Samtykkeerklæring GDPR Norge

Samtykkeerklæring GDPR i Norge er et formelt dokument som registrerer den registrertes frie, spesifikke, informerte og utvetydige viljesytring om samtykke til behandling av vedkommendes personopplysninger for et angitt formål. Samtykke er ett av seks rettslige grunnlag for behandling av personopplysninger etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018).

De fire vilkårene for gyldig samtykke er uttrykt i personvernforordningen (GDPR) artikkel 4 nr. 11 og utdypet i fortalepunkt 32 og Datatilsynets retningslinjer. «Fritt» betyr at samtykket er gitt frivillig, uten tvang, og uten å betinge det på noe annet (for eksempel at en tjeneste ikke er tilgjengelig uten samtykke til valgfri behandling). «Spesifikt» betyr at samtykket er knyttet til et konkret og bestemt formål — generelle samtykker er ikke gyldige. «Informert» betyr at den registrerte er gitt tilstrekkelig informasjon om behandlingen til å forstå hva det samtykkes til. «Utvetydig» betyr at samtykket er gitt gjennom en aktiv handling, ikke stiltiende eller passiv godkjenning.

Behandlingsansvarlig er etter personvernforordningen (GDPR) artikkel 7 nr. 1 forpliktet til å dokumentere at samtykket er gitt. Dette er ansvarlighetsprinsippets mest praktiske manifestasjon innenfor samtykkeregulering — behandlingsansvarlig kan ikke bare påstå at samtykket er gitt, men må bevise det. En skriftlig samtykkeerklæring er den mest robuste dokumentasjonsformen, selv om digitale samtykker (for eksempel fra et nettskjema) også er akseptable dersom de er sporbare.

Adgangen til å trekke tilbake samtykket er en grunnleggende rettighet etter personvernforordningen (GDPR) artikkel 7 nr. 3. Tilbaketrekking skal være like enkel som det var å gi samtykket. Behandlingsansvarlig skal informere den registrerte om tilbaketrekningsretten før samtykket gis. Tilbaketrekking påvirker ikke lovligheten av behandlingen som har funnet sted forut for tilbaketrekkingen.

Forskjellen mellom samtykke og andre behandlingsgrunnlag er avgjørende for å unngå å velge samtykke der et annet grunnlag er mer egnet. Samtykke er riktig grunnlag for behandling der den registrerte har en reell valgmulighet, typisk markedsføring, nyhetsbrev og ikke-nødvendig profilering. For behandling som er nødvendig for å gjennomføre en kontrakt med den registrerte, er artikkel 6 nr. 1 bokstav b riktig grunnlag. For behandling som følger av en lovpålagt plikt, er artikkel 6 nr. 1 bokstav c riktig grunnlag. Å velge samtykke som grunnlag for obligatorisk behandling undergraver samtykkets frivillighet.

Særlige kategorier av personopplysninger etter personvernforordningen (GDPR) artikkel 9 — herunder helseopplysninger, genetiske data, biometriske data, opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs overbevisning, seksuell orientering og fagforeningsmedlemskap — krever et eksplisitt samtykke etter artikkel 9 nr. 2 bokstav a, i tillegg til et behandlingsgrunnlag etter artikkel 6. Eksplisitt samtykke er strengere enn det ordinære samtykket og krever en klar og entydig erklæring.

Forholdet mellom samtykkeerklæringen og beslektede dokumenter: samtykkeerklæringen supplerer personvernerklæringen (som gir den registrerte generell informasjon om behandlingen) og er knyttet til den konkrete behandlingen det samtykkes til. forms-legal.com biblioteket tilbyr separate maler for personvernerklæring, innsynsbegjæring etter artikkel 15 og slettingsbegjæring etter artikkel 17.

Samtykkeerklæring GDPR i Norge er nødvendig i alle situasjoner der samtykke etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a er valgt som behandlingsgrunnlag for behandling av personopplysninger.

