Vad krävs för att ett samtycke enligt GDPR ska vara giltigt?

För att ett samtycke ska vara giltigt måste det vara frivilligt, specifikt, informerat och otvetydigt, samt lämnas genom en tydlig bekräftande handling. Våra GDPR-jurister hjälper er att utforma samtycken och processer som uppfyller kraven och går att bevisa i efterhand.

Hur dokumenterar vi samtycken på ett korrekt sätt?

Ni måste kunna visa att samtycket lämnats i enlighet med GDPR, oavsett om det ges skriftligt, muntligt eller elektroniskt, och kunna koppla det till personen samt när och hur det gavs och till vad. Vi hjälper er att ta fram rutiner och systemstöd för dokumentation och för att det ska vara lika enkelt att återkalla som att lämna samtycke.

Vad händer om ett samtycke återkallas?

Om samtycket återkallas måste den behandling som baseras på samtycket upphöra och ni behöver ha en fungerande process för att hantera återkallelser. Vi hjälper er att bygga rutiner som säkerställer korrekt stopp, spårbarhet och information till den registrerade.

Samtycke GDPR

Våra GDPR-jurister bedömer samtycke, utformar texter och säkerställer giltig legal grund

KONTAKTA OSS

Giltigt GDPR-samtycke

Att utforma ett giltigt GDPR-samtycke är avgörande för att säkerställa att verksamhetens processer följer dataskyddsförordningen (GDPR). Kraven är omfattande och bredare än att ett samtycke för personuppgiftsbehandling ska dokumenteras, exempelvis i skriftlig form. När den lagliga grunden för en viss personuppgiftsbehandling är samtycke innebär det att verksamheten behöver ha processer som säkerställer efterlevnad av de krav som kommer med att tillämpa den legala grunden samtycke.

Samtycke är en av sex lagliga grunder för behandling av personuppgifter och regleras i GDPR. Det kan vara den starkaste och enda legala grunden som är tillgänglig, men det är ofta lämpligt att utvärdera om någon annan legal grund också kan vara tillämplig. Att välja en annan legal grund, exempelvis avtal eller legitimt intresse, kan innebära förenklade eller mer ändamålsenliga processer i verksamheten. Exempel på samtycke enligt GDPR är att det ofta används som legal grund inom områden som marknadsföring och publicering av bilder.

Morling Consulting är specialiserad på integritetsfrågor och GDPR, och vi erbjuder skräddarsydd rådgivning för att hjälpa er att identifiera den mest lämpliga legala grunden för era behov. Om ni väljer att förlita er på samtycke, ger vi råd om hur det kan utformas på ett sätt som är korrekt och uppfyller kraven enligt GDPR.

I denna text beskriver vi vad som krävs för att ett GDPR-samtycke ska vara giltigt, vilka fördelar och risker som finns med att använda samtycke som legal grund samt hur ni kan dokumentera och hantera samtycken på ett rättsligt säkert sätt.

Samtycke i praktiken

Vi identifierar vilka behandlingar som idag bygger på samtycke och var i flödena samtycke inhämtas så att arbetet får rätt omfattning från start.
Vi översätter GDPR:s krav till konkreta processer för presentation och inhämtning av information och loggning så att ni kan visa i efterhand vad som accepterats och när.
Ni får ett beslutsunderlag där samtycke ställs mot andra möjliga lagliga grunder och där konsekvenserna för era processer blir tydliga innan ni beslutar design och systemstöd.
Vi tar fram formuleringar, mallar och rutiner för inhämtning och återkallelse samt kopplar det till praktiska arbetssätt i verksamheten.
Vi sätter upp en enkel modell för uppföljning där samtycken hålls aktuella över tid och där ändringar i ändamål, kanaler eller verktyg fångas upp innan de blir en risk.

Stilren arbetsyta sedd uppifrån med laptop, anteckningsblock och två juristklädda händer som ramar in ett tomt papper som symboliserar avgränsning och mål.

Vi identifierar vilka behandlingar som idag bygger på samtycke och var i flödena samtycke inhämtas så att arbetet får rätt omfattning från start.

Närbild på whiteboard med pilar och neutrala markörer som visar dataflöden, jurist placerar markör.

Vi översätter GDPR:s krav till konkreta processer för presentation och inhämtning av information och loggning så att ni kan visa i efterhand vad som accepterats och när.

Lugnt mötesbord med tre neutrala korthögar och en penna som markerar prioritering; två jurister i bakgrunden utan ansiktsdrag.

Ni får ett beslutsunderlag där samtycke ställs mot andra möjliga lagliga grunder och där konsekvenserna för era processer blir tydliga innan ni beslutar design och systemstöd.

Jurist bläddrar i pärm med flikar vid laptop och ifylld checkruta i tomt formulär, vilket signalerar dokumentation och genomförande.

Vi tar fram formuleringar, mallar och rutiner för inhämtning och återkallelse samt kopplar det till praktiska arbetssätt i verksamheten.

Jurist placerar en neutral symbol på en stapel mappar framför en kalender utan text, vilket illustrerar styrning och återkommande uppföljning.

