Samtycke som rättslig grund vid behandling av personuppgifter

Att använda samtycke som rättslig grund vid behandling av personuppgifter är inte alltid den mest lämpliga grunden. Nedan kan du läsa mer om samtycke.

Samtycke som rättslig grund vid behandling av personuppgifter 

Det var vanligare att använda samtycke innan GDPR började gälla eftersom det ofta var tillåtet. Däremot är det ofta en olämplig rättslig grund att använda enligt GDPR, som började gälla den 25 maj 2018. Dessutom är det förbjudet att använda samtycke som rättslig grund vid ett flertal olika situationer. Därför är det bra att överväga om det finns någon annan rättslig grund som mer lämplig, innan användandet av samtycke som rättslig grund sker. 

Ange varför företaget behandlar personuppgifterna

När ett företag behandlar personuppgifter, ska företaget ange vad ändamålet är med behandlingen, enligt principen om ändamålsbegränsning som är en av sju (7) dataskyddsprinciper. När ett företag använder samtycke eller någon annan rättslig grund, ska företaget informera den registrerade personen om varför företaget behandlar personuppgifterna (ändamålet). Därefter får företaget inte använda personuppgifterna till något annat ändamål än det samtycket avser. 

Samtycke som en integritetshöjande åtgärd

Det finns många tillfällen där det inte är tillåtet att använda samtycke som rättslig grund vid behandling av personuppgifter, men att det sker som en integritetshöjande åtgärd. Det är då tillåtet, men det är inte klassat som en rättslig grund vid sådana fall. Däremot kan det vara positivt att kombinera en rättslig grund med ett samtycke, eftersom företaget då är extra tydlig med sin behandling gentemot de registrerade. 

Aktivt samtycke

För att ett samtycke ska anses vara lämnat på ett giltigt sätt, ska personerna ifråga lämna sitt aktiva samtycke. Passiva samtycken är varken tillåtna eller giltiga. Detta innebär att ett företag som har till exempel en webbplats där nya kunder kan registrera sig och lämna ett samtycke till företaget för mottagande nyhetsbrev, inte ska ha rutan för samtycke på förhand ikryssad. Att en person förhåller sig passiv, får inte heller bli tolkat som att dessa personer har lämnat sitt samtycke till något för att de inte har invänt.

EU-domstolen gav ett förhandsavgörande gällande förikryssad ruta för samtycke

I en dom år 2019 konstaterade EU-domstolen att ett samtycke lämnat via en webbplats inte var giltigt, eftersom det var en förikryssad samtyckesruta. Det innebar att de registrerade aktivt behövde kryssa bort rutan för att inte lämna sitt samtycke. Motsatsvis innebar detta att en person inte aktivt lämnat sitt samtycke. Behandlingen av personuppgifterna avsåg kakor (cookies) som företaget använde på webbplatsen för att kunna utgå från surfbeteendet vid riktad reklam till de registrerade.  

Viktigt att respektera ett nej

Ett samtycke måste vara frivilligt för att vara giltigt och ett företag måste respektera ett nej. Frivilligt samtycke innebär att personen ifråga inte har blivit påverkad till sitt beslut, eller att ett nej inte resulterar i några negativa konsekvenser. Att använda samtycke som rättslig grund vid behandling av personuppgifter, kräver att samtycket är giltigt.

dokumentera inhämtat samtycke som rättslig grund vid behandling av personuppgifter

Är det tillåtet att inhämta samtycke från barn?

Det är vanligt att företag som till exempel bedriver mobilapplikationer riktar sig till barn. Vid sådana fall gäller särskilda regler enligt GDPR och även andra lagstiftningar, eftersom barn är särskilt utsatta. 

Enligt GDPR har företag rätt att behandla personuppgifter och inhämta samtycken från barn över 16 år gamla. Däremot har varje land där GDPR gäller rätt att sänka åldern. I Sverige har de sänkt åldern till 13 år. Det är viktigt att tänka på att det är särskilt viktigt att det ska vara lätt för barn att återkalla samtycket. EndFragment    

– Tänk på att samtycket ska vara formulerat på samma språk som det inhemska där barnen befinner sig. Dessutom ska informationen vara lättförståelig genom att till exempel inte bestå av för mycket text eller innehålla för långa meningar eller komplicerade ord. 

– Företaget bör också tänka på hur de ska kontrollera åldern på barnen. 

– I vissa fall kan vårdnadshavaren behöva lämna sitt samtycke till behandling av barnets personuppgifter. 

