GDPR-krav til oprettelse af et gyldigt samtykke
At skabe et juridisk gyldigt samtykke kræver mere end en underskrift. GDPR fastsætter specifikke betingelser, der skal være opfyldt, før et samtykke kan anses for lovligt. Skyfish hjælper jer med at strukturere og administrere processen, men det er stadig jer, der kontrollerer, om det indhold, I opretter, faktisk lever op til GDPR-standarderne.
Nedenfor finder I en oversigt over de centrale krav, der normalt forventes under GDPR, når der indhentes samtykke til brug af billeder.
Samtykket skal være informeret
Underskrivere skal forstå:
- hvem der indsamler deres data
- hvad billederne/videoerne skal bruges til
- hvor materialet kan blive vist
- hvor længe samtykket er gyldigt
- hvordan de kan trække deres samtykke tilbage.
Hvis dette ikke fremgår tydeligt, lever samtykket muligvis ikke op til GDPR.
Samtykket skal være specifikt
En vag formulering som “til kommunikationsformål” opfylder sjældent GDPR.
Formålet skal være:
- konkret
- snævert defineret
- direkte knyttet til de billeder, der bruges.
Skyfish understøtter dette ved at lade jer definere et Consent Purpose, men det er stadig jeres ansvar at formulere et klart formål.
Samtykket skal være frivilligt
Underskrivere skal have et reelt valg. Hvis det føles obligatorisk at underskrive, eller hvis underskriften opleves som en betingelse for at få adgang til en tjeneste, kan samtykket være ugyldigt.
Samtykket skal være utvetydigt
Der skal være en klar, aktiv handling, som den digitale underskrift leverer. Skyfish håndterer denne del (forudsat at jeres skabelon er korrekt udformet).
Samtykket skal være let at trække tilbage
GDPR kræver, at det skal være lige så let at trække et samtykke tilbage som at give det. Det betyder, at jeres skabelon skal indeholde:
- en tydelig forklaring af, hvordan man trækker samtykket tilbage
- den korrekte e-mailadresse eller kontaktperson/process.
Skyfish indsætter ikke instruktioner om tilbagetrækning for jer, så I skal tilføje dette manuelt.
Samtykket skal dokumenteres
Skyfish gemmer det underskrevne digitale samtykke og gør det muligt at knytte det til filer, hvilket understøtter revisionsspor.
Hvis samtykket trækkes tilbage, forventes det, at I:
- gemmer en kopi (ved at eksportere det underskrevne dokument før sletning)
- stopper brugen af alt relevant materiale.
Skyfish håndhæver “stop brug af materialet”-delen ved at blokere downloads, når samtykket fjernes.
Hvad Skyfish leverer, og hvad I skal levere
Skyfish leverer:
- strukturen
- underskriftsworkflowet
- opbevaringen
- funktionaliteten til at knytte filer
- automatisk downloadblokering
- værktøjer til styring af samtykkets livscyklus.
I leverer:
- skabelonteksten
- formålsdefinitionen
- linket til privatlivspolitikken
- kontaktperson/process for tilbagetrækning
- interne complianceprocedurer.
Skyfish kan ikke afgøre, om jeres skabelon opfylder GDPR-kravene, men platformen giver jer værktøjerne til at administrere samtykket korrekt, når det først er indhentet.