Hvad er samtykke?
Samtykke er efter databeskyttelsesforordningen udtryk for, at de registrerede skal have et reelt valg og kontrol over, hvordan deres oplysninger bliver brugt. Samtykke er et af flere ligestillede behandlingsgrundlag for at indsamle og behandle persondata. Et samtykke kan gives både mundtligt, skriftligt og digitalt. Det kan ikke gives stiltiende eller være underforstået.
Databeskyttelsesforordningens defnition af samtykke:
”Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”
Et samtykke kan til enhver tid trækkes tilbage. Dog ikke med tilbagevirkende kraft.
Digital signatur
Vi tilbyder en skoleaftale med 10% rabat.
Ring 4358 4575
Hvorfor er samtykke vigtigt?
Samtykket er kun gyldigt, hvis det opfylder kravene for samtykke. For at sikre dette skal skolen lave retningsregler for indsamling og behandling af persondata og sørge for at kunne dokumentere samtykket. Samtykke skal være givet inden den dataansvarlige begynder behandlingen af de pågældende oplysninger.
Datatilsynet og Justitsministeriet har sammensat en tjekliste, der kan hjælpe jer med at få et overblik over, om I opfylder kravene i databeskyttelsesforordningen.
Find Datatilsynets og Justitsministeriets tjekliste på side 18 i vejledningen “Samtykke”, 2017
Generelle krav til samtykke
Minimumskrav er:
- den dataansvarliges identitet
- formålet med den påtænkte behandling
- hvilke oplysninger, der behandles og
- hvilken behandling, der finder sted
Det er et krav, at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen af sine personoplysninger. SkoleIT tilbyder digital signatur til at lette processen.
En anmodning om samtykke skal være enkel og letforståelig i sprog og form, og tilpasset til målgruppen.
Skriftligt samtykke, der vedrører flere forhold, skal kunne skelnes fra hinanden. Der skal indhentes særskilt samtykke for hvert enkelt formål f.eks. med afkrydsningsbokse.
Som standard må felter ikke være vinget af. Husk at indhente nye samtykke, hvis I ønsker at bruge oplysningerne i en anden sammenhæng.
Inden samtykke indhentes, skal den registrerede have information om at samtykket kan trækkes tilbage, og hvordan det det skal ske. Uden tilstrækkelig information om denne mulighed kan samtykket anses for ugyldigt.
Hvis samtykke indhentes digitalt, anbefaler Datatilsynet en kort tekst, som de besøgende skal klikke ”ja” til at have læst og accepteret.
Dokumentation og egenkontrol
Den dataansvarlige skal som nævnt kunne bevise, at samtykket er givet og hvad det meddelte samtykke omfatter. Det er derfor en god idé at samtykket afgives skriftligt eller på en anden måde, som kan bevises.
Når samtykket er indsamlet, er det nødvendigt at have kontrol og overblik over samtykkeerklæringerne. Det kan derfor være en god idé at lave en kontrol en gang om året, hvor I tjekker, at skolen har samtykkeerklæringer på alle de registrerede. I kan også lave en politik, hvor I tjekker efter samtykke, hver gang I skriver noget i jeres elevers journal/arkivmappe.
Børn og samtykke
Vær opmærksom på at den nye forordning indeholder yderligere krav til samtykke fra børn i forbindelse med informationssamfundstjenester som f. eks. e-handel, online spil og sociale medier som Facebook, Instagram og Snapchat. Behandling af almindelige personoplysninger er som udgangspunkt lovlig, hvis den registrerede er mindst 16 år og har givet sit samtykke.
Fra persondataloven til EU-persondataforordningen
Dataansvarlige, der på nuværende tidspunkt behandler oplysninger på baggrund af samtykke, skal ikke nødvendigvis indhente et nyt samtykke, når den nye forordning træder i kraft.
Samtykke indhentet i overensstemmelse med persondatalovens regler er fortsat gyldigt, hvis samtykket er i overensstemmelse med betingelserne i forordningen. Dataansvarlige skal derfor gennemgå deres metoder og procedurer for indhentning af samtykke for at vurdere, om de lever op til kravene.
Situationsbilleder og portrætbilleder
Når billeder offentliggøres digitalt og på tryk, skelnes der mellem situationsbilleder og portrætbilleder.
