Ogiltigt samtycke enligt GDPR – vanliga misstag och hur du undviker dem

Se som Markdown
3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 2 september 2025
  1. När, hur och varför ett samtycke måste dokumenteras

Samtycke enligt GDPR ska vara frivilligt, informerat, specifikt och otvetydigt. Om dessa krav inte uppfylls är samtycket ogiltigt och personuppgiftsbehandlingen saknar därmed rättslig grund. Det innebär att behandlingen i sig kan vara olaglig, även om begreppet samtycke använts i avtal eller en checkbox.

Ett vanligt misstag är att förlita sig på samtycke utan att säkerställa att personen faktiskt haft ett verkligt val och kunnat ta ett informerat beslut. Att säkerställa ett verkligt val gäller särskilt i relationer med inbyggd obalans, exempelvis mellan arbetsgivare och anställd, eller när samtycket är ett villkor för att få tillgång till en tjänst – något som i praktiken gör samtycket tvingande. Att säkerställa ett informerat beslut gäller särskilt när behandlingen är komplex och svårbeskriven eller när syftet inte är tydligt definierat innan samtycket inhämtas.

Exempel på ogiltigt samtycke enligt GDPR:

  • Samtycke ges utan tillräcklig information om vad det omfattar.
  • Den registrerade upplever att det inte finns något verkligt alternativ till att lämna samtycket.
  • Det saknas en tydlig möjlighet att återkalla samtycket.

Att bara ha en checkbox för samtycke är alltså inte tillräckligt. Det krävs att samtycket håller juridiskt vid en granskning – annars kan det leda till böter, skadat förtroende och i värsta fall ett föreläggande att upphöra med behandlingen.

När, hur och varför ett samtycke måste dokumenteras

Granska hur ni samlar in samtycken. Finns det en verklig möjlighet att säga nej? Får individen all relevant information? Är det lätt att återkalla samtycket? Om svaret är nej på någon av dessa frågor är det dags att se över rutinerna.

Att ha dokumentation på plats är också avgörande. Ni bör kunna visa exakt när, hur och under vilka förutsättningar ett samtycke inhämtades. Det räcker inte med en kryssruta – det måste framgå av dokumentationen vad individen samtyckt till. Dessutom bör ni regelbundet följa upp och vid behov uppdatera samtycken, särskilt om behandlingen ändras.

Glöm inte att ett samtycke kan förlora sin giltighet över tid. Att arbeta proaktivt med dessa frågor minskar risken för tillsynsåtgärder och stärker tilliten hos de personer vars personuppgifter behandlas. Samtycke ska inte bara finnas – det ska följa en rad krav som framgår av GDPR.

På Morling Consulting hjälper våra dataskyddsjurister företag att identifiera rätt rättslig grund och undvika att behandling sker i strid med GDPR. Vi erbjuder konkret stöd, riskanalyser och praktiska lösningar för att säkerställa att er personuppgiftsbehandling är laglig, genomtänkt och hållbar.

Senaste inlägg

Illustration av processen för efterlevnad av Konsumentkreditlagen 2026 med skärpta krav för kreditgivare, kreditförmedlare och handlare.

15 januari 2026

Ny konsumentkreditlag 2026 – skärpta krav för kreditgivare, kreditförmedlare och handlare
Läs mer
Två jurister granskar ett avtal tillsammans vid ett konferensbord i en ljus, modern miljö som signalerar professionalism, struktur och samarbete.

15 januari 2026

Skriva avtal mellan företag: 8 konkreta tips när du ska skriva på 
Läs mer
Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer