Samtykkeerklæringer – Hvornår skal det indhentes?

HR-Jura | 20/06/2018

af Lisbeth Lindorff Riis

 

Behandling af personoplysninger – både almindelige og følsomme – kan ifølge Persondataforordningen kun ske lovligt, hvis der er en hjemmel til denne behandling. Dette følger af Artikel 6 og Artikel 9 i forordningen.

8. november 2017 kom vejledningen om samtykke, som grundlag for behandling af persondata. Når virksomheder og myndigheder registrerer eller behandler personoplysninger, er det et krav, at det sker på baggrund af et behandlingsgrundlag. Et samtykke kan være gældende som et sådant behandlingsgrundlag.

Samtykke som behandlingsgrundlag

Samtykkeerklæringer skal indhentes i de situationer, hvor virksomheden har behov for at behandle personoplysninger, men der foreligger ikke nogen anden retslig begrundelse, for behandling af denne oplysning. Flere virksomheder eller organisationer behandler for eksempel personoplysninger for at kunne udføre deres service for deres kunder, ved rekruttering, under ansættelse og i mange andre situationer.

Krav til samtykket

Det er vigtigt, at behandlingen vil ske i overensstemmelse med de persondataretlige regler, navnlig persondataforordningen (Artikel 6 litra 1a og Artikel 9 litra 2a) og den danske følgelovgivning i form af databeskyttelsesloven.

Ifølge Persondataforordningens Artikel 7, skal samtykket være i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Er dette ikke tilfældet, vil samtykket ikke være bindende.

Et samtykke skal gives frivilligt, og den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Dette skal den registrerede oplyses om, inden samtykket gives. Det skal være lige så let at trække sit samtykke tilbage, som at give det. Der skal ydermere oplyses om, hvordan den registrerede kan trække sit samtykke tilbage.

Det må ikke have nogle konsekvenser for den registrerede, at denne trækker et samtykke tilbage. Har virksomheden derfor andre hjemmeler for behandling af denne personoplysning, vil dette være at foretrække.

Eksempler hvor et samtykke vil være nødvendig, før der sker en behandling.

Ved rekruttering:

  • En straffeattest. Formålet er, at vurdere om attesten er forenelig med kravene til stillingen.
  • Resultatet fra personlighedstest. Formålet vil være at kende den registreredes styrker og svagheder i forhold til et kommende samarbejde og udførelsen af arbejdsopgaver.
  • Referencer fra tidligere arbejdsgivere eller andre i den registreredes netværk, med det formål at indhente vidnesbyrd om kompetencer og personlige egenskaber, for at vurdere vedkommendes egnethed i forhold til stillingen.
  • Helbredsoplysninger, som den registrerede selv har afgivet f.eks. i ansøgningen eller til ansættelsessamtalen, som kan blive behandlet i rekrutteringsøjemed.
  • Tilladelse til, at virksomheden kan behandle den registreredes oplysninger, med det formål at benytte ansøgningen i forhold til en anden stilling i virksomheden, end den, som oprindeligt var søgt. Oplysningerne vil blive opbevaret i maksimalt 6 måneder.

Under ansættelse:

  • En straffeattest. Formålet er, at vurdere om attesten er forenelig med kravene til stillingen.
  • Resultatet fra personlighedstest. Formålet er, at kende medarbejdernes styrker og svagheder i forhold til samarbejdet og udførelsen af arbejdsopgaver.
  • Helbredsoplysninger, som medarbejderen selv har afgivet, f.eks. i forbindelse med en sygefraværssamtale, men som ikke er nødvendige, for at virksomheden kan overholde sine arbejdsretlige forpligtelser. Årsagen hertil er, at virksomheden af hensyn til personaleadministrationen kan have et behov for at behandle oplysningerne, der går ud over de arbejdsretlige forpligtelser.
  • CPR nr. Hvis dette anvendes til f.eks. udstedelse af adgangskort eller andet der ikke kan falde ind under den almindelige personaleadministration.
  • Videregivelse af personoplysninger. Virksomheden kan i forbindelse med behandlingen af personoplysninger have behov for at overføre personoplysninger til tredjelande uden for EU/EØS, der af EU-Kommissionen er bedømt til at være usikre, på grund af deres utilstrækkelige beskyttelsesniveau i forhold til personoplysninger. Der skal udspecificeres hvilke personoplysninger der er tale om, samt til hvilke lande der videregives personoplysninger til.

SE HER, HVORDAN AZETS KAN ASSISTERE MED HR-JURA

Om Lisbeth Lindorff Riis

Lisbeth Lindorff Riis er uddannet Cand.merc.jur fra Handelshøjskolen i Århus og senere Cand.jur fra Københavns Universitet. Lisbeth har 16 års erfaring med juridisk rådgivning inden for HR, herunder persondataretlige problemstillinger - GDPR, ansættelsesret og barsel. I Azets er Lisbeth Head of HR Legal.