Ofte finnes hjemmelen i lov og forskrift, eller en avtale. Når det ikke finnes hjemmel i lovverket eller i en avtale, kan bedriften få hjemmel gjennom samtykke fra den personen det gjelder. Det betyr at personen selv gir samtykke til at bedriften har bestemte opplysninger om ham, og bruker dem til bestemte formål.
Et eksempel kan være at du gir samtykke til at bedriften registrerer din bruk av en tjeneste, eller samtykke til at det tas bilder av barna dine i barnehage og skole som kan legges på nettsidene. Videre kan du gi samtykke til at en bedrift sender deg jevnlig tilbud og informasjon på e-post (tilpasset markedsføring), eller samtykke til at det hentes inn opplysninger om deg i forbindelse med søknad om nytt kredittkort eller ny helseforsikring.
For mange kommunalt eide bedrifter vil hjemmelen til å behandle personopplysninger være lov, forskrift eller avtale i forbindelse med den tjenesten som leveres. En avtale inneholder også en form for implisitt samtykke.
Men det kan tenkes tilfeller der det er behov for – eller ønskelig - å innhente konkret samtykke.
- For eksempel kan renovasjonsbedriften trenge samtykke dersom det innføres detaljert registrering av personers bruk av ulike innsamlingsløsninger, og der opplysningene skal brukes aktivt i selskapsplanleggingen.
- Det kan være nødvendig med samtykke dersom energibedriften skal overføre personopplysninger (navn, fødselsdato, forbruk, ol.) til andre aktører eller underleverandører.
- Det kommunale krisesenteret kan ha behov for samtykke dersom personopplysninger skal brukes i kontakt med andre kommunale etater for å kunne gi et godt hjelpetilbud.
Samtykket fra personen det gjelder må være frivillig og uttrykkelig, og det må gå frem hva han/hun samtykker til. Samtykket må også fritt kunne kalles tilbake.
Rent praktisk kan dette ordnes ved en samtykkeerklæring, der den personen som bestiller eller mottar en tjeneste aktivt godtar at bestemte opplysninger om ham brukes i bedriften. Samtykkeerklæringen bør gi følgende informasjon:
- navn og adresse på bedriften som er ansvarlig (behandlingsansvarlig)
- hva opplysningene skal brukes til
- om opplysningene skal leveres ut til andre, og i tilfelle til hvem
- om/at det er frivillig å gi fra seg opplysningene
- det personen trenger for å kunne bruke rettighetene sine, som å kreve innsyn i - eller få rettet eller slettet - opplysningene som er lagret
- hvor lenge personopplysningene vil bli behandlet eller oppbevart
- orientering om at personen når som helst kan trekke samtykket tilbake
Informasjon om samtykke på Datatilsynets nettsider
I praksis kan det være hensiktsmessig at bedriften utarbeider en personvernerklæring.
Eksempel på personvernerklæring fra NAV
Eksempel på personvernerklæring fra Hafslund
Den bør være lett tilgjengelig for brukere, kunder og avtaleparter, og informere om hvordan og hvorfor bedriften bruker personopplysninger i virksomheten (personvernpolicy). Samtykkeerklæringen bør i så fall vise til denne.
Har du spørsmål knyttet til samtykke eller til personvernreglene, ta gjerne kontakt med oss.