Modell för att räkna på konsekvens vid personuppgiftsincidenter
29 maj, 2019Tjuvlyssning i spansk fotboll och databreach i franska fastighetsbolag
14 juni, 2019I och med att GDPR trädde i kraft ställs det högre krav på företag att verkligen se till att man har informerat kunden om hur man avser att använda sig av kunders personuppgifter. Som det ser ut idag så är det främst fyra olika rättsliga grunder som man kan använda sig av:
- Fullgörande av avtal,
- Fullgörande av rättslig förpliktelse,
- Företagets berättigade intresse, och
- Samtycke
Varje rättslig grund har sina för- och nackdelar, men generellt gäller att samtycke är den som är svårast att tillämpa då krav på hur samtycket utformas och samlas in ändrades radikalt när GDPR ersatte PuL den 25 maj 2018.
För att samtycke ska anses vara giltigt så krävs det att det objektivt sett kan anses vara frivilligt, specifikt, aktivt och inhämtat separat från övrig information. Vidare ska det kunna återkallas närsomhelst.
Svårigheten med att samla in samtycket ligger i frivilligheten. Ett samtycke får nämligen inte vara beroende av genomförandet av en tjänst eller leverans av en vara.
Den 4 juni lät Datainspektionen meddela att man under sommaren och hösten kommer att granska hur företag använder samtycke som rättslig grund för att samla in och hantera personuppgifter om sina kunder. Det företag som är först ut att granskas är Bonnier Magazines & Brands AB.
Syftet med Datainspektionens granskning är att ge svar på frågor som exempelvis: när kan företag använda samtycke som rättslig grund, får företag ställa villkor för samtycke och kan ett dotterbolag få kunders samtycke till att hela koncernen får hantera kundernas uppgifter.
Målsättningen är även att ge företag vägledning för när de kan använda samtycke och hur ett sådant bör vara utformat.
Att det blev just Bonnier som valdes först är inte förvånande, då Datainspektionen när man inspekterade företaget under 2011 konstaterade att mängden av information som man samlar in om sina kunder endast var möjlig att behålla om man hade kundernas samtycke. Något som fick Bonnier att ändra texten i sina allmänna villkor till att kunden gav sitt underförstådda samtycke när man beställde en tidskrift/bok eller gick med i en bokklubb etc. Nu kommer vi alltså få reda på om Bonniers nuvarande insamling med samtycke kan anses vara förenlig med GDPR.
PrivacyWorks kommer under hösten att genomföra en utbildning där vi kommer att gå igenom hur företag och organisationer kan använda sig av sin kunddatabas för marknadsföring. Håll utkik!
Är du osäker på när din organisation ska använda samtycke och hur det ska utformas? Kontakta oss här så hjälper vi dig!