Når man som dataansvarlig behandler personoplysninger, skal man bl.a. tage stilling til, med hvilken hjemmel man gør det. Sagt på en anden måde, skal man have et grundlag at behandle oplysningerne på. Hvis ikke man har det, er behandlingen ikke lovlig.
Der er mulighed for at benytte sig af en række forskellige behandlingsgrundlag, som alle er oplistet i persondataforordningen. Et af dem er samtykket, der ofte kan virke til at være en nem måde at få et lovligt grundlag til behandlingen af personoplysninger. Dette er dog ikke altid hensigtsmæssigt, hvilke belyses af to afgørelser fra Datatilsynet.
Hvis behandlingen er baseret på et samtykke, kan man nemlig risikere at samtykket trækkes tilbage. Hvis samtykket trækkes tilbage skal behandlingen stoppes, og oplysningerne slettes. Man kan herunder risikere, at man kan blive pålagt at slette oplysninger, når samtykket trækkes tilbage, selvom man egentlig kunne have anvendt et andet lovligt grundlag til at behandle oplysningerne på fra starten.
I en nylig afgørelse truffet af Datatilsynet vedrørende Rejsekort A/S (herefter ”Rejsekort”) kom det frem, at Rejsekort benyttede samtykke som behandlingsgrundlag. Klager i sagen havde trukket sit samtykke tilbage, og anmodede samtidig Rejsekort om at slette alle personoplysninger om vedkommende. Rejsekort imødekom alene delvist anmodningen, idet en række oplysninger ikke blev slettet. Det drejede sig dels om økonomiske oplysninger, som skulle opbevares i medfør af bogføringsloven, dels oplysninger om aftaleindgåelsen og rejsedata. Sidstnævnte oplysninger blev gemt, så Rejsekort kunne bruge dem i tilfælde af en eventuel retssag. Rejsekort fortsatte dermed med at behandle en række oplysninger, men ændrede behandlingsgrundlaget for disse, så det ikke længere var baseret på samtykke.
Efter at have gennemgået sagen, kommer Datatilsynet frem til ”…at samtykke ikke var det mest passende behandlingsgrundlag for Rejsekorts behandling af oplysninger om klager, idet andre behandlingsgrundlag, må anses som klart mere passende i forhold til behandling af klagers personoplysninger.” Derfor burde Rejsekort allerede fra starten have benyttet de korrekte behandlingsgrundlag, nemlig behandling til opfyldelse af en kontrakt, og behandling til opfyldelse af en retlig forpligtelse (bogføringsloven). Datatilsynet kritiserede, at Rejsekort midt i forløbet skiftede behandlingsgrundlag, særligt når behandlingen var baseret på samtykke. Datatilsynet anførte, at når man baserer en behandling på samtykke, giver man den registrerede person en opfattelse af at denne har kontrol med behandlingen af sine personoplysninger, og at man til enhver tid kan stoppe den ved at trække samtykket tilbage. Hvis den dataansvarlige ændrer behandlingsgrundlaget i samme øjeblik, som samtykket trækkes tilbage, har den registrerede aldrig haft en reel kontrol over sine personoplysninger.
Rejsekort fik i sagen lov til at beholde de oplysninger, som er nødvendige til at opfylde bogføringslovens forpligtelser. De fik derimod ikke lov til at beholde oplysninger, som alene skulle benyttes til at forsvare sig i en evt. retssag. Datatilsynet udtaler, at: ”I hvert fald under de konkrete omstændigheder, hvor Rejsekort fejlagtigt har anvendt samtykke som behandlingsgrundlag, finder Datatilsynet, at hensynet til den registrerede går forud for Rejsekorts interesse i at opbevare oplysninger med henblik på håndtering af et eventuelt retskrav.” Hvis Rejsekort fra starten havde behandlet oplysningerne med henvisning til et korrekt behandlingsgrundlag, må Datatilsynets udtalelse forstås således, at de med al sandsynlighed kunne have beholdt oplysningerne. Dermed er det ikke ”bare” en formel fejl uden nogen egentlige konsekvenser, hvis man som dataansvarlig vælger ”for en sikkerheds skyld” at bede om samtykke. Hvis man ikke har styr på behandlingsgrundlaget fra starten, risikerer man derimod at skulle slette nogle oplysninger, man kan få behov for senere, evt. i forbindelse med en retssag.
En anden sag, som yderligere kan illustrere problemerne ved brugen af samtykke for behandlingsgrundlag, omhandler DMR A/S (herefter ”DMR”). DMR havde lavet en række videooptagelser, som var lagt ud på bl.a. Youtube og deres egen hjemmeside. I disse film indgik optagelser af medarbejdere, som alle havde givet deres samtykke til, at optagelserne blev brugt til disse formål. En tidligere medarbejdere valgte efter at være fratrådt, at trække sit samtykke til behandlingen tilbage. Dermed havde DMR ikke længere noget lovligt behandlingsgrundlag, og optagelserne skulle slettes fra alle de film, hvor optagelser af den pågældende indgik. Hvis DMR fortsat ville benytte sig af de udarbejdede film, blev man derfor nødt til at klippe sekvenserne med den tidligere medarbejder ud og sørge for, at de tidligere udgaver af filmen blev slettet fra alle platforme.
Dette korte eksempel illustrerer på meget god vis den åbenlyse risiko, der er ved brugen af samtykke, nemlig at samtykket bliver trukket tilbage. Som arbejdsgiver skal man derfor være bevidst om, at hvis brug af optagelser eller fotomateriale af medarbejdere er baseret på samtykke, så skal man også være i stand til at slette dette materiale, hvis vedkommende trækker sit samtykke tilbage. Af samme årsag bør det i hver enkelt situation overvejes, om det vil være mere hensigtsmæssigt at indgå ”modelkontrakter” med de personer, der deltager i en videoproduktion. Det vil være muligt at indgå ”modelkontrakter” med sine medarbejdere, hvilket vil have den fordel, at behandlingen ikke længere er baseret på samtykke, men derimod et kontraktforhold. For at en sådan kontrakt er gyldig, skal der gives en passende kompensation for medarbejderens deltagelse i videoproduktionen, og det skal fremgå, at optagelserne vil kunne blive benyttet, også efter at medarbejderen evt. måtte være fratrådt.
De to omtalte sager tydeliggør de udfordringer, der kan opstå ved brugen af samtykke som behandlingsgrundlag. Det kan virke som en nem løsning at bruge samtykket, men hvis der er et andet behandlingsgrundlag skal man afholde sig fra at bede om samtykke til behandlingen. Hvis man overfor de registrerede giver indtryk af at behandlingen er baseret på samtykke, kan man – som sagen med Rejsekort viser - blive tvunget til at slette oplysninger, selvom man kunne have beholdt dem, hvis man fra starten havde anvendt det korrekte grundlag for behandlingen.
Har du behov for hjælp eller sparring til valget af behandlingsgrundlag, eller til andre databeskyttelsesretlige forhold, så er du velkommen til at kontakte os.