Den 4. mars 2020 avga EUs Generaladvokat en uttalelse som presiserer innholdet av kravet til samtykke i personvernforordningen (GDPR). Uttalelsen gir veiledning om et praktisk tema for mange virksomheter.

Et av flere grunnlag virksomheter kan benytte for å legitimere behandling av personopplysninger (f.eks. innsamling, lagring og overføring) er å innhente samtykke fra personen det behandles opplysninger om. For at samtykket skal anses gyldig etter GDPR må det være tale om en frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte personen. Generaladvokatens uttalelse gjelder først og fremst kravene til frivillighet og informasjon.

Uttalelser fra Generaladvokaten er ikke bindende for EU-domstolen, men følges ofte i praksis.

Saken oppsummert

Den aktuelle saken gjelder avtalepraksisen til Orange Romania, en rumensk tilbyder av telekommunikasjonstjenester. Ved inngåelse av abonnementsavtaler ble kopier av kundenes identitetspapirer vedlagt og oppbevart av Orange Romania.

Abonnementsavtalene fastslo at kundene var informert om og hadde samtykket til innsamling og oppbevaring av deres identitetspapirer. Ved kontraktsinngåelsen ble det ble muntlig opplyst om at kunder som ikke ønsket å gi sitt samtykke måtte nedtegne dette med håndskrift på kontrakten. En slik nektelse medførte imidlertid ikke at Orange Romania nektet kundene å inngå abonnementsavtalene.

Den rumenske datatilsynsmyndigheten fant at denne fremgangsmåten var i strid med kravene til samtykke, bøtela Orange Romania og krevde kopiene av identitetspapirene destruert. Saken ble brakt inn for domstolene i Romania som har bedt om en tolkningsavgjørelse fra EU-domstolen. I forberedelsen av saken har Generaladvokaten i sitt forslag til avgjørelse[1] konkludert med at samtykkene hverken var avgitt på en frivillig eller informert måte.

Nærmere om begrunnelsen

Innledningsvis presiserte Generaladvokaten at saken ikke gjaldt hvorvidt kopiering av identitetspapirene kunne baseres på det grunnlag at fremgangsmåten var nødvendig for gjennomføringen av en avtale, ettersom behandlingen ikke var et krav for kontraktsinngåelse. Generaladvokaten uttalte likevel at det kan være legitimt for virksomheter å etterspørre visse personopplysninger fra sine kunder, slik som bevis på deres identitet. Et krav om innhenting og oppbevaring av identitetspapirer gikk imidlertid etter Generaladvokatens oppfatning utøver det som er nødvendig for å inngå en avtale.

Ved vurderingen av samtykke som behandlingsgrunnlag tok Generaladvokaten utgangspunkt i kravet til frivillighet, og viste innledningsvis til at et samtykke må avgis på bakgrunn av en aktiv handling, i motsetning til passiv adferd. Dette er i tråd med EU-domstolens uttalelser i Planet 49-saken (C-673/17) der forhåndsavkryssede avkrysningsbokser på en nettside ikke tilfredsstilte kravet til utvist aktivitet fra kundene.

For Orange Romanias kunder var det imidlertid nektelsen og ikke avgivelsen av samtykke som krevde en aktiv handling. Generaladvokaten uttalte at dersom kunden ved kontraktsinngåelsen settes i en situasjon som oppfattes som et avvik fra normale prosedyrer, vil dette innebære at samtykket ikke kan anses frivillig avgitt. Kundene kan føle seg presset til å samtykke om de opplever at fremgangsmåten ved samtykkenekt ikke er i overenstemmelse med det som er normalt i liknende situasjoner. Videre la Generaladvokaten vekt på at når det ble ansett tyngende for kunder å fjerne forhåndsavkryssede avkrysningsbokser i Planet 49-saken, måtte det også anses tyngende for kunder å nekte samtykke i håndskrevet form.

Generaladvokaten vurderte videre når et samtykke kan anses informert, og presiserte at den registrerte skal være tilstrekkelig informert om alle omstendigheter knyttet til behandlingen av personopplysninger og dennes konsekvenser, herunder om samtykke er et vilkår for kontraktsinngåelsen. Her pekte Generaladvokaten på at Orange Romanias kunder ikke hadde fått informasjon om at abonnementstjenestene kunne inngås på tross av samtykkenekt, hvilket medførte at de ikke var tilstrekkelig informert. Dette innebærer at virksomheter som benytter samtykke som behandlingsgrunnlag må orientere kundene om konsekvensene av å nekte samtykke.

For øvrig klargjorde Generaladvokaten at det er den behandlingsansvarlige som har bevisbyrden for å påvise at den registrerte personen har gitt sitt samtykke til behandlingen av personopplysninger. Virksomheter må derfor sørge for å ha på plass tydelige og etterviselige prosedyrer ved bruk av samtykke som behandlingsgrunnlag.

Saken skal nå behandles av EU-domstolen og avgjørelse kommer trolig i løpet av ett år.

[1] Opinion of Advocate General Szpunar in Orange Romania, case C-61/19. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62019CC0061