Samtycke som rättslig grund - ett undantag mer än en regel

En vanlig missuppfattning är att personuppgiftsbehandling alltid kräver ett samtycke från den registrerade. I själva verket är samtycke ofta varken nödvändigt eller lämpligt. Det är bara en av flera rättsliga grunder i GDPR – och i praktiken bör det ses som ett undantagsfall.

Det är först när ingen annan rättslig grund passar som samtycke kan vara ett alternativ. Men även då finns det strikta krav på hur samtycket ska utformas och dokumenteras för att vara giltigt.

Vad är samtycke enligt GDPR?

Samtycke innebär att en individ frivilligt, informerat och tydligt har sagt ja till att dennes personuppgifter får behandlas. Enligt artikel 4.11 i GDPR definieras samtycke som en:

“frivillig, specifik, informerad och otvetydig viljeyttring [...] genom ett uttalande eller en entydig bekräftande handling”.

Det innebär bland annat att:

• Samtycke ska vara aktivt – det räcker inte med en förifylld ruta.

• Personen måste ha fått tillräcklig information.

• Det måste vara frivilligt och utan påtryckning.

Fyra villkor för att samtycke ska vara giltigt

1. Ingen beroendeställning får finnas

I skäl 43 till GDPR står det att om det föreligger en betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, så kan samtycket bedömas som ogiltigt. Anledningen till detta är att den registrerade trots allt inte upplevt situationen som frivillig.

Särskilt vanligt är det när den personuppgiftsansvarige är en myndighet eller den registrerades arbetsgivare. Individen får inte vara i en beroendeställning till den som begär samtycket. Detta till trots så är det inte omöjligt för en myndighet eller en arbetsgivare att använda samtycke – men det måste stå helt klart för den registrerade att valet är fritt och att det inte kommer att få framtida konsekvenser vad gäller hens förhållande till myndigheten/arbetsgivaren.

2. Valmöjligheter måste erbjudas

För att samtycket ska vara giltigt, ska den registrerade ha fått valmöjligheter om så behövs. Om det är flera ändamål som den personuppgiftsansvarige ber om samtycke för, ska det finnas möjlighet att ge separata samtycken för de olika behandlingarna. Det ska alltså vara möjligt att acceptera vissa ändamål men inte andra. Detta gäller inte i alla situationer, men när det är lämpligt. Det framgår av artikel 7.2 i GDPR och skäl 43.

3. Samtycke får inte vara ett krav för tjänsten

Det behövs inte något samtycke för att registrera sådana uppgifter som är nödvändiga för att kunna leverera en tjänst till en kund. Samtycket får tvärtom inte vara en obligatorisk del av avtalsvillkor i till exempel ett tjänsteavtal. Det är inte tillåtet att kräva att någon, för att exempelvis få ta del av en tjänst, ska lämna samtycke till behandling av sådana uppgifter som faktiskt inte krävs för att leverera tjänsten.

4. Tydlig och tillräcklig information krävs

Den som samtycker ska ha fått all information om behandlingen av personuppgifter som behövs för att hen ska kunna förstå förutsättningarna och göra ett genomtänkt val. Den registrerade ska förstå att hen har samtyckt till någonting, och vad hen har samtyckt till. Den personuppgiftsansvarige ska exempelvis alltså  inte gömma samtycken i långa villkorstexter. 

Den grundläggande principen om öppenhet gör att den personuppgiftsansvarige alltid måste informera tydligt om vad man avser att göra med de personuppgifter som man samlar in, och inte får undanhålla sådan information. Det gäller oavsett vilken rättslig grund behandlingen grundar sig på.

Samtycke kräver struktur och dokumentation