Markedsføring og nyhetsbrev. Markedsføringsloven (2009) § 15 krever forhåndssamtykke for utsendelse av markedsføringskommunikasjon (e-post, SMS, push-varsler) til forbrukere. Samtykket skal dokumenteres og oppbevares. En GDPR-samtykkeerklæring som dekker kravene i både markedsføringsloven (2009) § 15 og personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a og artikkel 7, er den anbefalte formen for dokumentasjon.

Profilering og adferdssporing. Bruk av cookies og andre sporingsverktøy for å analysere brukeradferd, lage profiler og levere målrettet reklame, krever et gyldig samtykke etter personvernforordningen (GDPR) og det oppdaterte cookie-direktivet (ePrivacy-direktivet). Datatilsynet har klargjort at forhåndsavkryssede bokser og scrolling ikke er gyldig samtykke.

Forskning og statistikk. Forskning og statistikk basert på personopplysninger kan basere seg på samtykke etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, supplert av artikkel 89 som åpner for forenklede krav der forskning er formålet. Universiteter, sykehus og forskningsinstitusjoner benytter samtykkeerklæringer som en viktig del av den forskningsetiske prosessen. Helseforskningsloven (2008) § 13 stiller særskilte krav til samtykke i medisinsk og helsefaglig forskning.

Behandling av særlige kategorier. Eksplisitt samtykke etter personvernforordningen (GDPR) artikkel 9 nr. 2 bokstav a er nødvendig for behandling av særlige kategorier av personopplysninger der intet annet unntak i artikkel 9 nr. 2 er aktuelt. Typiske eksempler er frivillig deling av helseopplysninger for å motta målrettet helsetjeneste, innsamling av fagforeningsopplysninger, og behandling av biometriske data for identifikasjonsformål.

Barn og unge. Personvernforordningen (GDPR) artikkel 8 og personopplysningsloven (2018) § 5 setter en aldersgrense på 15 år for barn som kan gi samtykke til informasjonssamfunnstjenester (nettjenester). Under 15 år kreves foreldrenes samtykke. Samtykkeerklæringen bør inneholde en bekreftelse på at den registrerte er over 15 år, eller at foreldrenes samtykke er innhentet.

Ansattes samtykke. Samtykke fra ansatte er i utgangspunktet ikke et egnet behandlingsgrunnlag for behandlingsaktiviteter som er knyttet til arbeidsforholdet, fordi arbeidstakere sjelden kan nekte uten risiko for negative konsekvenser. Datatilsynet og EDPB (Den europeiske personvernkonferansen) advarer mot bruk av samtykke som grunnlag i arbeidsforhold. For frivillige behandlingsaktiviteter som ikke er knyttet til ansettelsesvilkårene — for eksempel registrering i et medarbeider-profil-direktiv — kan samtykke likevel benyttes.

En komplett Samtykkeerklæring GDPR Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artiklene 6 og 7 og personopplysningsloven (2018).

Behandlingsansvarligens identitet. Samtykkeerklæringen skal identifisere behandlingsansvarlig med navn, organisasjonsnummer og kontaktpunkt. Den registrerte skal vite hvem som behandler personopplysningene, for å kunne kontakte behandlingsansvarlig for å trekke tilbake samtykket eller utøve sine rettigheter etter personvernforordningen (GDPR) kapittel 3.

Klart og spesifikt formål. Etter personvernforordningen (GDPR) artikkel 7 og fortalepunkt 32 skal samtykket knyttes til et spesifikt formål. Formålsbeskrivelsen skal være konkret — «markedsføring» er ikke tilstrekkelig spesifikt, mens «utsendelse av nyhetsbrev med informasjon om produkttilbud fra virksomheten» er tilstrekkelig. Dersom det samtykkes til flere formål, skal det gis separate samtykker.

Opplysningstyper og lagringstid. Erklæringen skal angi kategoriene av personopplysninger som behandles og den maksimale lagringstiden. En uavgrenset lagringstid er ikke forenelig med kravet i personvernforordningen (GDPR) artikkel 5 nr. 1 bokstav e om lagringsbegrensning — opplysningene skal slettes eller anonymiseres når formålet er oppnådd.

