GDPR Artikkel 7 omhandler "vilkårene for samtykke" som må være oppfylt for at det skal kunne fastslås at en organisasjon har oppnådd den nødvendige autorisasjonen før behandling av en persons data.
Vilkår for samtykke
- Der behandlingen er basert på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av hans eller hennes personopplysninger.
- Dersom den registrertes samtykke er gitt i sammenheng med en skriftlig erklæring som også gjelder andre forhold, skal samtykkekravet fremsettes på en måte som klart kan skilles fra de øvrige forhold, i en forståelig og lett tilgjengelig form, ved bruk av tydelige og enkelt språk. Enhver del av en slik erklæring som utgjør en overtredelse av denne forordning skal ikke være bindende.
- Den registrerte skal ha rett til å trekke tilbake sitt samtykke når som helst. Tilbaketrekking av samtykke skal ikke påvirke lovligheten av behandling basert på samtykke før tilbaketrekkingen. Før samtykke gis, skal den registrerte informeres om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
- Ved vurderingen av om samtykke er fritt gitt, skal det tas størst mulig hensyn til om blant annet oppfyllelse av en kontrakt, herunder levering av en tjeneste, er betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for gjennomføring av den kontrakten.
Vilkår for samtykke
- Der behandlingen er basert på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av hans eller hennes personopplysninger.
- Dersom den registrertes samtykke er gitt i sammenheng med en skriftlig erklæring som også gjelder andre forhold, skal samtykkekravet fremsettes på en måte som klart kan skilles fra de øvrige forhold, i en forståelig og lett tilgjengelig form, ved bruk av tydelige og enkelt språk. Enhver del av en slik erklæring som utgjør en overtredelse av denne forordning skal ikke være bindende.
- Den registrerte skal ha rett til å trekke tilbake sitt samtykke når som helst. Tilbaketrekking av samtykke skal ikke påvirke lovligheten av behandling basert på samtykke før tilbaketrekkingen. Før samtykke gis, skal den registrerte informeres om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
- Ved vurderingen av om samtykke er fritt gitt, skal det tas størst mulig hensyn til om blant annet oppfyllelse av en kontrakt, herunder levering av en tjeneste, er betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for gjennomføring av den kontrakten.
Samtykke er behandlet gjennom GDPR-artikkel 7 på tvers av tre hovedområder:
Organisasjoner må innhente samtykke på en måte som gjør det enkelt for PII-subjekter å be om informasjon om hvordan det ble innhentet (tidsstempler, hvem som ba om det osv.) (se ISO 27701 klausul 7.3.3).
Samtykke er avhengig av tre underliggende juridiske bestemmelser: det må gis fritt, knyttet til årsaken til behandlingen og klart i intensjonen.
Organisasjoner må sørge for en mekanisme som skisserer rettighetene til enhver PII-oppdragsgiver som ønsker å trekke tilbake samtykke, sammen med instruksjoner om hvordan man gjør det som er i tråd med metodene som brukes for å samle inn PII (f.eks. e-post, telefon).
PII-oppdragsgivere bør også kunne "modifisere" samtykke – dvs. begrense behandlingsansvarlig fra å utføre visse handlinger, for eksempel å slette PII. Slike forespørsler bør dokumenteres i samsvar med prosedyrer for fjerning av samtykke.
Organisasjoner bør forplikte seg til en publisert responstid for alle endringer eller tilbaketrekking av samtykkeforespørsler.
Organisasjoner må innhente tillatelse fra PII-prinsippet før de kan bruke data gitt til markedsførings- eller reklameformål, og sikre at aksept av slik bruk ikke er en forutsetning for at PII kan behandles.
Markedsførings- og reklamebestemmelser bør være tydelig dokumentert i alle kontrakter eller tjenesteavtaler, i tråd med formålet ovenfor.
Organisasjoner bør søke «uttrykkelig samtykke» som er basert på en transparent og oppdatert representasjon av hvordan PII skal brukes.
GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
---|---|---|
EU GDPR artikkel 7 (1) og 7 (2) | ISO 27701 | none |
EU GDPR artikkel 7 (3) | ISO 27701 | none |
EU GDPR artikkel 7 (4) | ISO 27701 | none |
ISMS.online-plattformen inkluderer innebygd veiledning ved hvert trinn, kombinert med vår «Adopter, Adapt, Add»-implementeringstilnærming, så det er betydelig enklere å demonstrere at du overholder GDPR. Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.
Ved å bruke vår intuitive plattform kan du kartlegge arbeidet ditt på tvers av flere standarder og rammeverk, slik at du kan oppnå flere informasjonssikkerhets- og personvernmål på et minimum av tid.
Hvis du på et tidspunkt i reisen mot GDPR, uansett grunn, føler mangel på selvtillit, evne eller handlingskraft, kan vi gjøre vårt team av interne eksperter tilgjengelig for deg eller anbefale en av våre pålitelige partnere for å hjelpe deg for å nå dine mål.
Finn ut mer av bestille en kort demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din