Er et 'ja' samtykke?

En af betingelserne som kunne være grundlaget for at behandle personoplysninger, er samtykke! "Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger." Sådan står der ordret i den danske version af lovteksten til forordningen!

Det kan direkte oversættes til at behandlingen af personoplysninger kræver en aftale tegnet med hver person, som behandlingen har omfattet. Hvordan den dataansvarlige har tænkt sig at løfte dette er jeg ikke klar over - men det må stå klart, at da bevisbyrden påhvilker den dataansvarlige, må det som minimum kræve et uforfalskbart bevis (og den slags er ikke så enkle at konstruere, som det måske lyder)!
I Danmark har vi NemID som betragtes som en sikker identifikation af en person (fordi det antages at personen umiddelbart ville anmelde en manglende NemID kodegenerator - kort eller andet).

Letforståeligt

Dette samtykke skal opnåes (hvis der er tale om en skriftlig erklæring) ved at foreholde den registrerede anmodningen på en måde, der er letforståelig og -tilgængelig, i et enkelt og klart sprog. Handler anmodningen om andre forhold end behandlingen af personoplysninger, skal anmodningen klart kunne skelnes fra de andre forhold.

Ja og nej

For overhovedet at have retsgyldighed skal den registreredes samtykke tydeligt være fulgt af en angivelse af at samtykket frit kan trækkes tilbage på et vilkårligt tidspunkt, og det skal være lige så let at trække sit samtykke tilbage som at give det (en tilbagetrækning får ikke nogen betydning for den behandling, der er gået forud for tilbagetrækningen af den registreredes samtykke).

Er et ja overhovedet nødvendigt?

Er der opstået en tvist, og er det nødvendigt at vurdere om et samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

Under 13 kan det være ligemeget

Sådan som jeg læser forordningen, kan det være underordnet om en dataansvarlig sørger for et barns samtykke, hvis barnet er under 13 - så er det ikke gyldigt uanset hvordan samtykket er opnået.

Mellem 13 og 16 år er der en grænse, som forordningen overlader til medlemsstaterne, men som det som udgangspunkt kræver den( der har forældremyndigheden over barnet)'s samtykke.

Over 16 er det den unge voksne selv der giver sit samtykke.

Så for børn gælder det ikke - eller hvad?

Der må have været visse lobbyister som har fået deres havregrød galt i halsen, for afslutningen på artikel 7-8 er følgende pudsige stk 3:

  1. Stk. 1 berører ikke medlemsstaternes generelle aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.