Fri, informert og utvetydig formuleringen. Selve samtykketeksten skal gi uttrykk for en aktiv og tydelig viljesytring. Formuleringer som «Jeg gir herved mitt frie, spesifikke, informerte og utvetydige samtykke» gjenspeiler lovens krav etter personvernforordningen (GDPR) artikkel 4 nr. 11. Forhåndsavkryssede bokser og passiv «samtykke ved å bruke tjenesten» er ikke gyldig samtykke.

Informasjon om rettigheter. Samtykkeerklæringen skal informere den registrerte om retten til å trekke tilbake samtykket (artikkel 7 nr. 3), retten til innsyn (artikkel 15), retting (artikkel 16), sletting (artikkel 17), begrensning (artikkel 18), dataportabilitet (artikkel 20), og retten til å klage til Datatilsynet. Informasjonen om rettigheter oppfyller delvis kravene til forhåndsinformasjon etter artiklene 13 og 14.

Dato og identifikasjon av den registrerte. Behandlingsansvarlig er forpliktet til å dokumentere dato og tidspunkt for samtykket etter personvernforordningen (GDPR) artikkel 7 nr. 1. Den registrertes navn og e-postadresse binder samtykket til en identifisert person. For digitale samtykker er det tilstrekkelig med en elektronisk logg, men en papirbasert signert erklæring er den mest robuste dokumentasjonsformen. forms-legal.com bibliotekets maler for innsynsbegjæring og slettingsbegjæring supplerer samtykkeerklæringen.

Å fylle ut en Samtykkeerklæring GDPR Norge korrekt krever at man følger trinnene nedenfor for å sikre at samtykket oppfyller kravene i personvernforordningen (GDPR) artiklene 6 og 7.

Trinn 1 — Vurder om samtykke er riktig behandlingsgrunnlag. Samtykke er bare riktig grunnlag der den registrerte har en reell valgmulighet og kan nekte uten negative konsekvenser. For behandling som er nødvendig for å gjennomføre en kontrakt, oppfylle en lovpålagt plikt, eller utøve en berettiget interesse, er andre behandlingsgrunnlag etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstavene b til f mer egnet. Datatilsynet har utgitt veiledning om valg av behandlingsgrunnlag på datatilsynet.no.

Trinn 2 — Fyll inn behandlingsansvarliges identitet. Angi virksomhetens fulle navn, organisasjonsnummer og et klart kontaktpunkt (e-post) for personvernspørsmål og tilbaketrekking av samtykke. Den registrerte må enkelt kunne finne frem til behandlingsansvarlig.

Trinn 3 — Formuler et spesifikt og klart formål. Beskriv konkret hva personopplysningene skal brukes til. Unngå vage formuleringer. Dersom det er behov for samtykke til flere separate formål, lag separate samtykkeerklæringer for hvert formål — bunting av samtykker er bare tillatt der formålene er nært knyttet til hverandre.

Trinn 4 — Angi opplysningstyper og lagringstid. List opp de konkrete kategoriene personopplysninger som behandles og angi en maksimal lagringstid. For markedsføring er to til tre år en typisk maksimal lagringstid. Husk at samtykket opphører å være gyldig dersom behandlingsformålet er oppnådd og lagringstiden er utløpt — da skal opplysningene slettes.

Trinn 5 — Velg type samtykke. Velg den kategorien som best beskriver formålet. For behandling av særlige kategorier av personopplysninger etter personvernforordningen (GDPR) artikkel 9, velg «Særlige kategorier» og sørg for at samtykket er eksplisitt og oppfyller de strengere kravene i artikkel 9 nr. 2 bokstav a.

Trinn 6 — Sørg for aktiv samtykkehandling. Den registrerte skal aktivt bekrefte samtykket — for eksempel ved å underskrive erklæringen, avkrysse en boks (uten forhåndsavkryssing) eller klikke på en bekreftelsesknapp. Passiv aksept er ikke gyldig etter personvernforordningen (GDPR) artikkel 7 og fortalepunkt 32.

