Samtycke

Våra jurister bedömer när samtycke kan användas och hur det bör utformas enligt GDPR

KONTAKTA OSS

Vi förklarar – vad innebär samtycke?

Samtycke är en rättslig grund enligt artikel 6.1 a i GDPR. Det innebär att den registrerade frivilligt, specifikt, informerat och otvetydigt samtycker till behandlingen av sina personuppgifter. För vissa typer av känsliga personuppgifter krävs dessutom uttryckligt samtycke enligt artikel 9 GDPR.

Samtycke är vanligt vid marknadsföring, kundundersökningar och digitala tjänster där individen själv kan välja om den vill delta eller inte. Det är dock viktigt att komma ihåg att samtycke kan återkallas när som helst och att fortsatt behandling då måste upphöra om ingen annan rättslig grund finns.

När blir frågan om samtycke aktuell?

Samtycke används när ingen annan rättslig grund är tillämplig eller när lag uttryckligen kräver det. Det är särskilt vanligt inom digital marknadsföring, e-postutskick, nyhetsbrev, användning av cookies och vid publicering av bilder på personer.

Exempelvis kräver ePrivacy-reglerna samtycke för att lagra eller få åtkomst till information på en användares enhet, vilket inkluderar cookies som inte är strikt nödvändiga.

Två jurister i kostym står framför ett stort dokument på ljus bakgrund. Den ena personen pekar på en rund knapp med en vit bock i röd-orange färg, som symboliserar samtycke. Designen är i Material Design-stil med platta färger och utan ansiktsdetaljer.

Att tänka på kring samtycke

För att samtycke ska vara giltigt enligt GDPR behöver organisationen säkerställa följande punkter:

  • Samtycket ska vara frivilligt – det får inte vara tvingande eller villkorat på ett osakligt sätt.
  • Samtycket ska vara specifikt och omfatta ett tydligt angivet syfte.
  • Den registrerade ska vara informerad om hur uppgifterna används.
  • Samtycket ska vara otvetydigt och lämnas genom en aktiv handling.
  • För känsliga uppgifter krävs uttryckligt samtycke.
  • Det ska vara lika enkelt att återkalla som att lämna samtycke.
  • Organisationen ska dokumentera när, hur och för vilket syfte samtycke lämnats.

Att följa dessa principer minskar risken för att samtycket anses ogiltigt vid en granskning av tillsynsmyndigheten.

Samtycke

Varför är samtycke viktigt?

Samtycke är centralt för att ge individer kontroll över sina personuppgifter och stärker transparensen i hur uppgifter behandlas. Det är sällan den mest användarvänliga grunden, eftersom kraven är omfattande men fyller sitt syfte när andra rättsliga grunder inte är lämpliga.

Samtycke är en av de mest missförstådda rättsliga grunderna. Många organisationer använder det där en annan rättslig grund hade varit mer lämplig, vilket kan leda till onödiga juridiska risker. Eftersom samtycke kan återkallas när som helst kräver det en plan för hur behandlingen ska avslutas om grunden faller bort.

Ur ett förtroendeperspektiv visar ett korrekt hanterat samtycke att organisationen respekterar individens självbestämmande och integritet, vilket kan stärka kundrelationer och varumärke.

Vanliga frågor och svar om samtycke

Samtycke är en frivillig, specifik, informerad och otvetydig viljeyttring där individen godkänner behandlingen av sina personuppgifter.

Samtycke behövs när ingen annan rättslig grund är tillämplig eller när lag uttryckligen kräver det, exempelvis vid vissa marknadsföringsåtgärder och användning av cookies enligt ePrivacy-direktivet.

Ett giltigt samtycke ska:

  • Vara frivilligt.
  • Vara specifikt för ett visst syfte.
  • Vara informerat.
  • Ges genom en aktiv handling.

Begreppet uttryckligt samtycke innebär ett högre krav än vad som normalt gäller för samtycke. Hur detta implementeras i praktiken bör värderas från fall till fall, men innebär som utgångspunkt att de relevanta kategorierna av personuppgifter ska framgå.

Ja, samtycke kan återkallas när som helst och organisationen måste då upphöra med behandlingen om ingen annan rättslig grund finns.

Organisationen bör bland annat:

  • Registrera tidpunkt och sätt för samtyckets lämnande.
  • Ange syftet och informationen som gavs vid samtycket.
  • Spara beviset på ett säkert och spårbart sätt.

Läs mer om våra tjänster

GDPR-jurist

Ta hjälp av Morling Consultings GDPR-jurister när frågor om personuppgifter behöver drivas affärsnära med tydlig kontroll på risk. Vi stöttar i styrning, avtal, informationsgivning och biträden, så att organisationen håller linjen mot registrerade och IMY.

Konsekvensbedömning

Vi tar fram er konsekvensbedömning när en behandling kan innebära hög risk och ett beslutsunderlag krävs. Vi genomför DPIA, identifierar risker och tar fram åtgärder och dokumentation, så att bedömningen blir spårbar och redo vid granskning.

Incidenthantering

Morling Consulting stödjer vid incidenthantering när en personuppgiftsincident behöver hanteras snabbt och korrekt. Vi leder bedömning, åtgärdsplan och dokumentation, inklusive underlag för anmälan och kommunikation, så att verksamheten agerar samlat och minskar följdskador.

Kontakt

Porträtt av Felix Morling, jurist och legal consultant, kontakta oss för rådgivning.
Felix Morling

Prata med en GDPR-jurist

Vill du bedöma om samtycke är rätt väg? Hör av dig så tar vi det vidare

*” anger obligatoriska fält