Hvaða reglur gilda um samþykki fyrir vinnslu persónuupplýsinga?
Sá sem vinnur með persónuupplýsingarnar, ábyrgðaraðilinn, þarf að geta sýnt fram á að einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig.
Ábyrgðaraðili vinnslu persónuupplýsinga, t.d. fyrirtæki eða stjórnvald, þarf að geta sýnt fram á að einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig. Samþykki geta verið í mismunandi formi, en þó eru ákveðin grunnskilyrði sem þarf alltaf að uppfylla:
- Samþykki verður að vera veitt með aðgerð. Þetta þýðir meðal annars að reitur, sem þegar hefur verið hakað í fyrir notandann, telst ekki fullnægjandi samþykki.
- Samþykki getur verið veitt með sérstakri yfirlýsingu eða með ótvíræðri staðfestingu. Yfirlýsingin getur verið munnleg, skrifleg eða með rafrænum hætti. Ótvíræð staðfesting getur t.d. verið fólgin í því að svara spurningakönnun á netinu, að því gefnu að könnunin sé í samræmi við persónuverndarlög að öðru leyti.
- Samþykki þarf að vera óþvingað, þ.e. veitt af fúsum og frjálsum vilja. Ef ekki er hægt að afturkalla samþykki án neikvæðra afleiðinga er það ekki veitt af fúsum og frjálsum vilja.
- Samþykki þarf að vera sértækt. Í því felst að einstaklingurinn þarf að vita hvaða persónuupplýsingar á að vinna með og í hvaða tilgangi. Hann á einnig að geta valið hvaða tilgang vinnslu hann samþykkir og hvern ekki, t.d. hvort hann samþykkir að fá sendan markaðssetningarpóst þegar hann kaupir eitthvað á netinu.
- Samþykki þarf einnig að vera upplýst og þarf ábyrgðaraðili að veita fullnægjandi upplýsingar um vinnslu persónuupplýsinga áður en samþykki er veitt. Engar formkröfur eru gerðar til fræðslu af þessu tagi en þó þarf hún að vera einföld og á auðskiljanlegu máli.
- Samþykki þarf að vera ótvírætt, þ.e. það það þarf að vera augljóst að þú hafir samþykkt vinnslu persónuupplýsinga um þig. Ábyrgðaraðilinn þarf að geta sýnt fram á þetta eins og önnur atriði varðandi samþykki.
- Einstaklingurinn á alltaf rétt á því að draga samþykki sitt til baka og það á að vera jafn auðvelt að draga samþykki til baka og að veita það, t.d. ef samþykki er veitt á vefsíðu, þá á allajafna að vera nóg að fara á viðkomandi vefsíðu aftur og afturkalla samþykkið.
Stjórnvöld geta almennt ekki byggt á samþykki við vinnslu persónuupplýsinga, heldur styðjast þau einna helst við heimildir í lögum. Vinnuveitendur geta líka almennt ekki byggt á samþykki starfsmanna sinna, þar sem sjaldnast er um óþvingað samþykki er að ræða.