När företag skickar nyhetsbrev

Det är vanligt och tillåtet att använda samtycke som rättslig grund vid behandling av personuppgifter när företag ska skicka nyhetsbrev till sina kunder. Men om en person inte längre vill ha nyhetsbreven, ska denne ha möjlighet att avprenumerera. Genom att avprenumerera, återkallar denne sitt samtycke till att dennes personuppgifter blir behandlade av företaget för ändamålet. Företaget ska då omedelbart upphöra med behandlingen, eftersom företaget inte längre har ett samtycke att använda som rättslig grund vid behandling av personuppgifter i detta fall.

Återkallelse av samtycke

Registrerade har rätt att när som helst återkalla sitt lämnade samtycke (dock utan att det påverkar lagligheten av behandlingar som har blivit utförda tidigare med stöd i det lämnade samtycket). Till exempel om de har gett ett samtycke för att ta emot nyhetsbrev men inte vill det längre, då måste företaget respektera det. Dessutom måste det vara enkelt för de registrerade att göra återkallelsen. Det ska vara lika enkelt att återkalla ett samtycke, som det var att ge satycket.

Ojämlika maktförhållanden

När det råder ojämlika maktförhållanden, är det förbjudet att använda samtycke som rättslig grund. Exempel på ojämlika förhållanden är mellan arbetsgivare och arbetstagare, eller myndigheter och medborgare. Anledningen till detta är att det kan ifrågasättas huruvida samtycket är frivilligt lämnat i ett ojämlikt maktförhållande. 

Ogiltigt samtycke på grund av ojämlikt förhållande

En skola använde ansiktsigenkänning för närvarokontroll på skolan under en testperiod, vilket de fick betala en sanktionsavgift för. De behandlade personuppgifterna ifråga innehöll bland annat biometriska uppgifter, som är känsliga personuppgifter enligt GDPR. Den rättsliga grunden skolan använda var samtycke, vilket de inhämtat från föräldrarna. Förhållandet mellan parterna är ojämlikt och därför var samtycket enligt tillsynsmyndigheten i Sverige inte giltigt. 

Arbetsgivare ska inte använda samtycke gentemot anställda

Arbetsgivare brukar behöva behandla personuppgifter tillhörande sina anställda av olika anledningar. Dessutom brukar arbetsgivare behandla känsliga personuppgifter tillhörande arbetstagare, exempelvis information om sjukfrånvaro. 

I och med att det råder ett ojämlikt maktförhållande mellan arbetsgivare och arbetstagare, är samtycke inte en lämplig grund att använda. Anledningen till detta är eftersom det kan ifrågasättas om arbetstagaren har lämnat samtycket lämnat frivilligt eller inte. Vid sådana fall är det vanligt att istället använda ”Avtal” som den rättsliga grunden till behandlingen av personuppgifterna (anställningsavtalet). 

Myndigheter bör inte använda samtycke

Myndigheter bör inte använda samtycke som rättslig grund vid behandling av personuppgifter. Däremot finns det tillfällen där myndigheter kan använda samtycke. Till exempel genom att erbjuda uppdateringar om arbetet via e-post om ett vägarbete är planerat av en kommunal nämnd. Det måste vara frivilligt att lämna samtycke för mottagande av sådana meddelanden och det ska nämnden vara tydlig med vid sådana fall. Nämnden får inte heller använda personuppgifterna till något annat än det beskrivna ändamålet. 

Vilken information som ska framgå vid inhämtning av samtycke

Följande information ska framgå i samband med inhämtning av samtycke:

– Vilket företag det är som begär samtycket,

– Vilka personuppgifter företaget kommer behandla, 

– Syftet med behandlingen, 

– Beskrivning av hur de registrerade kan återkalla samtycket, 

– Om företaget har ett dataskyddsombud, ska kontaktuppgifterna framgå, 

– Information om att personen inte kommer få några negativa konsekvenser om den inte samtycker till behandlingen ifråga. 

Dokumentation av inhämtat samtycke

Företag måste kunna bevisa att de följer GDPR, så kallad omvänd bevisbörda. Med andra ord behöver inte en registrerad eller dataskyddsmyndighet bevisa att företaget inte följer GDPR, istället ligger bevisbördan på företaget. Därför är det viktigt att föra en dokumentation vid inhämtning av samtycke, för att kunna bevisa att det har skett på ett korrekt och lagligt sätt. 