Vi sätter upp en enkel modell för uppföljning där samtycken hålls aktuella över tid och där ändringar i ändamål, kanaler eller verktyg fångas upp innan de blir en risk.

Utforma samtycken som håller

Ett samtycke ska bland annat vara informerat, frivilligt och lätt att återkalla. Säkerställ att era processer kopplar samtycken till lagring, dokumentation och tydlig information. Använd länkarna för att läsa mer om våra olika arbetsområden inom GDPR.

Dataskyddsombud

GDPR-jurist

Lagringstid personuppgifter

GDPR-utbildning

Bilden visar en man i kostym som pekar på ett dokument på en skärm.

Hjälp med samtycke enligt GDPR

Hos Morling Consulting har vi omfattande erfarenhet av att hjälpa företag med hantering av samtycken under GDPR:s strikta krav. Våra GDPR-konsulter arbetar tillsammans med er för att identifiera era specifika behov och ta fram praktiska lösningar som passar i er verksamhet. Vi erbjuder både strategisk rådgivning och operativt stöd för att underlätta era processer.

Tveka inte att kontakta oss för ett inledande möte. Vi hjälper er att skapa trygghet och att säkerställa att ni kan fokusera på er kärnverksamhet. Våra tjänster inom GDPR omfattar:

Utformning och granskning av samtycken, exempelvis framtagande av en GDPR-blankett för samtycke.
Utformning och granskning av mallar för samtycke.
Juridisk rådgivning kring val av laglig grund.
Dokumentation av samtycken.
Kravställning av system för samtyckeshantering.
Utbildning för personal om GDPR och de legala grunderna.

GILTIGT SAMTYCKE

Mall för samtycke GDPR

En korrekt utformad mall för samtycke enligt GDPR kan vara ett värdefullt verktyg för att underlätta regelefterlevnad. Det är dock viktigt att komma ihåg att en mall måste anpassas efter era specifika förhållanden. Ett samtycke ska alltid vara frivilligt, specifikt, informerat och otvetydigt. Detta innebär exempelvis att det ska framgå tydligt vad personen samtycker till och att denne ska kunna lämna sitt samtycke utan någon form av påtryckning.

Morling Consulting har mallar för samtycke enligt GDPR som är särskilt framtagna för olika ändamål. Vi ser till att samtyckesmallen anpassas till GDPR:s krav och till er verksamhet och innehåller all nödvändig information, inklusive:

Ändamålet för behandlingen av personuppgifterna.
Identiteten på den personuppgiftsansvarige.
Information om den registrerades rättigheter, inklusive rätten att återkalla sitt samtycke.
En tydlig och enkel process för att samtycka eller dra tillbaka sitt samtycke.

GDPR samtycke exempel: Ett praktiskt exempel på GDPR-samtycke kan vara om ett företag vill samla in e-postadresser för att skicka ut marknadsföring. I formuläret där e-postadressen samlas in kan texten inkludera:

“Jag samtycker till att ta emot marknadsföring om [produkt] från [företagsnamn]. Jag kan återkalla detta samtycke när som helst. Läs mer i [företagsnamns] personuppgiftspolicy.”

Vi rekommenderar dock att den slutliga utformningen av texten för samtycket alltid granskas av en GDPR-jurist innan det används. Detta för att säkerställa att utformningen i det enskilda fallet, och för er användning, lever upp till GDPR:s krav.

Två personer klädda formellt står framför en whiteboard på vilken de presenterar med hjälp av en check symbol.

GDPR skriftligt samtycke

Ett vanligt missförstånd är att GDPR kräver att samtycke ska vara skriftligt. Faktum är att samtycke kan lämnas muntligt, skriftligt eller elektroniskt, men det är avgörande att det dokumenteras och kan bevisas i efterhand. Att enbart får ett informellt ”ja” i ett samtal är inte tillräckligt, den personuppgiftsansvarige måste kunna visa att samtycket uppfyller kraven på att vara:

Frivilligt: Personen ska inte känna sig tvingad att samtycka, exempelvis för att få genomföra ett köp i en klädesbutik.
Specifikt: Det måste vara klart och tydligt vad samtycket omfattar.
Informerat: Personen ska få tillräcklig information för att fatta ett informerat beslut.
Otvetydigt: Samtycket ska ges genom en tydlig bekräftande handling, exempelvis en signatur eller en checkbox.

GDPR avtal samtycke: Ett praktiskt exempel på när skriftligt samtycke inte alltid behövs är vid användning av köpta bilder. I dessa fall kan ibland ett modellavtal användas. Detta eftersom GDPR har fler legala grunder och om det finns ett sådant avtal kan den legala grunden istället vara avtalet och det kan därmed gå att publicera bilder utan samtycke enligt GDPR. Ett sådant GDPR-avtal kan vara lämpligare än att få ett samtycke till publicering av bilder eftersom publiceringen annars måste upphöra om samtycket återkallas.

