När krävs samtycke och när bör det undvikas?

2 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 11 november 2025

Samtycke är en av flera rättsliga grunder för personuppgiftsbehandling enligt GDPR, men ofta finns en grund som passar bättre för den behandling som ska utföras. I vissa fall är dock samtycke enda tillgängliga grund – i andra bör det undvikas, även om det i teorin skulle kunna användas.

Samtycke är ett sista alternativ när ingen annan rättslig grund är tillämplig, exempelvis vid marknadsföring via e-post till konsumenter eller behandling av känsliga personuppgifter i vissa forskningsprojekt. Samtycke bör undvikas när:

  • Det finns ett beroendeförhållande som gör att samtycket inte kan anses frivilligt (exempelvis i anställningsförhållanden).
  • Behandlingen ändå är nödvändig för att fullgöra avtal eller rättsliga skyldigheter.
  • Det finns en annan tillämplig legal grund, exempelvis berättigat intresse eller rättslig förpliktelse.

Ett vanligt misstag är att samla in samtycken ”för säkerhets skull”, trots att behandlingen egentligen kan baseras på en annan rättslig grund. Detta skapar onödigt arbete eftersom samtycken behöver hanteras, dokumenteras och i värsta fall återkallas. Företaget riskerar också att stå utan giltig grund om samtycket dras tillbaka och det inte finns en alternativ laglig grund att falla tillbaka på. Därför bör samtycke bara användas när den personuppgiftsansvarige verkligen kan upphöra med behandlingen om samtycket återkallas.

För att säkerställa att rätt grund används bör organisationen dokumentera beslutet om rättslig grund för varje behandlingsändamål. Det är också viktigt att informera de registrerade på ett tydligt sätt om vilken grund som tillämpas. En välgrundad och korrekt vald rättslig grund minskar risken för brister vid en eventuell granskning av Integritetsskyddsmyndigheten. Det stärker även förtroendet hos kunder och medarbetare.

Att använda samtycke utan att det är nödvändigt ökar den administrativa bördan och risken för att behandlingen ifrågasätts, eftersom kraven på ett giltigt samtycke är högt ställda och ger den registrerade mer omfattande kontroll än andra rättsliga grunder.

På Morling Consulting hjälper våra GDPR-jurister organisationer att välja rätt rättslig grund för varje behandling – och undvika onödiga risker.

Senaste inlägg

Två personer skakar hand över ett avtal.

12 december 2025

Så vet du när du behöver stöd av en affärsjurist
Läs mer
tre personer står över ett bord och diskuterar något som finns på en datorskärm.

12 december 2025

När det känns som att GDPR tar all fokus – hyr in en konsult
Läs mer
Bilden visar tre personer i kostym sitter och diskuterar ett dokument.

9 december 2025

Så påverkar penningtvättslagen finansiell reglerad verksamhet
Läs mer