Forstå GDPR-artikkel 7: Samtykkekrav for overholdelse
GDPR Artikkel 7 omhandler "vilkårene for samtykke" som må være oppfylt for at det skal kunne fastslås at en organisasjon har oppnådd den nødvendige autorisasjonen før behandling av en persons data.
GDPR artikkel 7 juridisk tekst
EU GDPR-versjon
Vilkår for samtykke
- Der behandlingen er basert på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av hans eller hennes personopplysninger.
- Dersom den registrertes samtykke er gitt i sammenheng med en skriftlig erklæring som også gjelder andre forhold, skal samtykkekravet fremsettes på en måte som klart kan skilles fra de øvrige forhold, i en forståelig og lett tilgjengelig form, ved bruk av tydelige og enkelt språk. Enhver del av en slik erklæring som utgjør en overtredelse av denne forordning skal ikke være bindende.
- Den registrerte skal ha rett til å trekke tilbake sitt samtykke når som helst. Tilbaketrekking av samtykke skal ikke påvirke lovligheten av behandling basert på samtykke før tilbaketrekkingen. Før samtykke gis, skal den registrerte informeres om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
- Ved vurderingen av om samtykke er fritt gitt, skal det tas størst mulig hensyn til om blant annet oppfyllelse av en kontrakt, herunder levering av en tjeneste, er betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for gjennomføring av den kontrakten.
UK GDPR-versjon
Vilkår for samtykke
- Der behandlingen er basert på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av hans eller hennes personopplysninger.
- Dersom den registrertes samtykke er gitt i sammenheng med en skriftlig erklæring som også gjelder andre forhold, skal samtykkekravet fremsettes på en måte som klart kan skilles fra de øvrige forhold, i en forståelig og lett tilgjengelig form, ved bruk av tydelige og enkelt språk. Enhver del av en slik erklæring som utgjør en overtredelse av denne forordning skal ikke være bindende.
- Den registrerte skal ha rett til å trekke tilbake sitt samtykke når som helst. Tilbaketrekking av samtykke skal ikke påvirke lovligheten av behandling basert på samtykke før tilbaketrekkingen. Før samtykke gis, skal den registrerte informeres om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
- Ved vurderingen av om samtykke er fritt gitt, skal det tas størst mulig hensyn til om blant annet oppfyllelse av en kontrakt, herunder levering av en tjeneste, er betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for gjennomføring av den kontrakten.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Teknisk kommentar
Samtykke er behandlet gjennom GDPR-artikkel 7 på tvers av tre hovedområder:
- En organisasjons juridiske forpliktelse til å fremlegge bevis på samtykke, i form av en skriftlig erklæring som er atskilt fra all annen kommunikasjon.
- En registrerts rett til å trekke tilbake samtykke når som helst, og en organisasjons plikt til å informere dem om dette.
- Ulike faktorer som vurderer hvorvidt samtykke er gitt fritt fra den registrerte.
ISO 27701 klausul 7.2.4 (innhente og registrere samtykke) og EU GDPR artikkel 7 (1) og 7 (2)
Organisasjoner må innhente samtykke på en måte som gjør det enkelt for PII-subjekter å be om informasjon om hvordan det ble innhentet (tidsstempler, hvem som ba om det osv.) (se ISO 27701 klausul 7.3.3).
Samtykke er avhengig av tre underliggende juridiske bestemmelser: det må gis fritt, knyttet til årsaken til behandlingen og klart i intensjonen.
ISO 27701 klausul 7.2.4 (gi mekanisme for å endre eller trekke tilbake samtykke) og EU GDPR artikkel 7 (3)
Organisasjoner må sørge for en mekanisme som skisserer rettighetene til enhver PII-oppdragsgiver som ønsker å trekke tilbake samtykke, sammen med instruksjoner om hvordan man gjør det som er i tråd med metodene som brukes for å samle inn PII (f.eks. e-post, telefon).
PII-oppdragsgivere bør også kunne "modifisere" samtykke – dvs. begrense behandlingsansvarlig fra å utføre visse handlinger, for eksempel å slette PII. Slike forespørsler bør dokumenteres i samsvar med prosedyrer for fjerning av samtykke.
Organisasjoner bør forplikte seg til en publisert responstid for alle endringer eller tilbaketrekking av samtykkeforespørsler.
ISO 27701 klausul 7.2.4 (Markedsføring og annonseringsbruk) og EU GDPR artikkel 7 (4)
Organisasjoner må innhente tillatelse fra PII-prinsippet før de kan bruke data gitt til markedsførings- eller reklameformål, og sikre at aksept av slik bruk ikke er en forutsetning for at PII kan behandles.
Markedsførings- og reklamebestemmelser bør være tydelig dokumentert i alle kontrakter eller tjenesteavtaler, i tråd med formålet ovenfor.
Organisasjoner bør søke «uttrykkelig samtykke» som er basert på en transparent og oppdatert representasjon av hvordan PII skal brukes.
Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler
| GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
|---|---|---|
| EU GDPR artikkel 7 (1) og 7 (2) | ISO 27701 | none |
| EU GDPR artikkel 7 (3) | ISO 27701 | none |
| EU GDPR artikkel 7 (4) | ISO 27701 | none |
Hvordan ISMS.online Hjelp
ISMS.online-plattformen inkluderer innebygd veiledning ved hvert trinn, kombinert med vår «Adopter, Adapt, Add»-implementeringstilnærming, så det er betydelig enklere å demonstrere at du overholder GDPR. Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.
Ved å bruke vår intuitive plattform kan du kartlegge arbeidet ditt på tvers av flere standarder og rammeverk, slik at du kan oppnå flere informasjonssikkerhets- og personvernmål på et minimum av tid.
Hvis du på et tidspunkt i reisen mot GDPR, uansett grunn, føler mangel på selvtillit, evne eller handlingskraft, kan vi gjøre vårt team av interne eksperter tilgjengelig for deg eller anbefale en av våre pålitelige partnere for å hjelpe deg for å nå dine mål.
Finn ut mer av bestille en kort demo.