Följande information är bra att dokumentera:

– När hämtade företaget in samtycket

– Hur hämtade företaget in samtycket

– Vilken information som den registrerade fick gällande behandlingen 

Detta gäller även för webbplatser som använder icke-nödvändiga cookies. Vissa cookie-plugin erbjuder en så kallad samtyckeslogg, där samtliga samtycken och nekanden till användning av cookies från besökare av webbplatsen blir loggförda. På så sätt kan företaget bland annat styrka att de har fått samtycke till användning av cookies från en specifik användare samt tidpunkten m.m.  

Bevisa att företaget har fått samtycke som rättslig grund vid behandling av personuppgifter

Automatiserat beslutsfattande

När företag använder profilering och automatiserat individuellt beslutsfattande är det krav på att informera den registrerade. Det är tillåtet med automatiserat beslutsfattande:

– Om det är nödvändigt för företaget att göra för att kunna fullgöra avtal med registrerade. 

– I fall den registrerade ger ett uttryckligt samtycke. 

Praktiskt exempel på automatiserat beslutsfattande 

När en person gör en kreditansökan och får avslag genom ett automatiserat beslut grundat på kredithistorik. 

Checklista vid inhämtade av samtycke

– Se till att samtycke är tillämpligt 

Samtycke är inte alltid en lämplig rättslig grund att använda och därför är det bra för företag att se om någon annan är mer lämplig. Det får inte vara ojämlikt maktförhållande mellan parterna såsom mellan arbetsgivare och arbetstagare vid användning av samtycke. 

– Samtycket måste vara frivilligt och aktivt 

Ett samtycke som inte är frivilligt, är ogiltigt. Dessutom ska det vara ett aktivt samtycke. Med andra ord ska inte en samtyckesruta vara förinkryssad. 

– Se till att samtycket är skilt från andra villkor 

Ett inhämtande samtycke ska vara skilt från andra villkor, såsom användarvillkor. Därför ska det inte ingå i användarvillkoren, utan det ska vara separat. 

– Informationen till de registrerade ska vara tydligt och på ett enkelt språk 

Företag har en skyldighet att informera registrerade om behandling av deras personuppgifter. Informationen ska vara på ett förståeligt språk och tydligt. Om det avser barn, är kraven ännu högre. 

– Information som ska framgå till de registrerade 

Det ska bland annat framgå namnet på företaget och kontaktuppgifter till ett eventuellt dataskyddsombud. Dessutom ska företaget informera de registrerade att de har rätt att återkalla samtycket och det ska vara lika enkelt att återkalla det som att ge det. 

– Se till att dokumentera samtycket 

Företag måste kunna bevisa att de följer GDPR och har inhämtat ett giltigt samtycke om det är den rättsliga grunden vid behandlingen. Därför ska företaget dokumentera inhämtade samtycken. 

Avtal och samtycke som rättsliga grunder för samma personuppgifter men olika ändamål

Avtal är en annan rättslig grund som är vanlig att använda. Det innebär att företag har rätt att behandla de personuppgifter som krävs för att ingå eller fullfölja ett avtal med den registrerade personen ifråga. 

Om exempelvis en webbshop säljer produkter som de levererar hem till kunderna, behöver företaget behandla kundernas adress och namn. Däremot kan företaget även vilja använda personuppgifterna för att rikta erbjudanden till kunden i marknadsföringssyfte, men vid sådana fall är det ett annat syfte med behandlingen. Företaget behöver därför samtycke till den andra behandlingen eller annan rättslig grund, samt informera om behandlingen i sin integritetspolicy eller på annat sätt innan behandlingen sker. 

Avtal som rättslig grund

När den registrerade och personuppgiftsansvarige (företaget) ingår ett avtal, har företaget rätt att behandla de personuppgifter som är nödvändiga för att fullfölja avtalet. Till exempel om företaget säljer produkter via en webbshop och skickar produkterna hem till kunderna. Vid sådana fall är det nödvändigt att behandla kundens namn och adress för att kunna leverera produkterna. Däremot får företaget inte behandla fler personuppgifter än det som är nödvändigt för att fullfölja avtalet. 

Om företaget vill behandla fler personuppgifter för ett annat ändamål, är det vanligt att kombinera den rättsliga grunden med en annan, exempelvis samtycke för att skicka nyhetsbrev. Företaget använder därmed avtal som rättslig grund för vissa av personuppgifterna och samtycke för behandlingen av andra personuppgifter.