Den brittiska motsvarigheten till Datainspektion, the Information Commissioner’s Office (ICO), har tagit fram ett underlag för vad som kan anses vara ett giltigt samtycke enligt artikel 6.1 i Dataskyddsförordningen (GDPR, General Data Protection Regulation). ICO har lämnat det öppet för företag och organisationer att kommentera underlaget fram till den 31 mars 2017.
Från ICOs sida hävdar man häpnadsväckande att en privatperson endast kan ge sitt samtycke till att ett företag delar med sig av dennes uppgifter till andra namngivna företag som man samarbetar med och inte företag som verkar inom namngivna branscher. Som grund för sitt påstående hänvisar de till Artikel 7.2 samt skälen 32 och 42, där det framgår att ett samtycke måste vara klart och tydligt. ICO menar att möjligheten att kunna få lämna vidare uppgifter till företag i namngivna branscher inte kan anses vara tydligt nog eftersom privatpersonen då vid samtyckets av inte exakt kan veta vilka företag som åsyftas.
Resonemang kan vara förståeligt sett ur ett snävt perspektiv, där ett samtycke endast avser exakt det som anges. Samtidigt ska vi komma ihåg att företag och organisation ska kunna få använda sig av personuppgifter på ett sätt som privatpersonen kan förvänta sig att företaget/organisationen kommer att använda dem. Med detta menas att man måste informera individen på ett klart och tydligt sätt. Vi lever i en alltmer digital tillvaro där företag och organisationer fortlöpande kommer att byta samarbetspartners för att utveckla de tjänster som kunderna efterfrågar på ett smidigt sätt. En privatperson kan förvänta sig att ett företag eller en organisation byter till nya samarbetspartners för att på mest effektiva sätt exempelvis trycka och skicka ett brev till oss. Att då inför varje byte av samarbetspartner kräva in ett nytt samtycke är inte bara tidskrävande och mödosamt, utan även konkurrenshämmande. Det kommer att innebära en alltför stor åtgärd för att byta, vilket innebär att ICOs förslag låser in företag och organisationer med vissa samarbetspartner.
DMA UK, vår brittiska motsvarighet, och FEDMA har påpekat detta för ICO och vi får hoppas att de ändrar sin ståndpunkt innan detta presenteras inför de andra datainspektionerna inom EU i Artikel 29-gruppen.
Christer S säger
Äntligen!!
Ett vettigt ställningstagande, mot alla de företag som har haft skyldigheten att ta hand om våra personuppgifter på ett säkert sätt, men inte brytt sig, och det bara på grund av att det inte funnits incitament att göra det tidigare.
Med de viten och straff som kommer ligga till grund för den misskötsel av personuppgifter som råder i det flesta företag idag så blir det dyrt att fortsätta göra det.
Hoppas att datainspektionen kommer att klara av att ta hand om de nya reglerna på ett bra sätt, det kommer förmodligen bli en tuff tid i början för de anställda inspektörerna, och det inte bara med att tolka reglerna.
Man kan tydligt se vilka företag som inte brytt sig tidigare, de jobbar med blåslampan i baken med att få ordning på det som skulle varit ordning på förlägne sedan!
Känner en viss förhoppning om bot och bättring…
Axel Tandberg säger
Hej Christer!
Självklart kan man se detta som en blåslampa på företagen som inte har skött sig, och det är vad lagen har blivit. Samtidigt är det trist att dataskyddsförordningen inte har en flexibilitet som gör det möjlig för de företag som sköter sig att kunna använda samtycket på ett funktionellt sätt. Personligen tycker jag att det räcker med att ett informerat samtycke ska kunna informera en individ om vilken bransch som dennes uppgifter kan lämnas ut till. För hur ska jag kunna lära känna det nystartade streamingföretaget som sänder ut musik om jag är intresserad av musik, då jag inte vet vad de heter innan de startar?
Med vänlig hälsning
Axel Tandberg
jurist, SWEDMA