Samtycke som rättslig grund - ett undantag mer än en regel
En vanlig myt är att verksamheter inte får använda personuppgifter om det inte finns samtycke av den registrerade. Sanningen är att samtycke snarare är ett undantagsfall. Det finns andra rättsliga grunder som oftare är mer korrekta att använda vid en personuppgiftsbehandling. Men ibland är så klart samtycke en korrekt rättslig grund. Då finns det mycket att tänka på så att det blir rätt.
Vad är samtycke?
Ett samtycke innebär i korthet att en person själv har sagt ja till att dennes personuppgifter behandlas. En ganska vanlig missuppfattning är att den som vill behandla någons personuppgifter alltid måste begära samtycke. I själva verket är samtycke bara en av flera möjliga rättsliga grunder.
Ofta är det onödigt eller till och med olämpligt att begära samtycke, eftersom det finns strikta krav på förutsättningarna och på samtyckets utformning.
Mer information om samtycke hittar du i faktabladet "Samtycke som rättslig grund".
Vad är ett giltigt samtycke?
Ett samtycke ska enligt GDPR vara en "frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne". Detta står i artikel 4.11 i GDPR.
En av förutsättningarna för ett giltigt samtycke är att man som personuppgiftsansvarig kan visa att den registrerade har fått tydlig information och har gjort ett fritt och aktivt val att samtycka. Det finns ett antal villkor som måste vara uppfyllda för att ett samtycke ska vara giltigt.
1. Individen får inte vara i en beroendeställning till den som begär samtycket
I skäl 43 till GDPR står det att om det föreligger en betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, så kan samtycket bedömas som ogiltigt. Anledningen till detta är att den registrerade trots allt inte upplevt situationen som frivillig. Särskilt vanligt är det när den personuppgiftsansvarige är en myndighet eller den registrerades arbetsgivare. Individen får inte vara i en beroendeställning till den som begär samtycket. Detta till trots så är det inte omöjligt för en myndighet eller en arbetsgivare att använda samtycke – men det måste stå helt klart för den registrerade att valet är fritt och att det inte kommer att få framtida konsekvenser vad gäller hens förhållande till myndigheten/arbetsgivaren.
2. Den registrerade ska få valmöjligheter
För att samtycket ska vara giltigt, ska den registrerade ha fått valmöjligheter om så behövs. Om det är flera ändamål som den personuppgiftsansvarige ber om samtycke för, ska det finnas möjlighet att ge separata samtycken för de olika behandlingarna. Det ska alltså vara möjligt att acceptera vissa ändamål men inte andra. Detta gäller inte i alla situationer, men när det är lämpligt. Det framgår av artikel 7.2 i GDPR och skäl 43.
3. Samtycke får inte vara en absolut förutsättning
Det behövs inte något samtycke för att registrera sådana uppgifter som är nödvändiga för att kunna leverera en tjänst till en kund. Samtycket får tvärtom inte vara en obligatorisk del av avtalsvillkor i till exempel ett tjänsteavtal. Det är inte tillåtet att kräva att någon, för att exempelvis få ta del av en tjänst, ska lämna samtycke till behandling av sådana uppgifter som faktiskt inte krävs för att leverera tjänsten.
4. Den som samtycker ska ha fått information
Den som samtycker ska ha fått all information om behandlingen av personuppgifter som behövs för att hen ska kunna förstå förutsättningarna och göra ett genomtänkt val. Den registrerade ska förstå att hen har samtyckt till någonting, och vad hen har samtyckt till. Den personuppgiftsansvarige ska exempelvis alltså inte gömma samtycken i långa villkorstexter.
Den grundläggande principen om öppenhet gör att den personuppgiftsansvarige alltid måste informera tydligt om vad man avser att göra med de personuppgifter som man samlar in, och inte får undanhålla sådan information. Det gäller oavsett vilken rättslig grund behandlingen grundar sig på.