om, hvordan det blev opnået (tidsstempler, hvem der anmodede om det osv.) (se ISO 27701 paragraf 7.3.3).
Samtykke er afhængig af tre underliggende juridiske bestemmelser: det skal gives frit, relateret til årsagen til behandlingen og klart i sin hensigt.
Organisationer skal sørge for en mekanisme, der beskriver rettighederne for enhver PII-rektor, der ønsker at trække sit samtykke tilbage, sammen med instruktioner om, hvordan man gør det, som er i overensstemmelse med de metoder, der bruges til at indsamle PII (f.eks. e-mail, telefon).
PII principaler bør også være i stand til at "modificere" samtykke – dvs. begrænse den registeransvarlige i at udføre visse handlinger, såsom sletning af PII. Sådanne anmodninger bør dokumenteres i overensstemmelse med procedurerne for fjernelse af samtykke.
Organisationer bør forpligte sig til en offentliggjort responstid for enhver ændring eller tilbagetrækning af samtykkeanmodninger.
Organisationer skal indhente tilladelse fra PII-princippet, før de anvender data, der leveres til markedsførings- eller reklameformål, og sikre, at accept af en sådan brug ikke er en forudsætning for, at PII kan behandles.
Markedsførings- og reklamebestemmelser bør tydeligt dokumenteres i alle kontrakter eller serviceaftaler i overensstemmelse med ovenstående formål.
Organisationer bør søge "udtrykkelig samtykke", der er baseret på en gennemsigtig og opdateret repræsentation af, hvordan PII skal bruges.
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 7 (1) og 7 (2) | ISO 27701 7.2.4 | Ingen |
| EU GDPR artikel 7 (3) | ISO 27701 7.3.4 | Ingen |
| EU GDPR artikel 7 (4) | ISO 27701 8.2.3 | Ingen |
ISMS.online platformen inkluderer indbygget vejledning ved hvert trin, kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så det er væsentligt nemmere at demonstrere din GDPR-overholdelse. Du vil også drage fordel af en række kraftfulde tidsbesparende funktioner.
Ved at bruge vores intuitive platform kan du kortlægge dit arbejde på tværs af flere standarder og rammer, så du kan opnå flere informationssikkerheds- og privatlivsmål på et minimum af tid.
Hvis du på noget tidspunkt i din rejse mod GDPR af en eller anden grund føler en mangel på selvtillid, evne eller drive til at handle, kan vi stille vores team af interne eksperter til rådighed for dig eller anbefale en af vores betroede partnere til at hjælpe dig til at nå dine mål.
Find ud af mere ved booking af en kort demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