Situationsbilleder
Situationsbilleder
Situationsbilleder defineres som harmløse billeder, hvor det er en aktivitet, der er det egentlige formål med billedet. Det kan f.eks. være børn og unge, der deltager i en idrætsdag eller leger i skolegården.
Det er afgørende, at personen på billedet ikke må kunne føle sig udstillet, udnyttet eller krænket. F.eks. i forbindelse med kommercielt brug.
Situationsbilleder kan offentliggøres på skolens intranettet og internettet uden samtykke.
Portrætbilleder
Portrætbilleder
Portrætbilleder har til formål at afbilde en eller flere bestemte personer, og derfor skal skolen indhente samtykke. Alderen for samtykke kan variere, alt efter hvor billederne offentliggøres.
Vi anbefaler, at man indhenter samtykke fra forældre for alle børn under 18 år.
Hvis portrætbilledet alene skal bruges som personidentifikation på et intranet, vil man som skole ofte kunne henvise til interesseafvejningsreglen.
Husk at der gælder de samme regler for billeder af personale.
Personoplysninger på medarbejdere
Skolen har vigtige forpligtelser før, under og efter et ansættelsesforhold. F.eks.:
Ansøgninger:
Som led i en ansættelsesproces behandles personoplysninger som ansøgninger og cv’er fra potentielle medarbejdere.
Skolen bør begrænse adgang til disse oplysninger til de relevante personer og samtidig have en procedure, der sikrer, at oplysningerne slettes, når de ikke længere er relevante for skolen.
Hvis I ønsker at gemme en ansøgning, skal du indhente samtykke fra ansøgeren.
Brug af data, kontrol og begrænsning:
Skolen må gerne offentliggøre arbejdsrelaterede oplysninger som navn, stilling mv. på skolens hjemmeside uden specifikt samtykke fra medarbejderen. Hvis I vil bruge et billede, kræver det udtrykkeligt samtykke.
I har pligt til at orientere medarbejderne om kontrol tiltag i forbindelse med f.eks. brug af internet, e-mail og GPS-kørsel. Formålet med den enkelte kontrolforanstaltning skal fremgå af skolens retningslinjer og være sagligt begrundet. Vær opmærksom på, at hovedaftalen mellem DA og LO stiller særlige krav omkring kontrolforanstaltninger.
Skolen har pligt til at begrænse adgangen til følsomme personoplysninger på medarbejdere.
Adgang til servere og digitale platforme, hvor personoplysninger håndteres, bør sikres med to-faktor login og de anvendte løsninger skal modsvare gældende krav til datasikkerhed. Databehandleraftaler skal indgås, hvis der anvendes eksterne databehandlere.
Er der adgang til persondata fra personlige computere og mobile enheder, skal personer med adgang informeres omkring procedurer for at sikre, at data ikke kompromitteres. Hav klare regler for udlån til familiemedlemmer af ansattes personlige computere, hvis dette kan medføre uvedkommende adgang til persondata. Desuden skal der være regler, som sikrer at persondata ikke kommer i de forkerte hænder i forbindelse med print.
Du kan kontakte SkoleIT og få vejledning
Hvis skolen bruger en ekstern IT-leverandør for administrative værktøjer som håndtering af stamdata og løn, skal I også sikre jer, at leverandøren overholder kravene som databehandler. Det er skolens ansvar at indgå databehandleraftale med skolens databehandlere.
Sletning af oplysninger:
Det er vigtigt, at skolen har procedurer for opbevaring og ikke mindst sletning af medarbejderoplysninger efter, at en medarbejders ansættelse er ophørt. Derfor bør I vurdere og planlægge, hvilke dele af medarbejderens personalefil, der ikke længere er behov for, og hvilke oplysninger, der skal gemmes som dokumentation til offentlige myndigheder m.m.
Medarbejderens e-mail-konto må kun holdes aktiv i en periode, der er så kort som muligt og der bør sættes autosvar på med oplysning om fratrædelse og evt. anden relevant information snarest muligt efter fratrædelse.
Kilder
Datatilsynet og Justitsministeriet: “Samtykke”, 2017
Datatilsynet.dk: //www.datatilsynet.dk/emner/internet-og-apps/billeder-paa-internettet/
Avodan.dk: //www.advodan.dk/erhverv/persondata/personoplysninger-paa-medarbejdere/