Trinn 7 — Bevar dokumentasjonen. Oppbevar den signerte samtykkeerklæringen på en sikker måte i hele lagringsperioden og i minst tre år etter at samtykket er trukket tilbake eller lagringstiden er utløpt. Dette er nødvendig for å oppfylle dokumentasjonskravet i personvernforordningen (GDPR) artikkel 7 nr. 1.

Trinn 8 — Etabler en rutine for tilbaketrekking. Sørg for at det er enkelt for den registrerte å trekke tilbake samtykket, og at tilbaketrekkingen håndteres umiddelbart: opplysningene skal slettes eller behandlingen stanses med en gang samtykket er trukket tilbake. Dokumenter tilbaketrekkingen.

Samtykkeerklæring GDPR Norge er underlagt kravene i personvernforordningen (GDPR) artiklene 6 og 7, markedsføringsloven (2009) og personopplysningsloven (2018).

Vilkårene for gyldig samtykke etter GDPR artikkel 4 nr. 11 og art. 7. Samtykket skal være (1) fritt — gitt uten tvang, og uten å betinge tilgang til en tjeneste på samtykke til valgfri behandling; (2) spesifikt — knyttet til et konkret og bestemt formål; (3) informert — gitt etter tilstrekkelig informasjon om behandlingen; og (4) utvetydig — en klar og bekreftende handling. Forhåndsavkryssede bokser, stiltiende godkjenning og aksept gjennom fortsatt bruk av en tjeneste er ikke gyldig samtykke etter fortalepunkt 32.

Dokumentasjonskravet etter GDPR artikkel 7 nr. 1. Behandlingsansvarlig skal kunne påvise at den registrerte har samtykket til behandlingen. Dette er en positiv bevisbyrde — behandlingsansvarlig kan ikke påstå at samtykket er gitt uten å kunne bevise det. En signert samtykkeerklæring med dato er den mest robuste dokumentasjonsformen. For digitale samtykker er en logg over tidspunktet for samtykket, samtykketeksten og den aktive handlingen nødvendig.

Tilbaketrekningsretten etter GDPR artikkel 7 nr. 3. Den registrerte kan når som helst trekke tilbake samtykket. Tilbaketrekking skal være like enkel som det var å gi samtykket. Behandlingsansvarlig skal informere om tilbaketrekningsretten «før samtykket gis» etter artikkel 7 nr. 3. Tilbaketrekking påvirker ikke lovligheten av behandling som har funnet sted forut for tilbaketrekkingen.

Markedsføringsloven (2009) § 15. Norsk markedsføringsloven (2009) § 15 krever forhåndssamtykke for utsendelse av markedsføringskommunikasjon (e-post, SMS, automatiserte anrop) til forbrukere. Kravet gjelder i tillegg til GDPR-kravene og gjelder all direkte markedsføring, ikke bare markedsføring basert på profilering. Overtredelse kan medføre overtredelsesgebyr fra Forbrukertilsynet.

Samtykke fra barn etter GDPR artikkel 8 og personopplysningsloven (2018) § 5. For informasjonssamfunnstjenester (nettjenester) er den norske aldersgrensen for barns eget samtykke 15 år etter personopplysningsloven (2018) § 5. Under 15 år kreves foreldrenes samtykke. Behandlingsansvarlig bør iverksette rimelige tiltak for å verifisere at den registrerte har nådd aldersgrensen.

Eksplisitt samtykke for særlige kategorier etter GDPR artikkel 9. Behandling av særlige kategorier av personopplysninger (helseopplysninger, genetiske data, biometriske data, politisk oppfatning m.m.) krever et eksplisitt samtykke etter artikkel 9 nr. 2 bokstav a, i tillegg til det ordinære behandlingsgrunnlaget etter artikkel 6. Eksplisitt samtykke krever en klar og entydig erklæring — ikke bare en passiv aksept.

