Ett samtycke måste vara frivilligt och aktivt lämnat enligt GDPR för att vara giltigt. Men i vissa fall är det olämpligt att använda samtycke som rättslig grund. Den registrerade ska också kunna återkalla sitt samtycke för att det ska vara giltigt, vilket ska vara lika enkelt som att ge samtycket. Om det är för svårt att återkalla samtycket, är det inte ett giltigt samtycke.
Ett samtycke måste vara frivilligt och aktivt lämnat enligt GDPR
Ett aktivt samtycke innebär till exempel att den registrerade själv kryssar i samtyckesrutan. Om samtyckesrutan redan är förkryssad, är det inte ett aktivt samtycke och därmed inte giltigt.
Personer ska själva kunna avgöra om de vill lämna sitt samtycke eller inte för att få sina personuppgifter behandlade. Dessutom får inte personen bli drabbad av negativa konsekvenser bara för att denne inte lämnar sitt samtycke. Myndigheter kan vid de flesta fallen inte stödja en behandling med samtycke, eftersom det ska vara frivilligt och inte råda ett ojämlikt maktförhållande mellan parterna. Detsamma gäller arbetsgivare som behandlar personuppgifter tillhörande anställda.
Det var vanligare att använda samtycke vid behandling av personuppgifter innan GDPR började gälla år 2018. Samtycke bör inte vara det första valet av rättslig grund och företag bör analysera om det är möjligt att använda någon annan istället. Om ett företag stödjer en behandling på samtycke, måste företaget kunna bevisa att de har inhämtat samtycket på ett korrekt sätt i enlighet med GDPR. Därför är det viktigt att dokumentera samtliga inhämtade samtycken för att kunna styrka att det finns ett giltigt samtycke för behandlingen ifråga.
Om en registrerad återkallar sitt lämnade samtycke, ska behandlingen som sker med stöd i samtycket upphöra. Däremot påverkar ett återkallande av samtycket inte lagligheten av behandlingar som tidigare hade blivit utförda med stöd i samtycket.