GDPR-säkrad hantering av samtycken

Vi hjälper er att skapa lösningar för att dokumentera samtycken. Detta kan inkludera att utforma system för att lagra skriftliga, muntliga eller elektroniska samtycken, samt att utforma processen för att återkalla samtycken då GDPR ställer krav på att det ska vara lika enkelt att återkalla som att lämna ett samtycke.

En korrekt hantering av GDPR-samtycken är inte bara en legal skyldighet utan bidrar även till att bygga förtroende hos kunder och samarbetspartners. Med Morling Consultings expertis kan ni känna er trygga med kraven för samtycke – från insamling till dokumentation och eventuell återkallelse.

För att ett samtycke ska vara giltigt enligt dataskyddsförordningen måste det uppfylla fyra grundkrav:

Frivilligt: Den registrerade ska kunna säga nej utan negativa konsekvenser.
Specifikt: Det ska vara tydligt vad samtycket gäller.
Informerat: Personen ska få tillräcklig information för att fatta ett informerat beslut.
Otvetydigt: Samtycket ska ges genom en tydlig bekräftande handling, till exempel en checkbox eller signatur.

Samtycke kan vara en lämplig grund när:

Det finns inte ett avtal eller annat berättigat intresse att stödja sig på.
Den registrerade har full kontroll och möjlighet att välja själv, utan att drabbas av negativa konsekvenser.
Det handlar om kommunikation som inte är nödvändig för att fullgöra ett avtal, exempelvis nyhetsbrev eller marknadsföring.

I många fall kan det vara mer lämpligt att använda exempelvis avtal eller berättigat intresse som rättslig grund. Detta då de olika lagliga grunderna ställer olika krav på process, bland annat utifrån vilka rättigheter de ger de registrerade individerna.

Företag måste kunna visa att samtycket har getts i enlighet med kraven i GDPR. Det innebär:

Att samtycket dokumenteras, oavsett om det ges skriftligt, muntligt eller elektroniskt.
Att det går att koppla samtycket till den enskilde personen.
Att det finns information om när och hur samtycket gavs – och till vad.
Att det finns en process för att återkalla samtycke.

En mall kan vara en bra start, men den måste justeras utifrån verksamhetens specifika behandling. En standardmall som används rakt av kommer i många fall att missa viktiga detaljer och inte fullt ut uppfylla kraven i GDPR. Morling Consultings rådgivning säkerställer att utformningen av samtycket uppfyller regelverkets krav, att den är anpassad till er verksamhet och ert sätt att kommunicera, samt att den fungerar både juridiskt och praktiskt i den faktiska användningen.

Om ett samtycke återkallas måste all behandling av personuppgifter som baseras på det upphöra. Därför är det avgörande att ha en tydlig och fungerande process för hur återkallelse hanteras. Det ska vara lika enkelt att återkalla ett samtycke som det var att lämna det från början och den registrerade ska få information om denna rättighet redan vid inhämtningen av samtycket.

Nej, samtycke behöver inte vara skriftligt enligt GDPR. Det kan även lämnas muntligt eller elektroniskt. Det avgörande är att företaget kan bevisa att samtycke har getts och att det uppfyller kraven på att det är frivilligt, specifikt, informerat och otvetydigt.

Samtycke och avtal är två olika rättsliga grunder för personuppgiftsbehandling:

Samtycke används när den registrerade har ett fritt val, exempelvis vid nyhetsbrev eller bildpublicering.
Avtal används när behandlingen är nödvändig för att fullgöra ett avtal, exempelvis för att leverera en tjänst. Det är viktigt att utvärdera vilken rättslig grund som är mest hållbar och ändamålsenlig i det specifika fallet.

En samtyckestext ska vara tydlig, konkret och lätt att förstå. Innan en person lämnar sitt samtycke måste den ha fått tillgång till tillräcklig information om vad samtycket faktiskt innebär. Det innebär att texten ska innehålla uppgifter om vilka personuppgifter som kommer att behandlas, ändamålet/syftet med behandlingen och hur länge samtycket gäller. Det ska framgå vem som är personuppgiftsansvarig och hur man kommer i kontakt med denne. Dessutom ska det framgå att det kan återkallas när som helst och att den registrerade har rättigheter enligt GDPR – inklusive rätt till rättelse, radering, begränsning, samt dataportabilitet.

Rådgivning kan exempelvis handla om att våra GDPR-jurister:

Gå igenom hur ett företag samlar in samtycken i sina digitala kanaler, exempelvis via webbformulär eller nyhetsbrev.
Säkerställa att samtyckestexterna uppfyller kraven på att det är frivilligt, specifikt, informerat och otvetydigt.
Utforma processer för att lagra och dokumentera samtycken på ett säkert sätt.
Granska om samtycke är lämplig som rättslig grund, eller om exempelvis avtal eller berättigat intresse är mer lämpligt.
Ta fram utbildningsmaterial för medarbetare som hanterar personuppgifter.

Kontakt

Felix Morling

Prata med en GDPR-jurist

Behöver du bedöma samtycke eller utforma rätt texter? Hör av dig så tar vi det vidare

”*” anger obligatoriska fält