En vanlig fråga är hur ett företag ska inhämta samtycke vid behandling av personuppgifter enligt GDPR. Ett företag måste ha en rättslig grund när företaget behandlar personuppgifter från en person, varav samtycke är en rättslig grund. Däremot är det inte tillåtet om samtycket är underförstått (genom konkludent handlande) enligt GDPR. Ett annat ord för GDPR är dataskyddsförordningen.
Inhämta samtycke vid behandling av personuppgifter
När ett företag ska inhämta samtycke vid behandling av personuppgifter ska det ske frivilligt, vara specifikt samt informerat. Däremot är det i många fall inte lämpligt att använda samtycke vid behandling av personuppgifter. Exempelvis ska ett företag inte behandla personuppgifter tillhörande sina anställda genom att använda samtycke som rättslig grund.
Enligt GDPR måste ska ett företag ha ett specifikt syfte med behandlingen av personuppgifterna som blir insamlade. När personuppgifterna inte längre är nödvändiga för syftet, ska de bli raderade.
Ett samtycke får inte gälla för breda beskrivningar och användningsområden, utan ska gälla specifika och konkreta ändamål. Exempel på breda användningsområden som inte är giltiga är att: administrera kundförhållandet, affärsutveckling, marknadsföring m.m.
Det ska tydligt framgå att den registrerade personen samtycker till behandlingen av sina personuppgifter medvetet och otvetydigt. Det är därmed inte tillåtet med förikryssade rutor för godkännanden, eller att passivitet och tystnad blir tolkat som ett samtycke. Den registrerade personen ska aktivt lämna sitt samtycke, för att det ska anses vara giltigt lämnat.
GDPR ställer höga formkrav på hur samtycken ska bli lämnade för att vara giltiga. Företag bör därför i många fall se över ifall andra rättsliga grunder kan bli använda istället för samtycken. Dessutom är det viktigt att tänka på att lämnade samtycken kan bli återkallade när som helst av den registrerade person som lämnat samtycket. Vid ett återkallande av samtycke, ska behandlingen omedelbart upphör och får inte fortsätta ske i framtiden.
