Samtykke i henhold til databeskyttelsesforordningen artikel 6, stk. 1, litra a, er et af flere mulige behandlingsgrundlag, hvorefter lovlig behandling kan ske.
Databeskyttelsesforordningens artikel 7 indeholder en række betingelser, som skal være opfyldt, for at et samtykke kan anses for gyldigt. En af disse betingelser er i henhold til bestemmelsens stk. 1, at man som dataansvarlig kan påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger. Denne betingelse ligger i tråd med forordningens generelle krav om ansvarlighed, som også kommer til udtryk i databeskyttelsesforordningens artikel 5, stk. 2, og artikel 24, der ligeledes stiller krav til den dataansvarliges evne til at påvise overholdelsen af forordningens regler.
Forpligtelsen til at påvise overholdelsen af databeskyttelsesforordningens regler, herunder at den registrerede har givet samtykke til behandling af sine personoplysninger, må imidlertid ses i sammenhæng med forordningens øvrige regler, herunder forordningens artikel 5, som bl.a. stiller krav om dataminimering og opbevaringsbegrænsning, og forordningens artikel 11. Af databeskyttelsesforordningens artikel 11, stk. 1, følger det, at hvis formålene med den dataansvarliges behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde denne forordning.
Betingelsen i databeskyttelsesforordningens artikel 7, stk. 1, gælder derfor kun så længe behandlingen pågår. Efter behandlingsaktivitetens ophør – f.eks. fordi den registrerede har trukket sit samtykke tilbage – gælder der således ikke nogen forpligtelse til at kunne påvise, at der var indhentet et samtykke fra den enkelte registrerede ved at opbevare det afgivne samtykke eller personoplysninger behandlet på baggrund heraf.
Databeskyttelsesforordningens generelle krav om påvisning i artikel 5, stk. 2, og artikel 24 stiller heller ikke krav om, at der opbevares en kopi af det afgivne samtykke eller personoplysninger behandlet på baggrund heraf, idet disse krav i stedet bør opfyldes ved såkaldt systemdokumentation, der dækker over dokumentation for procedurerne omkring indhentelsen af samtykket, f.eks. hvilke oplysninger den registrerede fik forelagt på tidspunktet for samtykkets afgivelse, og dokumentation for at fremgangsmåden opfyldte alle kriterier for et gyldigt samtykke.
Konsekvensen heraf er derfor også, at personoplysninger behandlet på baggrund af den pågældendes samtykke, herunder selve samtykket, som udgangspunkt skal slettes i umiddelbar forlængelse af behandlingsaktivitetens ophør jf. databeskyttelsesforordningens artikel 5, stk. 1, litra e, og artikel 17, stk. 1, litra b. Af sidstnævnte bestemmelse følger således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a, eller artikel 9, stk. 2, litra a, tilbage, og der ikke er et andet retsgrundlag for behandlingen.
En undtagelse hertil er imidlertid, jf. databeskyttelsesforordningens artikel 17, stk. 3, litra e, hvis den fortsatte behandling af personoplysninger, herunder et afgivet samtykke, er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.
At den fortsatte behandling af personoplysninger skal være nødvendig indebærer, at der skal foreligge en aktuel interesse i at opbevare oplysningerne. Den blotte omstændighed, at oplysningerne kunne være rare at have ”for en sikkerheds skyld” kan derfor ikke i sig selv begrunde en fortsat opbevaring.
Det kan derfor være nødvendigt som dataansvarlig at opbevare personoplysninger til dokumentation i en begrænset periode med henblik på at afklare, om der måtte foreligge eller opstå en tvist. Hvor længe denne periode kan være må afgøres konkret, i hvilken forbindelse det skal tillægges særlig betydning, hvor længe efter behandlingsaktivitetens ophør, der sandsynligvis, herunder erfaringsmæssigt, vil kunne opstå en tvist.
Det vil derimod ikke være i overensstemmelse med nødvendighedskravet at opbevare oplysninger, hvis der alene foreligger en hypotetisk interesse i at opbevare personoplysninger. Det vil f.eks. være tilfældet, hvis man alene – og uden baggrund i konkrete forhold – opbevarer personoplysninger, fordi der i fremtiden ville kunne blive indgivet en klage eller lignende. Generelle forældelsesfrister kan derfor ikke i sig selv begrunde, at man ikke sletter personoplysninger.
Til illustration af ovenstående kan nævnes sagen om SmartResponses behandling af personoplysninger, hvor Datatilsynet fandt, at en opbevaringsperiode på 5 år, som er fastsat på baggrund af forældelsesfristen i databeskyttelseslovens § 41, stk. 7, ikke er i overensstemmelse med nødvendighedskravet i forordningens artikel 5, stk. 1, litra e, idet den blotte mulighed for, at en straffesag i fremtiden vil kunne blive rejst, ikke berettiger eller nødvendiggør, at personoplysninger opbevares i 5 år.