Samtycke i kundrelationer – en överskattad lösning

Att behandla personuppgifter med stöd av samtycke verkar intuitivt praktiskt och korrekt – men i praktiken är det ofta fel väg i kommersiella relationer. Höga krav i GDPR gör samtycke till en osäker och svårhanterlig grund.

Enligt artikel 6 i GDPR är samtycke en av flera rättsliga grunder för att behandla personuppgifter. Det händer att företag väljer samtycke ”för säkerhets skull”, särskilt i relationer med kunder. Det kan kännas juridiskt tryggt att ”fråga först” – men just denna reflex leder ofta fel. Samtycke är inte en genväg. Det är en komplex grund med specifika krav som måste uppfyllas i varje enskilt fall. Enligt GDPR måste ett samtycke vara:

• Frivilligt
• Specifikt
• Informerat
• Otvetydigt
• Lätt att återkalla

I praktiken innebär det mer än en kryssruta. Det kräver bland annat:

• Att det inte finns någon form av påtryckning eller beroendeförhållande.
• Att individen har ett verkligt val och inte riskerar negativa följder om den säger nej.
• Att informationen om behandlingen är fullständig, begriplig och tillgänglig.
• Att återkallelse är lika enkel som att ge samtycket.

Faller någon av dessa komponenter bort, är samtycket ogiltigt och därmed saknas en korrekt dokumenterad rättslig grund för den aktuella behandlingen. I sådana fall behandlas personuppgifter utan giltigt stöd i dataskyddsförordningen med allt vad det innebär för ansvar och risk.

Ett klick räcker inte för giltigt samtycke enligt GDPR

Många företag lutar sig mot standardiserade cookie-banners, checkboxar och förformulerade samtyckesformulär. Men tekniska lösningar kan inte kompensera för brister i de juridiska formuleringarna.

Exempel: Ett företag visar en ruta som säger ”Genom att fortsätta använda sidan samtycker du till vår behandling av dina personuppgifter.”

Detta exempel uppfyller varken kravet på otvetydighet eller informerat samtycke. Den registrerade har inte fått tillräcklig information, har inget verkligt val och den personuppgiftsansvariga kan inte visa att samtycke faktiskt getts. Resultatet: samtycket är ogiltigt, även om det finns ett klick eller en logg.

GDPR kräver alltså att det ska kunna bevisas att ett samtycke lämnats. Det räcker inte att påstå att kunden ”samtyckte i samband med ett klick.” Företag måste kunna visa när, hur och till vad samtycke gavs och även att det kan återkallas utan negativa konsekvenser.

Samtycke är ett åtagande – inte en försäkring

Det kan kännas säkert att ”ha ett samtycke på papper”, men det skapar snarare ett ansvar. Den som väljer samtycke som rättslig grund måste även:

• Hålla reda på samtyckets omfattning och säkerställa att den behandling som utförs också täcks av samtycket.
• Hantera återkallelser i praktiken vilket kan bli komplext över tid och i de fall då behandlingen ska stoppas eller personuppgifter raderas efter ett återkallat samtycke.
• Uppdatera texten för samtycken vid förändringar i behandlingen och bara genomföra den nya behandlingen avseende de individer som samtyckt till den uppdaterade texten för samtycke.

I många fall blir detta ett administrativt åtagande för företaget. Risken blir att personuppgifter behandlas i strid med GDPR, trots att syftet från början var att ”göra rätt”.

Avtal och berättigat intresse fungerar i många fall i kundrelationer

I kundrelationer är det vanligt att behandlingen kan stödjas på:

• Avtal (artikel 6.1 b) – exempelvis hantering av beställningar, leverans eller kundsupport.
• Berättigat intresse (artikel 6.1 f) – exempelvis direktmarknadsföring, förebyggande av bedrägerier, affärsutveckling.

Båda dessa grunder ställer också krav, men de är praktiskt hanterbara i kommersiella sammanhang. De är exempelvis inte förenade med att kunden när som helst har en absolut rätt att stoppa den aktuella personuppgiftsbehandlingen och företag slipper därmed hantera osäkerheten kring ändrade samtycken.

Dock krävs det att en s.k. intresseavvägning görs vid användning av berättigat intresse och att informationen till registrerade är tydlig. Dessutom finns en rätt att göra invändningar i relation till behandling som görs med stöd av berättigat intresse. Men jämfört med samtycke innebär det ofta en mer hållbar lösning, när behandlingen i sig själv inte kräver ett samtycke.

Riskerna med ogiltiga samtycken

Om ett företag bygger sin behandling på samtycke – men samtycket är ogiltigt – saknas rättslig grund. Det innebär att behandlingen är olaglig. I värsta fall kan det leda till:

• Förelägganden från IMY.
• Förbud att behandla uppgifterna.
• Böter (administrativa sanktionsavgifter).
• Skadeståndsanspråk från registrerade.

I ljuset av detta är det ofta mer riskabelt att använda samtycke slentrianmässigt än att göra en bedömning av vilka grunder som kan vara aktuella och välja den grund som bäst möter de registrerades och verksamhetens behov och möjligheter. Det är därför avgörande att grunden väljs med omsorg – inte av vana, utan utifrån vad som faktiskt krävs i situationen.

Vad Morling Consulting kan hjälpa till med

Morling Consultings GDPR-jurister hjälper företag att bedöma när samtycke är lämpligt och när andra legala grunder kan vara en bättre lösning. Vi bistår även med att utforma tydlig dokumentation, hantera intresseavvägningar och säkerställa att rättslig grund är korrekt vald och dokumenterad.