Hvornår skal dokumentation for samtykke slettes?

Datatilsynet: Kravet om, at et samtykke til behandling af personoplysninger skal kunne dokumenteres, gælder som udgangspunkt kun, så længe du behandler personoplysninger på baggrund af samtykket.

Når samtykket er trukket tilbage, skal alle personoplysninger, der behandles på baggrund af samtykket, herunder dokumentationen for samtykket, normalt slettes. Dokumentationen må derfor ikke gemmes for en sikkerheds skyld eller under henvisning til lovens forældelsesfrister.

Dokumentationen vil dog kunne opbevares en begrænset periode med henblik på at afklare, om der er eller måtte opstå en tvist. Hvis kunden klager inden for den kortere periode, vil dokumentationen fortsat kunne opbevares som bevis for, at der er indhentet et samtykke.

Når samtykket med dertilhørende personoplysninger er slettet, skal du være i stand til at fremlægge systemdokumentation, der dækker over dokumentation for procedurerne omkring indhentelsen af samtykket, f.eks.  hvilke oplysninger den pågældende person fik forelagt på tidspunktet for samtykkets afgivelse, og dokumentation for at fremgangsmåden opfyldte alle kriterier for et gyldigt samtykke.

Udtalelsen kan få betydning for markedsførings- og cookiesamtykker
Dokumentation for samtykke til elektronisk markedsføring og til cookies skal også overholde reglerne i databeskyttelsesforordningen. Datatilsynets udtalelse kan derfor få betydning for opbevaring af dokumentation for markedsførings- og cookiesamtykker.  Her må vi afvente en evt. udmelding fra Forbrugerombudsmanden.

Suspensionslister
Udtalelse udspringer af en sag, hvor en virksomhed opbevarede dokumentation for samtykker i 5 år efter, at det var brugt sidste gang. Virksomheden begrundede dette med, at strafansvaret efter GDPR forældes efter 5 år.
Virksomheden opretholdt også en liste over personer, der havde trukket deres samtykke tilbage, for at være sikker på ikke at sende mails til disse personer.

Datatilsynet påbød virksomheden at slette suspensionslisten, da den var en unødvendig behandling af personoplysninger, som ikke var i overensstemmelse med princippet om dataminimering. Der var heller ikke hjemmel i interesseafvejningsreglen til at opbevare oplysningerne med det formål, når samtykket var trukket tilbage. Du kan læse mere her.

Hvad siger reglerne?
Når du anvender samtykke som behandlingsgrundlag, skal du kunne påvise (dokumentere) samtykket. Når samtykket trækkes tilbage, skal de oplysninger, der behandles på grundlag af samtykket, slettes, medmindre der er et andet grundlag for behandlingen.

Du kan læse Datatilsynets udtalelse her

Kilde: Danskerhverv.dk

Del indlægget med andre der kunne få glæde af det

Facebook
Twitter
LinkedIn
Email