Att få samtycke kan verka enkelt: du frågar, någon säger ja – och du behandlar personuppgifterna. Men enligt GDPR ställs långtgående krav. Många organisationer använder samtycke utan att förstå vad det faktiskt innebär. Konsekvensen? Ogiltig behandling, krav på radering, tillsyn – eller i värsta fall sanktionsavgifter och enskilt skadestånd.
I den här artikeln förklarar vi vad som krävs för att ett samtycke ska vara giltigt, hur du samlar in det på rätt sätt – och hur du dokumenterar det så att du står starkt vid en tillsyn av IMYY.
För att ett samtycke ska vara giltigt enligt GDPR, måste det:
Hur länge ett samtycke gäller beror på vad det lämnades för. Det är därför smart att redan från början vara tydlig med varaktigheten – och regelbundet påminna användaren om både att de har lämnat sitt samtycke och att de kan ta tillbaka det när som helst.
Det räcker inte att någon klickar ”jag godkänner”. Samtycket måste vara verkligt frivilligt. Om det finns ett beroende, ett maktövertag eller en upplevd press – då är samtycket ogiltigt.
Exempel: En användare får inte nekas åtkomst till en tjänst om de inte går med på att deras uppgifter används för marknadsföring. Då har de i praktiken inget val, och samtycket är inte giltigt.
Det här är särskilt viktigt för offentliga aktörer och arbetsgivare – där det finns en naturlig obalans i relationen.
Användaren ska veta exakt vad de tackar ja till. Därför räcker det inte med en allmän kryssruta för allt. Vill du använda uppgifter både för nyhetsbrev och för profilering? Då behövs två separata samtycken.
Du får heller inte använda ett samtycke till ett nytt syfte senare. Vill du ändra behandlingen – måste du be om nytt samtycke.
För att ett samtycke ska vara giltigt, måste informationen vara:
Du behöver informera om:
Den här informationen ska ges i tillägg till den vanliga informationen enligt artikel 13 och den får inte gömmas i långa användarvillkor eller allmänna avtal.
Samtycke ska alltid ges genom en aktiv bekräftelse. Det räcker inte att användaren låter en förifylld ruta stå kvar.
Giltigt samtycke kan t.ex. lämnas genom att:
Samtycke får heller aldrig blandas ihop med godkännande av andra villkor – det ska vara separat.
Att be om samtycke får inte störa användarens upplevelse. Ett vanligt problem är att användaren måste godkänna mer än nödvändigt för att kunna använda tjänsten. Då är samtycket ogiltigt.
Det finns inga formkrav – samtycke kan ges muntligt, skriftligt eller digitalt. Det viktiga är att du kan bevisa det i efterhand.
För att kunna stödja dig på samtycke måste du kunna visa:
I digitala system räcker ofta teknisk loggning – men utan att samla in mer data än nödvändigt. Du får t.ex. inte kräva namn eller inloggning bara för att kunna logga ett samtycke.
GDPR kräver att samtycke ska kunna återkallas när som helst, och det ska vara minst lika enkelt att ta tillbaka det som att lämna det.
Återkallelsen ska helst ske i samma kanal. När det sker, ska du omedelbart avsluta behandlingen – och i regel radera uppgifterna, om du inte har någon annan giltig laglig grund.
Om samtycket dras tillbaka eller visar sig ogiltigt, kan du inte plötsligt hänvisa till exempelvis berättigat intresse istället. Det strider mot GDPR:s krav på öppenhet och förutsägbarhet.
En e-butik vill använda kunders köpbeteende för riktade kampanjer. I köpprocessen finns en förhandsifylld ruta som kunden låter vara – och genomför köpet.
Detta är inte ett giltigt samtycke eftersom:
Om butiken ändå använder datan till marknadsföring bryter de mot GDPR.
I vissa fall måste samtycke lämnas på ett mer formellt sätt, t.ex. om du:
Då kan det krävas starkare verifiering – t.ex. signatur eller inloggning med e-legitimation.
Inom forskning är det inte alltid möjligt att definiera syftet helt i förväg. GDPR tillåter därför bredare samtycken – så länge syftet är tydligt beskrivet.
Ju känsligare uppgifter som behandlas, desto större krav ställs på information och åtgärder. Exempel:
Även i forskningsprojekt kan deltagare när som helst återkalla sitt samtycke, och då ska uppgifterna raderas eller anonymiseras.
Om du riktar en digital tjänst till barn under 13 år, måste samtycket komma från vårdnadshavare. Du behöver ha rimliga rutiner för att säkerställa att det verkligen är en förälder som godkänner.
Tänk också på att åldersgränsen varierar mellan EU/EES-länder. Om du är verksam i flera länder, behöver du anpassa dig efter lokal lagstiftning.
Att följa samtyckeskraven i GDPR handlar inte bara om tekniska lösningar – det handlar om tydlighet, struktur och ansvar.
En central orsak till utmaningar är ofta kunskapsluckor hos systemägare och interna nyckelpersoner. Många med ansvar för system och databehandling saknar helt enkelt nödvändig insikt i GDPR-kraven. Detta gör det krävande att dokumentera och bedöma samtyckesbehandlingarna korrekt, och kan leda till de misstag som beskrivits tidigare i artikeln.
Med Privacy as a Service får ni:
Vill du se hur det fungerar i praktiken?
Boka en demo och få kontroll på samtyckeshanteringen – utan att det tar onödig tid.