Samþykki samkvæmt GDPR

Samþykki einstaklings fyrir vinnslu persónuupplýsinga er eitt af grundvallaratriðum núgildandi, sem og tilvonandi, persónuverndarlaga. Áður en vinnsla með persónuupplýsingar hefst þarf að vera til staðar einhverskonar lögmæt heimild fyrir henni. Samþykki þess aðila sem upplýsingarnar lúta að er ein þessara heimilda. Við fyrstu sýn þá virðist það vera nokkuð einföld og góð leið til að afla lögmætrar heimildar fyrir vinnslunni að hafa einfaldlega samband við viðeigandi einstakling og afla samþykkis áður en haldið er af stað. Það er hinsvegar mikilvægt að fyrirtæki geri sér raunverulega grein fyrir þeim skilyrðum sem þurfa að liggja til grundvallar svo „samþykki“ teljist tækt í skilningi laganna.

Þrátt fyrir að ný reglugerð Evrópusambandsins um vernd einstaklinga við vinnslu persónuupplýsinga (hér eftir nefnd GDPR) feli í sér ítarlegri skilgreiningu á hugtakinu „samþykki“ er það ekki endilega svo að það sé fullkomlega auðskilið í öllum tilfellum. Vegna þessa hefur það verið gefið út að nánari skýringa sé að vænta á árinu frá hinum svokallaða 29 gr. vinnuhóp sem samanstendur af fulltrúum evrópskra persónuverndarstofnana aðildarríkja á EES-svæðinu. Þó að þær leiðbeiningar hafi ekki enn litið dagsins ljós er þó ýmislegt sem við vitum og því rétt að renna stuttlega yfir það hvað felst í hugtakinu „samþykki“ og hvaða kröfur GDPR setur fram.

Nóg að geyma persónuupplýsingar

Til upprifjunar er vert að minna á að vinnsla persónuupplýsinga er samkvæmt skilgreiningu GDPR aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki. Þannig flokkast til dæmis allar eftirfarandi aðgerðir með persónuupplýsingar sem vinnsla:

• Söfnun / skráning / flokkun
• Kerfisbinding / varðveisla / aðlögun eða breyting
• Skoðun / notkun / miðlun með framsetningu
• Dreifing / aðgangstakmörkun / eyðing

Til enn frekari útskýringa þá flokkast það til dæmis sem vinnsla persónuupplýsinga að geyma persónuupplýsingar, hvort sem þær eru nýttar í ákveðnum tilgangi eða ekki.

Lögmæt heimild fyrir hverskonar vinnslu persónuupplýsinga

Líkt og í núgildandi persónuverndarlögum á Íslandi þá gerir GDPR þá kröfu að lögmæt heimild liggi til grundvallar allri vinnslu persónuupplýsinga. Til að vinnslan teljist lögmæt þarf því eitt af eftirfarandi að eiga við:

• Einstaklingur gefur samþykki fyrir vinnslunni
• Vinnslan er nauðsynleg vegna samnings sem einstaklingur er aðili að
• Vinnslan er nauðsynleg til að uppfylla lagaskyldu
• Vinnslan er nauðsynleg til að vernda brýna hagsmuni
• Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili gætir

En hvenær liggur samþykki fyrir?

Og þá aftur að samþykkinu, hvað þurfa fyrirtæki að gera til þess að verða sér út um samþykki einstaklinga fyrir vinnslu persónuupplýsinga?
GDPR skilgreinir “samþykki” einstaklings sem óþvingaða, sértæka, upplýsta og ótvíræða viljayfirlýsingu um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um hann sjálfan.

Þegar vinnslan er byggð á samþykki þarf ábyrgðaraðili vinnslunnar, sem aflaði samþykkisins, að geta sýnt fram á það að slíkt samþykki liggi í raun og veru fyrir auk þess sem þónokkrar kröfur eru gerðar til ábyrgðaraðila hvað varðar framsetningu á beiðninni um samþykki.
Beiðnin þarf þannig að vera sett fram á þann hátt að hún sé auðgreinanleg frá öðrum málefnum auk þess sem að hún þarf að vera á skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Með öðrum orðum, viðkomandi einstaklingi á að vera fullkomlega ljóst hverskonar vinnslu hann var að samþykkja.

Ábyrgðaraðilinn sem ætlar að vinna með persónuupplýsingarnar verður nú einnig að tryggja að einstaklingurinn geti dregið samþykki sitt til baka hvenær sem er og að það sé hægt að gera jafnauðveldlega og hann veitti samþykki sitt í upphafi. Einstaklingurinn þarf einnig að fá upplýsingar um þennan rétt sinn áður en hann veitir samþykkið.

Víðtækari kröfur um viðkvæmar persónuupplýsingar og persónuupplýsingar um börn.

Ríkari kröfur eru gerðar til samþykkis í þeim tilvikum þar sem unnið er með viðkvæmar persónuupplýsingar en í GDPR er sérstaklega tekið fram að í slíkum tilfellum þurfi einstaklingur að hafa veitt „afdráttarlaust“ samþykki fyrir vinnslu viðkvæmra persónuupplýsinga. GDPR skilgreinir ekki nákvæmlega hvað átt er við með orðinu “afdráttarlaus” en þó þykir ljóst að samþykki þarf alltaf að vera óþvingað, sértækt og upplýst og þarf að gefa til kynna ótvíræðan vilja einstaklingsins.

Hvað löggjafinn á nákvæmlega við með þessu orðalagi sínu mun ef til vill skýrast þegar vinnuhópurinn sem nefndur var hér að ofan skilar leiðbeiningum sínum. Einhverjir hafa nú þegar giskað á að mögulega verði þess krafist að “afdráttarlaust” samþykki þurfi t.d. að staðfesta með skriflegri yfirlýsingu.

Sérstök ákvæði gilda einnig um vinnslu persónuupplýsinga þegar barni er boðin þjónusta með beinum hætti en þá telst vinnslan lögmæt ef barnið hefur náð 16 ára aldri. Hafi barn ekki náð 16 ára aldri skal vinnslan einungis teljast lögmæt ef, og að því marki sem, handhafi foreldraábyrgðar á barninu gefur eða heimilar samþykkið. Fyrirtæki ættu því með markvissum hætti að reyna að sannreyna að samþykkið sé komið frá forráðamanni. Rétt er að benda á að hér er þó um að ræða eitt af þeim ákvæðum GDPR þar sem aðildarríki hafa svigrúm til að útfæra ákvæðið við þinglega meðferð. Mega þau því lækka þann aldur sem miðað er við en hann má þó ekki vera lægri en 13 ár.

Það er því ljóst að það er að ýmsu að huga þegar leitað er eftir samþykki einstaklinga fyrir vinnslu persónuupplýsinga og mikilvægt að fyrirtæki fari sem fyrst að huga að því hvar þau þurfa að afla samþykkis, og hvernig staðið er að þeim málum í dag.