Samtykke som behandlingsgrundlag og kravet om frivillighed
Oversat titel
Consent according GDPR and the requirement for a freely given consent
Forfatter
Jensen, Annemette Leth
Semester
4. semester
Uddannelse
Udgivelsesår
2021
Afleveret
2021-05-19
Antal sider
51
Resumé
Specialet undersøger samtykke som behandlingsgrundlag efter databeskyttelsesforordningen (GDPR) med særligt fokus på kravet om, at samtykke skal være frivilligt, jf. artikel 4, nr. 11, og artikel 7. Med en retsdogmatisk tilgang og med udgangspunkt i GDPR’s regler og præambel (bl.a. præambel 43), relevante EU- og danske retskilder samt afgørelser fra bl.a. svenske og græske datatilsyn, gennemgår specialet betingelserne for et gyldigt samtykke (frivilligt, specifikt, informeret og utvetydigt/udtrykkeligt) og de praktiske krav til indhentelse, dokumentation og tilbagekaldelse. Analysen belyser, at der ofte ikke kan foreligge et gyldigt, frivilligt samtykke, hvor der er en klar skævhed i relationen mellem den dataansvarlige og den registrerede, navnlig i forholdet mellem offentlig myndighed og borger samt i ansættelsesforhold. Specialet drøfter bevisbyrden for den dataansvarlige, adskillelse af samtykke fra andre erklæringer, retten til at trække samtykke tilbage samt udfordringer ved at skifte behandlingsgrundlag efter en tilbagekaldelse, som kan svække gennemsigtigheden for den registrerede. I beskæftigelseskontekst inddrages både GDPR artikel 88 og databeskyttelseslovens § 12, stk. 3, og specialet påpeger, at alternative behandlingsgrundlag (fx artikel 6, stk. 1, litra b) i nogle tilfælde kan være mere hensigtsmæssige end samtykke. Overordnet bidrager specialet med en systematisk analyse af, hvornår og hvordan samtykke kan anvendes som behandlingsgrundlag, og hvornår det bør fravælges af hensyn til kravet om frivillighed og gennemsigtighed.
This thesis examines consent as a legal basis for processing under the GDPR, with a special focus on the requirement that consent be freely given, as set out in Article 4(11) and Article 7. Using a doctrinal legal approach and drawing on the GDPR and its recitals (including Recital 43), relevant EU and Danish legal sources, and decisions from, among others, the Swedish and Greek data protection authorities, the thesis analyzes the conditions for valid consent (freely given, specific, informed, and unambiguous/explicit) and the practical requirements for obtaining, documenting, and withdrawing consent. The analysis highlights that a valid, freely given consent will often not exist where there is a clear imbalance between controller and data subject, particularly in relationships between public authorities and citizens and in employment. The thesis discusses the controller’s burden of proof, the need to separate consent from other declarations, the right to withdraw, and the transparency issues that arise if controllers switch to another legal basis after withdrawal. In the employment context, it considers GDPR Article 88 and the Danish Data Protection Act § 12(3), and notes that alternative legal bases (e.g., Article 6(1)(b)) may in some cases be more appropriate than consent. Overall, the thesis provides a systematic analysis of when and how consent can serve as a lawful basis for processing and when it should be avoided in order to respect the requirement of voluntariness and ensure transparency.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]