Loading…

Personvern & GDPR

Vi bistår virksomheter med etterlevelse av personvernregelverket til svært konkurransedyktige priser
Kontakt oss
Bedrift bøtelagt for brudd på retten til å trekke tilbake samtykker

Selskap bøtelagt for brudd på retten til å trekke tilbake samtykker

Selskap bøtelagt for brudd på retten til å trekke tilbake samtykker

En polsk markedsføringsbedrift ble nylig ilagt gebyr på 201,000 zloty (ca. 470,000,- NOK) for brudd på retten til å trekke tilbake samtykke. Saken understreker hvor viktig det er å implementere kravene til samtykke på riktig måte, og bør få norske virksomheter til å gjennomgå sin samtykkepraksis.

EUs personvernforordning (GDPR) pålegger virksomheter en rekke plikter når samtykke brukes som behandlingsgrunnlag. Blant annet skal den registrerte til enhver tid ha rett til å trekke tilbake sitt samtykke når som helst. Bedriften må også informere om denne rettigheten før samtykke innhentes. I tillegg skal det være like enkelt å trekke tilbake et samtykke som å gi det. Gjør man feil her risikerer man å bli ilagt betydelige bøter.

 

Lett å gi samtykke – umulig å trekke det tilbake

Det polske markedsføringsselskapet ClickQuickNow hadde samlet inn samtykke til behandling av personopplysninger for å rette markedsføring på e-post, sms og telefon. Samtykket ble innhentet digitalt ved at de registrerte fylte ut et påmeldingsskjema til en konkurranse og huket av en eller flere samtykkebokser.

Problemet var bare at selskapet gjorde det svært vanskelig å trekke tilbake samtykket. For å gjøre dette måtte de registrerte:

  1. klikke på en lenke på selskapets nettsted
  2. oppgi årsaken til at samtykket skulle trekkes
  3. sende e-post eller brev til selskapets hovedkontor med en spesifikk forespørsel om få trukket samtykket

I tillegg fikk de registrerte villedende og motstridende informasjon underveis som ga inntrykk av at samtykket allerede var trukket tilbake, selv om det ikke var det. Dette førte naturligvis til en rekke klager mot selskapet.

 

Brudd på flere sentrale bestemmelser i GDPR

 Datatilsynet slo fast at selskapets praksis innebar brudd på flere sentrale bestemmelser i GDPR:

  1. det var ikke tilrettelagt for at de registrerte enkelt kunne trekke tilbake samtykke til behandling av personopplysninger, jf. GDPR art. 7 nr. 3 og art. 12 (1)
  2. de registrerte fikk motstridende informasjon som førte til at de ble villedet og ikke klarte å trekke samtykkene sine, jf. artikkel 5 nr. 1 a)
  3. de registrerte fikk ikke slettet sine personopplysninger («retten til å bli glemt»), som etter hovedregelen er påkrevd når samtykket trekkes, jf. GDPR art. 17 nr. 1 b). Dette innebar også et brudd på GDPR art. 5 nr. 1 a og art. 6 nr. 1 ettersom selskapet ikke lenger hadde et rettslig grunnlag til å behandle opplysningene
  4. det var ikke etablert egnede tekniske og organisatoriske tiltak som gjorde det mulig for de registrerte å effektivt utøve sine rettigheter, jf. GDPR art. 24 (1)

Datatilsynet la til grunn at selskapet hadde handlet forsettlig og at det ikke fantes noen formidlende omstendigheter som kunne ha redusert boten som endte på i underkant av en halv million kroner. Selskapet ble også pålagt å endre praksis, og måtte i tillegg slette personopplysninger til registrerte som tidligere hadde forsøkt å trekke samtykkene sine.

Hele avgjørelsen til datatilsynet kan leses her (på polsk).

 

Hvilken betydning har denne saken for din bedrift?

De aller fleste bedrifter benytter samtykke som behandlingsgrunnlag i større eller mindre grad, særlig til utsendelse av nyhetsbrev og markedsføring. Det er svært sannsynlig at datatilsynet i Norge vil forstå bestemmelsen på samme måte, og man bør derfor påse at egen samtykkepraksis er i samsvar med personvernregelverket.

Dette bør du passe på:

  • Den registrerte skal kunne trekke tilbake samtykket sitt når som helst. Det skal også gis informasjon om denne rettigheten og hvordan den kan oppfylles før samtykket innhentes (ellers vil samtykket være ugyldig)
  • Det skal være like enkelt å trekke et samtykke som å gi det. Dette innebærer ikke at tilbaketrekkingen må skje på nøyaktig samme måte som samtykket ble avgitt, men man bør i det minste sørge for at samtykket kan trekkes tilbake på en tilsvarende enkel måte. Samtykker som er innhentet via en hjemmeside, e-post, eller en app, bør også kunne trekkes tilbake i den samme løsningen.
  • Det danske datatilsynet anbefaler at bedrifter i tillegg letter til rette for at de registrerte gis flere alternativer, slik at personer som ikke har tilgang til internett etc. også gis mulighet til å få trukket samtykket sitt
  • Når samtykket trekkes tilbake skal man som hovedregel slette alle personopplysninger som er basert på samtykket. Dette gjelder med mindre bedriften behandler personopplysninger til flere formål som har andre behandlingsgrunnlag enn samtykke, eller hvis den registrerte bare trekker tilbake samtykke for noen av formålene.

Kontakt oss gjerne dersom du har spørsmål eller ønsker en gjennomgang av dine samtykker.