Samtykke som behandlingsgrundlag ifølge GDPR
Oversat titel
Consent as legal basis according to the GDPR
Forfattere
Thuesen, Julie Høg ; Larsen, Nanna
Semester
4. semester
Uddannelse
Udgivelsesår
2020
Afleveret
2020-05-19
Antal sider
44
Resumé
Specialet undersøger, hvornår en dataansvarlig lovligt kan behandle personoplysninger med hjemmel i den registreredes samtykke efter GDPR artikel 6, stk. 1, litra a og artikel 9, stk. 2, litra a, og hvilke overvejelser der bør gå forud for at vælge samtykke som behandlingsgrundlag. Med en retsdogmatisk metode analyseres samtykkets definition i artikel 4, nr. 11, betingelserne i artikel 7, de generelle principper i artikel 5 og relevante præambelbetragtninger samt supplerende national regulering og vejledning (bl.a. Databeskyttelsesloven, Artikel 29-Gruppen/EDPB og Datatilsynet). Projektet afgrænses fra andre behandlingsgrundlag (med begrænset omtale af artikel 6, stk. 1, litra f i relation til tilbagekaldelse), fra retsmidler og sanktioner, fra behandling af børns data, fra særlovgivning og fra samtykke til videregivelse til tredjemand. Analysen behandler bl.a. tidspunktet for indhentelse, granularitet og kravet om udtrykkeligt samtykke ved særlige kategorier. Specialet fremhæver, at selv om behandlingsgrundlagene i artikel 6 er ligestillede, pålægger samtykke den dataansvarlige en bevisbyrde og kan være vanskelig at anvende i praksis, især kravet om frivillighed og retten til at trække samtykket tilbage, som kan udløse pligt til at stoppe og slette oplysninger efter artikel 17, stk. 1, litra b. På den baggrund belyses, hvornår samtykke kan være uegnet, og hvornår det kan udgøre et passende grundlag, samt nødvendigheden af klar dokumentation og evnen til at efterkomme tilbagekaldelser.
This thesis examines when a controller can lawfully process personal data on the basis of the data subject’s consent under GDPR Articles 6(1)(a) and 9(2)(a), and what should be considered before choosing consent as the legal basis. Using a doctrinal legal method, it analyzes the definition of consent in Article 4(11), the conditions in Article 7, the general principles in Article 5, and relevant recitals, as well as supplementary national rules and guidance (including the Danish Data Protection Act, the Article 29 Working Party/EDPB, and the Danish Data Protection Agency). The project excludes other legal bases (with limited reference to Article 6(1)(f) in relation to withdrawal), remedies and sanctions, children’s data, sector-specific legislation, and consent for disclosures to third parties. The analysis addresses, among other issues, the timing of consent, granularity, and the need for explicit consent for special categories. It highlights that although the Article 6 bases are equal in law, consent places a burden of proof on controllers and may be difficult to rely on in practice, especially the requirement that consent be freely given and the right to withdraw, which can trigger obligations to stop processing and erase data under Article 17(1)(b). Against this backdrop, the thesis explores when consent may be unsuitable and when it can be appropriate, emphasizing the need for clear documentation and the ability to honor withdrawals.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]