Það hafa eflaust margir tekið eftir því að í vissum tilvikum er beðið um samþykki fyrir vinnslu persónuupplýsinga. Sem dæmi má nefna að þegar gerður er dvalarsamningur um leikskóladvöl er í senn beðið um samþykki fyrir myndatöku af barni og myndbirtingu á því efni. Aflað er samþykkis fyrir því að birting myndefnis megi eiga sér stað á hinum ýmsu stöðum til að mynda á vefsíðu leikskólans og á hinum ýmsu samfélagsmiðlum. Jafnframt hafa grunnskólar verið að gera það sama með því að senda samþykkiseyðublað heim með nemendum. Þetta er eflaust eitthvað sem flestir foreldrar kannast við. Þetta er ekki nýtt af nálinni þá sérstaklega hvað leikskólana varðar þó að nú beri meira á þessu þar sem að með tilkomu nýrrar persónuverndarlöggjafar eru auknar kröfur gerðar til þess að samþykki sé upplýst. En hvað felst í upplýstu samþykki og hvernig er rétt að standa að því?

Breyting frá fyrri löggjöf hvað varðar samþykki almennt

Í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlög), sbr. General Data Protection Regulation (GDPR) er samþykki ein af sex heimildum fyrir vinnslu persónuupplýsinga. Samþykki er skilgreint sem „Óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.“. Frá fyrri löggjöf hafa verið gerðar nokkrar breytingar á skilyrði fyrir samþykki sem fela í sér að settar eru fram strangari kröfur með þann tilgang að leiðarljósi að tryggja betur réttindi skráðra einstaklinga. Með þessu eru auknar skyldur lagðar á ábyrgðaraðila tengt öflun samþykkis þannig að hann þarf að auki að færa sönnur á að hann hafi uppfyllt þær kröfur sem gerðar eru til þess hvernig öflun samþykkis skuli hagað.

Samþykki þarf að vera óþvingað, sértækt og upplýst

Í því felst að það verður að gefa einstaklingum raunverulegt val og stjórn á því hvernig ábyrgðaraðilar nota persónuupplýsingar þeirra. Hafi einstaklingur ekki neitt raunverulegt val telst samþykki ekki gefið af fúsum og frjálsum vilja og því ógilt. Einstaklingar verða því að geta neitað því að samþykkja án afleiðinga. Þá verða einstaklingar jafnframt að geta afturkallað samþykki en það er eitt af skilyrðum fyrir samþykki sem er að finna í löggjöfinni. Jafnframt er ekki hægt að binda samþykki sem skilyrði fyrir þjónustu nema í þeim tilvikum að það er nauðsynlegt. Til að átta sig betur á þessu er gott að taka dæmi: Ef ónefnd verslun setur það sem skilyrði fyrir sölu að upplýsingum um viðskiptavininn sé deilt með öðrum sambærilegum verslunum hefur það í för með sér að verslunin er að setja það sem skilyrði fyrir sölu að upplýsingum sé deilt með öðrum þriðja aðila. Deiling á upplýsingunum er ekki nauðsynleg til að salan geti farið fram. Þar með væri samþykki ekki gefið af fúsum og frjálsum vilja og því ekki hægt að byggja á samþykki sem vinnsluheimild. Verslunin gæti hins vegar beðið viðskiptavininn um leyfi til að senda upplýsingar á þriðja aðila en það þyrfti að vera aðskilið sölunni og vera viðskiptavininum frjálst hvort hann samþykki eða ekki. Segjum svo að verslunin myndi jafnframt krefjast þess að viðskiptavinir samþykktu að upplýsingar um þá væru sendar til þriðja aðila sem sæi um að senda vöruna heim til viðskiptavinarins. Það væri nauðsynlegt að fá þær upplýsingar fyrir þann þriðja aðila svo hann gæti afhent vörurnar til viðskiptavinarins. Í því tilviki væri eflaust byggt á annarri vinnsluheimild heldur en samþykki.

Hvað er upplýst samþykki og hvernig ber að standa að því?

Ekki er að finna skilgreiningu í löggjöfinni hvað sé upplýst samþykki. Nokkra skýringu er þó að finna í GDPR þar sem tekið er fram að til þess að samþykkji teljist upplýst eigi hinn skráði einstaklingur að a.m.k. vita hver ábyrgðaraðilinn sé og um tilgang vinnslu persónuupplýsinga. Einstaklingur þarf því að fá að vita hvað hann er að samþykkja, hvað leiðir af samþykkinu sem gefið er og að honum sé heimilt að afturkalla veitt samþykki líkt og að framan greinir. Í þessu felst fræðsla sem þarf að eiga sér stað en ekki eru gerðar neinar kröfur um það á hvaða formi fræðslan skuli veitt. Fræðsluna má því í raun veita bæði munnlega, skriflega eða jafnvel með myndbandi en það eru þó ákveðnar kröfur gerðar í GDPR um hvernig haga beri framsetningu. Þá þarf fræðslan að vera á einföldu og auðskiljanlegu máli. Það verður jafnframt að hafa í huga hvaða aðilar það eru sem um ræðir sem þarf að afla samþykkis frá því ef um er að ræða börn þarf að haga fræðslunni á þann veg að þau skilji hvað þau eru að samþykkja. Vert er að taka fram að þegar um börn og samþykki ræðir er miðað við á Íslandi að þegar börn hafa náð 13 ára aldri séu þau fær um að samþykkja sjálf þjónustu sem þeim er boðin á upplýsingasamfélagi. Umfjöllun um þetta er efni í annað blogg og verður því ekki vikið nánar að því hér.

Ef við snúum okkur aftur að hvernig ber að standa að upplýstu samþykki þá gaf svokallaður 29. gr. starfshópur, sem var samstarfsvettvangur evrópska persónuverndarstofnana, út leiðbeininingar um samþykki á grundvelli GDPR. Starfshópurinn er ekki lengur starfandi en þann 25. maí síðastliðinn var í staðinn sett á fót evrópskt persónuverndarráð (European Data Protection Board – EDPB). Evrópska persónuverndarráðið hefur staðfest leiðbeiningarnar um samþykki sem 29. gr. starfshópurinn gaf út og því er enn stuðst við þær. Í leiðbeiningunum er tiltekið að þær lágmarksupplýsingar sem fram þurfi að koma til að samþykki teljist upplýst séu:

  • -Nafn ábyrgðaraðila
  • -Tilgang hverrar vinnslu fyrir sig sem beðið er um samþykki fyrir
  • -Hvaða persónuupplýsingar það eru sem ætlunin er að vinna með
  • -Að hinn skráði eigi rétt á að afturkalla samþykki sitt
  • -Hvort að það fari fram sjálfvirk ákvörðunartaka
  • -Hvort persónuupplýsingunum verði miðlað til þriðja ríkis án þess að fullnægjandi vernd liggi fyrir

Það er því ljóst að til að samþykki teljist upplýst í skilningi persónuverndarlaga þarf að ýmsu að gæta.