Vi stiller skarpt på samtykker og giver et bud på, hvordan man under
sagsbehandlingen får identificeret det retlige grundlag efter både GDPR og de forvaltningsretlige regler korrekt.

Persondatareglerne indebærer, at der altid skal være et retligt grundlag for at behandle personoplysninger, fx et sam­tykke. Parallelt hermed er der også i forvaltningsretten krav om samtykke i nogle situationer.

Hvornår må en myndighed behandle personoplysninger?

En myndighed skal bl.a. have et retligt grundlag – en såkaldt behandlings­hjemmel – efter GDPR (persondata­forordningen) for at behandle person­oplysninger. Det retlige grundlag for myndigheden kan findes direkte i GDPR og kan fx være, at myndigheden udfører en opgave i samfundets interesse, at myndigheden udfører en opgave pålagt ved lov, eller at myndigheden i øvrigt har en retlig forpligtelse til at udføre en opgave, som indebærer, at der skal behandles personoplysninger. I andre tilfælde kan hjemlen findes i en national lov, og i visse tilfælde kan det retlige grundlag udgøres af et samtykke.

Hvis en myndighed anvender samtykke som det retlige grundlag for at behandle personoplysninger, stiller GDPR en række krav til samtykket. Samtykket skal bl.a. være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkende­givelse. Derudover skal samtykket også kunne trækkes tilbage igen. Hvis det trækkes tilbage, følger det også af GDPR, at oplysningerne skal slettes, hvis der ikke findes en anden hjemmel til behandlingen. Her mødes GDPR og forvaltningsretten, da der i sager, hvor der gælder notatpligt, vil være et sådant andet hjemmelsgrundlag.

Hvilken betydning har de forvaltningsretlige regler?

En myndighed skal ud over at overholde GDPR også overholde de forvaltnings­retlige regler. Disse regler kan indeholde krav, som myndigheden skal overholde ved siden af GDPR i sagsbehandlingen. Det kan fx være krav om, at myndigheden skal indhente et samtykke. Et sådant krav om samtykke findes eksempelvis i lov om retssikkerhed og administration på det sociale område, § 11 a, arbejds­skadesikringslovens § 37 a og forvaltningslovens § 29 om ansøgnings­sager.

Disse krav om samtykke giver i praksis anledning til tvivl om, hvorvidt dette samtykke også kan udgøre det retlige grundlag for behandling efter GDPR.

Er samtykket det retlige grund­lag for behandling efter GDPR?

Det forhold, at de forvaltningsretlige regler stiller krav om samtykke ved behandling af sagen, indebærer ikke nødvendigvis, at det retlige grundlag for behandlingen efter GDPR også er samtykke. De to retsgrundlag gælder nemlig ved siden af hinanden. Der kan altså opstå to situationer:

1.

I den første situation er samtykket også det retlige grundlag for behandlingen efter GDPR. Det betyder, at samtykket skal overholde kravene efter GDPR.

2.

Den anden situation indebærer, at der både skal indhentes samtykke efter de forvaltningsretlige regler (men ikke GDPR), og at der skal være et retligt grundlag efter GDPR til behandlingen af personoplysninger. Her kan man sige, at GDPR gælder ved siden af “det forvaltningsretlige samtykke.”

Som et eksempel på den første situation, hvor forvaltningsretten stiller krav om samtykke, og hvor samtykket også er behandlingshjemlen efter GDPR, kan nævnes lov om retssikkerhed og administration på det sociale område, § 11 a. Efter denne bestemmelse skal myndigheden indhente forudgående samtykke fra den, der søger om eller får hjælp, før myndigheden forlanger, at andre offentlige myndigheder mv. giver oplysninger om den pågældende, der er nødvendige for at behandle sagen. Samtykket udgør her også behandlings­grundlaget efter GDPR, og det skal leve op til kravene i GDPR.

Som et eksempel på den anden situation, hvor der både i forvaltningsretten stilles krav om (stiltiende) samtykke, og hvor der skal findes et retligt grundlag for behandling af personoplysninger efter GDPR, kan nævnes arbejdsskadesikrings­lovens § 37 a.

Samtykket må anses for en slags garanti for den registrerede ved siden af kravet om retligt grundlag for behandling af personoplysninger. Der skal i disse situationer efter de forvaltningsretlige krav indhentes et stiltiende samtykke efter arbejdsskadesikringslovens § 37 a.

Der skal samtidig være et retligt grund­lag for behandlingen i arbejdsskade­sikrings­loven. Det retlige grundlag findes her i artikel 6, stk. 1, litra e, jf. artikel 6, stk. 2-3, i GDPR. På samme måde skal der i ansøgningssager både være et retligt grundlag for behandling af personoplysninger efter GDPR og indhentes samtykke efter forvaltnings­lovens § 29.

Hvordan ved man så, om der er tale om den første eller den anden situation? Det beror på en konkret fortolkning af den særlovgivning, som myndigheden administrerer.

SÅDAN HÅNDTERES det i praksis

  • Først skal der tages stilling til, om der er tale om den første eller anden situation beskrevet ovenfor. Det beror på en konkret fortolkning og vurdering af retsgrundlaget. Der kan være hjælp at hente i lovforslagets almindelige bemærkninger i afsnittet om forholdet til databeskyttelsesretten.
  • Når det er vurderet, hvad behandlings­grundlaget er efter GDPR, skal dette fremgå tydeligt af privatlivspolitikken til de registrerede. Det kan således være nødvendigt at skelne mellem forskellige sagstyper i privatlivs­politikken.
  • Hvis det retlige grundlag for behandlingen er samtykke, og samtykket trækkes tilbage, skal myndigheden ophøre med at behandle personoplysningerne. Det kan være hensigtsmæssigt at have en proces for, hvordan en sådan situation håndteres.
  • Et GDPR-samtykke skal udarbejdes, indhentes og dokumenteres efter reglerne herom i GDPR.

Forfattere

Birgitte Toxværd

Partner

Emilie Loiborg

Advokatfuldmægtig