Återkallelse av samtycke – vad det innebär i praktiken

Se som Markdown
6 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 20 augusti 2025
  1. Så hanteras återkallelse i system och med rutiner
  2. Vanliga fel vid återkallelse av samtycke – verkliga GDPR-scenarier
  3. Risker med otillräckliga rutiner för samtyckeshantering

Samtycke är en rättslig grund i dataskyddsförordningen (GDPR), men till skillnad från flera andra grunder är det fullt återkalleligt av den registrerade själv. Det innebär att den registrerade när som helst har rätt att ta tillbaka sitt samtycke, utan krav på motivering eller förklaring och då ska den personuppgiftsansvarige sluta med den aktuella behandlingen. För personuppgiftsansvariga innebär detta både tekniska och organisatoriska krav på att hantera samtycken korrekt under hela livscykeln.

Ett korrekt hanterat samtycke kräver mer än att logga att ett kryss satts i en ruta. Det kräver en strukturerad och spårbar process som följer samtyckets hela livscykel – från inhämtning och lagring, till eventuell ändring och återkallelse. Behandlingen behöver omedelbart kunna upphöra när samtycket återkallas, oavsett om det rör intern användning av uppgifterna eller delning med tredje part. För att uppfylla principen om laglighet måste den personuppgiftsansvarige alltid kunna visa vad den registrerade samtyckte till, det vill säga exakt den text och information som presenterades.

Enligt artikel 7.3 i GDPR ska det vara lika enkelt att återkalla ett samtycke som det är att lämna det. Det innebär att samma kanaler, gränssnitt eller processer som används för att inhämta samtycke – exempelvis hemsida, app eller kundtjänst – även bör kunna användas för att dra tillbaka det. Återkallelsen får inte leda till några negativa konsekvenser för den registrerade, exempelvis begränsad tillgång till en tjänst som inte är beroende av den aktuella behandlingen. Organisationer får inte heller försöka förmå de registrerade att behålla sitt samtycke genom svårnavigerade inställningar eller vilseledande språk.

För att efterleva kraven runt ett giltigt samtycke måste organisationer informera om rätten att återkalla samtycke redan i samband med att det inhämtas och ha tydliga rutiner för hur återkallelser tas emot och verkställs. Det ska framgå klart i integritetspolicyn eller i samtyckestexten hur återkallelse sker och vilka konsekvenser det kan få för den registrerade, exempelvis om viss funktionalitet upphör.

Så hanteras återkallelse i system och med rutiner

Att återkalla ett samtycke kräver mer än att bara ta bort en kryssruta i ett system av många. Det handlar om att genomföra ett totalstopp av all behandling som bygger på det aktuella samtycket, oavsett var i organisationens system och processer behandlingen sker. Detta omfattar även att begränsa den tillgång tredje parter kan ha till uppgifterna med stöd av det nu återkallade samtycket och kan även omfatta att uppgifter ska raderas om det inte finns andra syften för vilka de aktuella uppgifternabehandlas.

I praktiken innebär detta en rad tekniska och organisatoriska utmaningar. Behandlingen måste kunna kartläggas, dokumenteras och avbrytas utan dröjsmål. Organisationen behöver därför ha interna processer som:

  • Identifierar och isolerar alla system där behandling som sker på samtycker utförs.
  • Stoppar eventuell efterföljande behandling och eventuell delning till externa parter.
  • Säkerställer att återkallelsen kan verkställas utan eftersläpning, exempelvis med anledning av att det krävs omfattande handpåläggning.

För att detta ska fungera krävs en medveten och strukturerad hantering – både tekniskt och organisatoriskt – där återkallelsen får ett tydligt genomslag i praktiken. Processen bör vara integrerad i hela organisationens dataskyddsarbete, från systemarkitektur till personalutbildning, så att ingen behandling fortsätter av misstag efter att samtycket dragits tillbaka.

Vanliga fel vid återkallelse av samtycke – verkliga GDPR-scenarier

I praktiken brister processen för återkallelse av samtycke ofta på grund av fragmenterade system eller oklara ansvar. Här är några vanliga scenarier – där varje exempel speglar hur bristande samordning kan leda till att personuppgifter fortsätter behandlas trots återkallelse.

  • Isolerade system: En e-handelsplattform låter användare återkalla sitt samtycke via sitt konto, men nyhetsbrev fortsätter ändå skickas. Detta kan bero på att e-postlistorna hanteras i ett separat system utan koppling till e-handelsplattformen.
  • Ingen spårbarhet av uppgifter: Återkallelsen registreras korrekt, men personuppgifter ligger kvar i andra delar av organisationens system. Det kan bero på att det saknas rutiner för att identifiera var uppgifterna finns och hur de ska hanteras.
  • Manuell hantering skapar flaskhalsar: Återkallelser kan behöva tas emot via kundtjänst och hanteras manuellt internt. Det leder till fördröjningar och i värsta fall till att behandlingen fortsätter trots återkallelsen.
  • Svåråtkomlig funktion för återkallelse: Information om hur man återkallar samtycke är undangömd eller skriven på ett sätt som inte är begripligt för användaren. Det strider mot kraven i artikel 7.3 i GDPR.

Det räcker inte med att ha ett formulär för återkallelse – det behöver finnas en process som fungerar i praktiken. Hantering av samtycken måste vara strukturerad, samordnad och tekniskt förankrad i alla delar av organisationen. Annars riskerar återkallelsen att bli en pappersprodukt utan faktisk effekt – och organisationen kan stå utan rättslig grund för fortsatt behandling, vilket utgör ett direkt brott mot GDPR.

Risker med otillräckliga rutiner för samtyckeshantering

Om samtycke inte kan återkallas på ett enkelt sätt, eller om behandlingen fortsätter trots att samtycket dragits tillbaka, riskerar organisationen att bryta mot GDPR. Detta kan leda till sanktionsavgifter, skadeståndsanspråk eller förlorat förtroende från de registrerade/kunderna/medlemmarna.

Att införa robusta rutiner för hantering av samtycken är inte bara en fråga om efterlevnad, utan en förutsättning för tillit. Det skapar transparens gentemot registrerade och visar att organisationen tar personuppgiftsbehandlingen på allvar. Dessutom minskar det risken för misstag och ger bättre förutsättningar att agera snabbt vid granskning eller klagomål.

På Morling Consulting hjälper våra GDPR-jurister organisationer att säkerställa korrekt hantering av samtycke – från inhämtning till återkallelse. Vi arbetar nära våra kunder för att bygga rutiner som håller juridiskt, tekniskt och praktiskt – under hela samtyckets livscykel.

Senaste inlägg

Illustration av processen för efterlevnad av Konsumentkreditlagen 2026 med skärpta krav för kreditgivare, kreditförmedlare och handlare.

15 januari 2026

Ny konsumentkreditlag 2026 – skärpta krav för kreditgivare, kreditförmedlare och handlare
Läs mer
Två jurister granskar ett avtal tillsammans vid ett konferensbord i en ljus, modern miljö som signalerar professionalism, struktur och samarbete.

15 januari 2026

Skriva avtal mellan företag: 8 konkreta tips när du ska skriva på 
Läs mer
Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer