Två vanliga misstag vid användning av samtycke enligt GDPR

Samtycke är en av sex rättsliga grunder för att behandla personuppgifter enligt dataskyddsförordningen (GDPR). Men samtycke får bara användas när det verkligen är frivilligt, informerat och kan återkallas – annars är behandlingen inte laglig. Trots detta används samtycke ofta slentrianmässigt, utan att ta hänsyn till de strikta krav som faktiskt gäller. Här är två vanliga misstag att undvika:

1. Samtycke används trots att det inte är frivilligt
Om det finns ett beroendeförhållande, exempelvis mellan arbetsgivare och anställd, kan frivilligheten i samtycket ifrågasättas. I sådana fall bör en annan rättslig grund övervägas, exempelvis avtal eller berättigat intresse. Det är viktigt att alltid fråga sig om den registrerade verkligen har ett fritt val – eller om situationen i praktiken innebär att den registrerade bara har ett val.

2. Det går inte att bevisa eller återkalla samtycket
Många organisationer saknar dokumentation som visar att samtycke har getts på ett giltigt sätt. GDPR kräver att samtycke är spårbart och att det är lika enkelt att återkalla som att lämna. Det räcker inte att ha ett kryss i en ruta – organisationen måste kunna visa när, hur och för vilket ändamål samtycke inhämtades. Dessutom måste det finnas tydliga rutiner för hur samtycken hanteras över dess livscykel.

På Morling Consulting hjälper våra GDPR-jurister organisationer att bedöma när samtycke är rätt grund – och att säkerställa att det uppfyller kraven i dataskyddsförordningen. Vi granskar inte bara formulär och texter, utan hela processer kring samtycke – från insamling till eventuell återkallelse.