Udtrykkeligt samtykke kræver en aktiv handling fra den registrerede, mens stiltiende samtykke er baseret på passivitet eller manglende handling. Stiltiende samtykke er generelt ikke gyldigt i henhold til GDPR.
Denne vejledning er designet til at give en dybdegående forståelse af, hvad udtrykkeligt samtykke indebærer i dansk kontekst, hvordan det adskiller sig fra andre former for samtykke, og hvilke forpligtelser det pålægger dataansvarlige. Vi vil dække de specifikke krav, sanktioner for manglende overholdelse og fremtidsperspektiver for databeskyttelse i Danmark.
Denne guide er rettet mod virksomheder, juridiske fagfolk og enkeltpersoner, der ønsker at forstå deres rettigheder og forpligtelser i henhold til GDPR og dansk databeskyttelseslovgivning. Med fokus på 2026, vil vi også se på de forventede tendenser og ændringer i reguleringslandskabet.
Udtrykkeligt Samtykke til Data i Danmark: En Dybdegående Guide (2026)
Hvad er Udtrykkeligt Samtykke?
Udtrykkeligt samtykke er den højeste standard for samtykke i GDPR. Det kræver mere end blot en passiv accept eller en standard afkrydsningsboks. Det betyder, at den registrerede aktivt og positivt skal angive deres samtykke til en specifik databehandlingsaktivitet. Det skal være en fri, specifik, informeret og utvetydig indikation af den registreredes ønsker.
Ifølge GDPR artikel 4(11) og art. 7 kræver 'udtrykkeligt samtykke' en bekræftende handling, der viser, at den registrerede har accepteret den specifikke behandling. Dette kan omfatte, men er ikke begrænset til:
- En signeret samtykkeerklæring (fysisk eller elektronisk)
- En afkrydsningsboks, hvor den registrerede aktivt skal markere, at de giver samtykke
- Brug af en 'opt-in' mekanisme, hvor den registrerede aktivt skal vælge at modtage kommunikation eller services
Dansk Lovgivning og Udtrykkeligt Samtykke
Danmark har implementeret GDPR gennem Databeskyttelsesloven (Databeskyttelsesloven). Selvom Databeskyttelsesloven supplerer GDPR, præciserer den ikke specifikt yderligere krav til udtrykkeligt samtykke ud over, hvad GDPR allerede foreskriver. Dog understreger Datatilsynet (Datatilsynet), den danske databeskyttelsesmyndighed, vigtigheden af klarhed og gennemsigtighed i indhentningen af samtykke.
Krav til Udtrykkeligt Samtykke i Danmark
For at et samtykke kan betragtes som udtrykkeligt i henhold til dansk lovgivning, skal følgende krav være opfyldt:
- Frivillighed: Den registrerede skal have et reelt valg. Samtykket må ikke være tvunget eller betinget af ydelser, der ikke er nødvendige for den ønskede behandling.
- Specificitet: Samtykket skal være specifikt for et eller flere bestemte formål. Generelle samtykkeerklæringer er ikke gyldige.
- Informeret: Den registrerede skal have tilstrækkelig information om databehandlingen, herunder formålet, typer af data, modtagere og rettigheder.
- Utvetydighed: Samtykket skal være en klar og utvetydig bekræftende handling. Passivitet eller forudvalgte afkrydsningsbokse er ikke tilstrækkelige.
- Let tilbagetrækning: Den registrerede skal have let adgang til at trække sit samtykke tilbage på samme måde, som det blev givet.
Særlige Kategorier af Data
Udtrykkeligt samtykke er især vigtigt, når der behandles særlige kategorier af data, som defineret i GDPR artikel 9. Dette omfatter oplysninger om race, etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, genetiske data, biometriske data med henblik på entydig identifikation af en fysisk person og oplysninger om helbred eller en fysisk persons seksuelle forhold eller seksuelle orientering. I Danmark er behandlingen af personnummer også underlagt strenge regler.
Ansvar og Forpligtelser for Dataansvarlige
Dataansvarlige i Danmark har en række forpligtelser, når de indhenter og behandler data baseret på udtrykkeligt samtykke:
- Dokumentation: Dataansvarlige skal kunne dokumentere, at samtykket er indhentet i overensstemmelse med GDPR og dansk lovgivning.
- Gennemsigtighed: Dataansvarlige skal give klare og letforståelige oplysninger om databehandlingen.
- Datasikkerhed: Dataansvarlige skal implementere passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne.
- Overholdelse af rettigheder: Dataansvarlige skal respektere de registreredes rettigheder, herunder retten til indsigt, berigtigelse, sletning og begrænsning af behandling.
Sanktioner for Manglende Overholdelse
Manglende overholdelse af GDPR og dansk databeskyttelseslovgivning kan medføre betydelige sanktioner. Datatilsynet kan udstede bøder, påbud og andre administrative sanktioner. Bøderne kan være op til 4% af den globale årlige omsætning eller 20 millioner euro, afhængigt af hvilket beløb der er højest. Derudover kan manglende overholdelse skade virksomhedens omdømme og føre til tab af tillid fra kunder og samarbejdspartnere.
Practice Insight: Mini Case Study – Online Markedsføring
En dansk onlineforhandler af tøj indsamlede data om deres kunders købsvaner og browsingshistorik for at målrette dem med personaliserede reklamer. Oprindeligt brugte de en 'opt-out' mekanisme, hvor kunder automatisk blev tilmeldt markedsføringsmails, medmindre de aktivt afmeldte sig. Efter en klage til Datatilsynet blev virksomheden pålagt at ændre deres praksis. De implementerede en 'opt-in' afkrydsningsboks på deres registreringsside, hvor kunder aktivt skulle give deres udtrykkelige samtykke til at modtage markedsføringsmateriale. Dette førte til et fald i antallet af tilmeldte, men en stigning i engagementet fra de kunder, der faktisk havde givet deres samtykke. Virksomheden oplevede også en forbedring af deres omdømme og øget tillid fra deres kunder.
Data Comparison Table: Samtykketyper
| Samtykketype | Definition | Krav | Anvendelse | Konsekvenser ved Manglende Overholdelse | Eksempel |
|---|---|---|---|---|---|
| Udtrykkeligt Samtykke | En aktiv og utvetydig indikation af samtykke. | Frivillighed, Specificitet, Informeret, Utvetydighed, Let tilbagetrækning. | Behandling af særlige kategorier af data, direkte markedsføring, profilering. | Høje bøder, omdømmetab, påbud fra Datatilsynet. | Afkrydsningsboks til aktivt at give samtykke til modtagelse af markedsføringsmails. |
| Stiltiende Samtykke | Baseret på handlinger eller adfærd, der antyder samtykke. | Utilstrækkeligt i henhold til GDPR. | Ikke tilladt i mange tilfælde under GDPR. | Bøder, påbud, erstatningsansvar. | Forudvalgt afkrydsningsboks, som kræver aktivt fravalg. (Ikke gyldigt) |
| Implicit Samtykke | Samtykke udledt af konteksten eller forholdene. | Kun gyldigt under specifikke omstændigheder, hvor det er klart, at den registrerede har samtykket. | Begrænset anvendelse; kræver nøje vurdering. | Risiko for bøder og påbud, hvis ikke dokumenteret korrekt. | Bruger downloader en fil efter at være blevet informeret om databehandlingen. |
| Informeret Samtykke | Samtykke givet efter at have modtaget tilstrækkelig information om behandlingen | Frivilligt, specifikt, informeret og utvetydigt | Alle former for databehandling, hvor der kræves samtykke | Bøder, påbud, erstatningsansvar. | Acceptere vilkår og betingelser. |
| Samtykke fra børn | Samtykke givet af en forælder eller værge for et barn under 13 år (eller den alder, der er fastsat i den nationale lovgivning). | Verificerbar forældresamtykke, klar og forståelig information. | Indsamling og behandling af børns personoplysninger. | Skærpede sanktioner, påbud, erstatningsansvar. | Forældre udfylder og underskriver en samtykkeerklæring på vegne af deres barn. |
Future Outlook 2026-2030
I perioden 2026-2030 forventes der en øget fokus på automatisering af samtykkehåndtering og brug af kunstig intelligens (AI) til at sikre overholdelse af databeskyttelseslovgivningen. Der vil også sandsynligvis komme nye teknologier og standarder, der kan hjælpe virksomheder med at indhente og administrere samtykke mere effektivt.
Endvidere forventes Datatilsynet at blive endnu mere aktive i håndhævelsen af GDPR og Databeskyttelsesloven. Virksomheder bør derfor være proaktive i at sikre, at deres databeskyttelsespraksis er i overensstemmelse med de nyeste regler og retningslinjer.
International Comparison
Selvom GDPR gælder i hele EU, kan der være forskelle i, hvordan de enkelte medlemsstater fortolker og implementerer lovgivningen. For eksempel har Tyskland (med sin Bundesdatenschutzgesetz (BDSG)) og Frankrig (med sin Commission Nationale de l'Informatique et des Libertés (CNIL)) tendens til at have en mere streng tilgang til databeskyttelse end nogle andre medlemsstater. I Danmark er Datatilsynet kendt for at være pragmatisk, men samtidig fastholder de høje standarder for beskyttelse af personoplysninger.
Expert's Take
Udtrykkeligt samtykke er mere end bare et juridisk krav; det er en grundlæggende respekt for den enkelte borgers rettigheder. Virksomheder, der tager databeskyttelse alvorligt, vil ikke kun undgå bøder og sanktioner, men også opbygge et stærkere tillidsforhold til deres kunder. Fokus bør være på at gøre samtykkeprocessen så gennemsigtig og brugervenlig som muligt. Den fremtidige succes for mange virksomheder vil afhænge af deres evne til at håndtere data ansvarligt og etisk.
Legal Review by Atty. Elena Vance
Elena Vance is a veteran International Law Consultant specializing in cross-border litigation and intellectual property rights. With over 15 years of practice across European jurisdictions, her review ensures that every legal insight on LegalGlobe remains technically sound and strategically accurate.