GDPR Artikel 7 behandlar de ”villkor för samtycke” som behöver vara uppfyllda, för att det ska kunna fastställas att en organisation har erhållit erforderlig auktorisation innan behandlingen av en individs uppgifter.
Villkor för samtycke
- Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen av hans eller hennes personuppgifter.
- Om den registrerades samtycke lämnas inom ramen för en skriftlig förklaring som även avser andra frågor, ska begäran om samtycke framställas på ett sätt som är klart särskiljbart från övriga ärenden, i en begriplig och lättillgänglig form, med användning av tydliga och enkelt språk. Någon del av en sådan förklaring som utgör en överträdelse av denna förordning är inte bindande.
- Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallande av samtycke ska inte påverka lagenligheten av behandlingen baserat på samtycke innan dess återkallande. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge samtycke.
- Vid bedömningen av om samtycke lämnas fritt ska största hänsyn tas till om bland annat fullgörandet av ett avtal, inklusive tillhandahållande av en tjänst, är villkorat av samtycke till behandling av personuppgifter som inte är nödvändig för fullgörandet av det kontraktet.
Villkor för samtycke
- Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen av hans eller hennes personuppgifter.
- Om den registrerades samtycke lämnas inom ramen för en skriftlig förklaring som även avser andra frågor, ska begäran om samtycke framställas på ett sätt som är klart särskiljbart från övriga ärenden, i en begriplig och lättillgänglig form, med användning av tydliga och enkelt språk. Någon del av en sådan förklaring som utgör en överträdelse av denna förordning är inte bindande.
- Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallande av samtycke ska inte påverka lagenligheten av behandlingen baserat på samtycke innan dess återkallande. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge samtycke.
- Vid bedömningen av om samtycke lämnas fritt ska största hänsyn tas till om bland annat fullgörandet av ett avtal, inklusive tillhandahållande av en tjänst, är villkorat av samtycke till behandling av personuppgifter som inte är nödvändig för fullgörandet av det kontraktet.
Samtycke behandlas i GDPR-artikel 7 inom tre nyckelområden:
Organisationer måste samla in samtycke på ett sätt som gör det enkelt för PII-subjekt att begära information om hur det erhölls (tidsstämplar, vem som begärde det etc.) (se ISO 27701 klausul 7.3.3).
Samtycke bygger på tre underliggande rättsliga bestämmelser: det måste tillhandahållas fritt, relatera till orsaken till behandlingen och tydligt i dess avsikt.
Organisationer måste tillhandahålla en mekanism som beskriver rättigheterna för alla PII-huvudmän som vill återkalla samtycke, tillsammans med instruktioner om hur man gör det som är i linje med metoderna som används för att samla in PII (t.ex. e-post, telefon).
PII-huvudmän bör också kunna "modifiera" samtycke – det vill säga begränsa den personuppgiftsansvarige från att utföra vissa åtgärder, som att ta bort PII. Sådana förfrågningar bör dokumenteras i enlighet med förfaranden för att ta bort samtycke.
Organisationer bör förbinda sig till en publicerad svarstid för alla ändringar eller återkallande av samtyckesförfrågningar.
Organisationer måste erhålla tillstånd från PII-principen innan de använder någon data som tillhandahålls för marknadsförings- eller reklamändamål, och se till att godkännande av sådan användning inte är en förutsättning för att PII ska kunna behandlas.
Marknadsförings- och reklambestämmelser bör tydligt dokumenteras i alla kontrakt eller serviceavtal, i linje med ovanstående syfte.
Organisationer bör söka "uttryckligt samtycke" som är baserat på en transparent och uppdaterad representation av hur PII ska användas.
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artikel 7 (1) och 7 (2) | ISO 27701 7.2.4 | Ingen |
| EU GDPR artikel 7 (3) | ISO 27701 7.3.4 | Ingen |
| EU GDPR artikel 7 (4) | ISO 27701 8.2.3 | Ingen |
ISMS.online-plattformen inkluderar inbyggd vägledning vid varje steg, kombinerat med vår implementeringsmetod 'Adoptera, anpassa, lägg till', så det är betydligt enklare att visa din GDPR-efterlevnad. Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.
Med vår intuitiva plattform kan du kartlägga ditt arbete över flera standarder och ramverk så att du kan uppnå flera informationssäkerhets- och integritetsmål på kort tid.
Om du vid något tillfälle under din resa mot GDPR, av någon anledning, känner brist på självförtroende, förmåga eller drivkraft att vidta åtgärder, kan vi göra vårt team av interna experter tillgängliga för dig eller rekommendera en av våra pålitliga partners för att hjälpa dig dig för att nå dina mål.
Ta reda på mer av boka en kort demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