Sanksjoner etter GDPR artiklene 83–84. Ugyldige samtykker eller manglende dokumentasjon kan medføre overtredelsesgebyr fra Datatilsynet på inntil 20 millioner euro eller 4 prosent av global omsetning for brudd på artikkel 7, etter det høyeste beløpet, jf. personvernforordningen (GDPR) artikkel 83 nr. 5. Datatilsynets vedtak kan påklages til Personvernnemnda.

Vanlige feil ved innhenting og dokumentasjon av samtykke etter personvernforordningen (GDPR) i Norge kan medføre at samtykket er ugyldig og at behandlingen mangler rettslig grunnlag.

Feil 1 — Forhåndsavkryssede samtykke-bokser. En av de hyppigste feilene er å bruke forhåndsavkryssede bokser der brukeren aktivt må krysse av for å avgi samtykke. Etter personvernforordningen (GDPR) fortalepunkt 32 er stilltiende aksept og passiv godkjenning ikke gyldig samtykke. Løsning: sørg for at samtykke-boksen ikke er forhåndsavkrysset, og at den registrerte aktivt må ta en handling for å gi samtykket.

Feil 2 — Bunting av nødvendige og valgfrie behandlinger. Å betinge tilgang til en tjeneste på samtykke til markedsføring eller profilering som ikke er nødvendig for tjenesten, undergraver samtykkets frivillighet. Datatilsynet har slått ned på slike «ta det eller la det ligge»-modeller. Løsning: skille klart mellom behandlinger som er nødvendige for tjenesten (som reguleres av andre behandlingsgrunnlag) og valgfrie behandlinger (som reguleres av samtykke).

Feil 3 — For vage formålsbeskrivelser. Formål som «bedre brukeropplevelse», «personalisering» eller «analytiske formål», er ikke spesifikke nok til å oppfylle kravet i personvernforordningen (GDPR) artikkel 7 og artikkel 5 nr. 1 bokstav b. Løsning: beskriv formålet konkret, for eksempel «utsendelse av ukentlig nyhetsbrev med produkttilbud via e-post».

Feil 4 — Manglende dokumentasjon. Å innhente samtykke uten å dokumentere det, fratar behandlingsansvarlig muligheten til å oppfylle bevisbyrden etter personvernforordningen (GDPR) artikkel 7 nr. 1. Løsning: lagre signerte erklæringer eller en elektronisk logg over digitale samtykker med tidsstempel, samtykketekst og den registrertes identifikasjon.

Feil 5 — Samtykket er ikke enkelt å trekke tilbake. Hvis tilbaketrekking av samtykket krever flere steg, en e-post-forespørsel, bekreftelses-e-poster, og ventetid, er tilbaketrekningsprosessen vanskeligere enn det å gi samtykket. Etter personvernforordningen (GDPR) artikkel 7 nr. 3 skal tilbaketrekking være like enkel. Løsning: implementer en enkel avmeldingsfunksjon, for eksempel «avmeld»-lenke i nyhetsbrev, og behandle forespørselen umiddelbart.

Feil 6 — Ingen lagringstid eller uavgrenset samtykke. Et samtykke uten angitt lagringstid, eller med en ubegrenset lagringstid, er i strid med lagringsbegrensningsprinsippet i personvernforordningen (GDPR) artikkel 5 nr. 1 bokstav e. Løsning: angi en realistisk og forholdsmessig lagringstid, og sett opp en rutine for å innhente fornyet samtykke eller slette opplysningene ved utløp.

Feil 7 — Samtykke brukt som grunnlag for obligatorisk behandling. Å velge samtykke som behandlingsgrunnlag for behandling som uansett er nødvendig for å levere tjenesten (for eksempel behandling av adresse for å sende en bestilling), fanger den registrerte i en falsk valgfrihetsillusion. Etter personvernforordningen (GDPR) er samtykke som grunnlag ugyldig der det ikke er fritt. Løsning: bruk riktig behandlingsgrunnlag (for eksempel artikkel 6 nr. 1 bokstav b for kontraktsmessig nødvendig behandling).