Hoppa till innehåll på sidan

Samtycke

Den rättsliga grunden samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen. Men i många fall är det inte en lämplig grund att stödja sig på. Överväg därför alltid om ni kan använda någon av de andra rättsliga grunderna.

Här går vi igenom vilka krav som gäller och ger exempel på när samtycke är en lämplig rättslig grund, exempelvis när företag samlar in adresser för att skicka ut nyhetsbrev. Samtycke är dock ofta en olämplig rättslig grund för myndigheter, eftersom det måste vara frivilligt.

Se även vår checklista som kan fungera som stöd i processen när ni vill inhämta samtycke och hänvisningar till hur kraven formuleras i dataskyddsförordningen.

Samtycke inte första valet

En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men ofta är det varken lämpligt eller ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Fråga bara om ni kan respektera ett nej

Som personuppgiftsansvarig ansvarar ni för att bedöma om samtycke är en lämplig rättslig grund. För att det ska vara lämpligt måste det vara frivilligt: den registrerade ska kunna avgöra om personuppgifterna ska få behandlas, och hen ska alltid kunna säga nej. 

Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Samtycket blir därför ogiltigt om någon har utsatts för påverkan. Den registrerade får inte heller drabbas av negativa konsekvenser om hen inte lämnar sitt samtycke. Samtycket får heller inte vara en obligatorisk del av avtalsvillkor.

Förklara klart och tydligt för den som ska lämna sitt samtycke att hen alltid har rätt att ångra sig. Det ska vara lika lätt att återkalla ett samtycke som att lämna det. Detta är särskilt viktigt när det gäller barn.

Om det är svårt att återkalla samtycket är det inte giltigt. Om den registrerade inte kan eller får återkalla sitt samtycke utan att drabbas av negativa konsekvenser är samtycket inte frivilligt.

 

Jämlika maktförhållanden

För att ni ska kunna använda samtycke som rättslig grund måste maktförhållandet vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, och mellan arbetsgivare och arbetstagare. Om det råder ett ojämlikt maktförhållande kan ni inte stödja er på samtycke.

Ställ inte krav i samband med samtycket

Ni får inte ställa krav på den registrerade i samband med samtycket. I dataskyddsförordningen kallas detta "paketering" och innebär att den registrerade direkt eller indirekt måste ge en motprestation för tjänsten eller varan, till exempel godta vissa användarvillkor eller affärsvillkor. Om dessa villkor inte är nödvändiga är samtycket inte frivilligt, och därmed inte giltigt.

Om ni bedömer att er organisation måste behandla vissa personuppgifter eftersom de är nödvändiga för att verksamheten eller tjänsten ska fungera, bör ni istället överväga en annan rättslig grund, som exempelvis avtal med den registrerade.

Den registrerade ska godkänna att personuppgifterna används

Det ska ske genom en otvetydig viljeyttring. Med otvetydig viljeyttring avses att samtycket alltid behöver ges aktivt eller genom en förklaring.

Det innebär att den som samtycker behöver ha utfört en medveten handling (det vill säga en entydig och bekräftande handling), till exempel kryssat i en kryssruta på en webbplats. Förifyllda kryssrutor är inte tillåtna, eftersom det inte ger uttryck för ett aktivt beteende och lika gärna kan vara något som den enskilda missat att reagera på.

Det är inte tillräckligt att den enskilda scrollar eller svajpar igenom en webbsida, då sådana handlingar kan vara svåra att skilja från andra handlingar eller interaktion, vilket inte gör det möjligt att avgöra om ett entydigt samtycke har lämnats. Tystnad, inaktivitet eller enbart utnyttjande av en tjänst är inte aktiva val. Samtycke kan inte heller anses ha lämnats av den enskilda genom att godta ett avtal eller allmänna villkor för en viss tjänst. Samtycke kan lämnas genom en skriftlig eller (inspelad) muntlig förklaring, inklusive på elektronisk väg. Sådana samtyckesförklaringar kan vara utformade på flera olika sätt och vara olika omfattande för att uppfylla kraven.

Exempel när samtycke kan användas

Uppdateringar via e-post

Exempel

En kommunal nämnd planerar vägarbeten. Nämnden erbjuder invånarna möjlighet att anmäla sig för att få uppdateringar via e-post. Nämnden är tydlig med att det är frivilligt att anmäla sig och inhämtar samtycke för att använda e-postadresserna för endast detta ändamål. Invånare som inte vill delta har inte gått miste om någon grundläggande service från myndigheten. Informationen finns även publikt på kommunens hemsida.

 

Exempel när samtycke inte kan användas

App som använder GPS

Exempel

I en mobilapp för fotoredigering blir användaren ombedd att ge appen tillgång till GPS-lokalisering.

Enligt appen kommer de inhämtade personuppgifterna att användas för beteendebaserad marknadsföring. Varken GPS-lokalisering eller beteendebaserad marknadsföring är nödvändiga för appens ändamål, och behövs alltså inte för att leverera den huvudsakliga tjänsten. Eftersom användaren inte kan använda appen utan att samtycka, är samtycke inte frivilligt, och samtycke är därmed inte en lämplig rättslig grund.

 

Var tydlig med varför ni behandlar personuppgifter

En av de grundläggande principerna i dataskyddsförordningen är så kallad ändamålsbegränsning. Det innebär att ni ska ha klart för er varför ni behandlar personuppgifter så att ni kan informera de registrerade om det.

Ändamålet, det vill säga syftet, sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem.

För att skydda den registrerade mot ett gradvis vidgande av ändamålet, eller otydlig gränsdragning mellan olika ändamål, måste ändamålet vara tydligt specificerat när den registrerade lämnar samtycke.

Håll informationen ni lämnar för att kunna inhämta ett samtycke avskild från annan information, så att den som ska lämna samtycket klart och tydligt förstår vilka konsekvenser olika val kan ge.

Ändamålet måste vara specifikt, inte luddigt eller otydligt. Informera de registrerade om varför ni behandlar deras personuppgifter, precisera vilka ändamålen är i varje enskilt fall.

Specifikt samtycke till varje ändamål: För att samtycket ska anses vara frivilligt måste det som regel vara möjligt att ge separata samtycken för olika behandlingar av personuppgifter.

Om ni vill börja använda personuppgifterna på ett nytt sätt så betyder det att ändamålet ändras. Då måste ni informera de registrerade om detta, för att de ska bli medvetna om vilka konsekvenser olika val kan ge. De måste ge sitt samtycke till varje nytt ändamål.

Dokumentera skriftligt vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

De grundläggande principerna

 

Informera tydligt om vad som gäller

De registrerade har rätt att känna till varför ni behandlar deras personuppgifter och vad som gäller i övrigt. Informera därför tydligt om följande:

  • vem som begär samtycke, alltså vilka ni är
  • vilken typ av personuppgifter ni tänker behandla
  • i vilket syfte ni vill använda personuppgifterna (är det fler än ett syfte, beskriv vart och ett)
  • klargör att det är möjligt att återkalla sitt samtycke.

Om ni använder er av så kallat automatiserat individuellt beslutsfattande och profilering behöver ni informera om detta.

Automatiserat beslutsfattande kan vara tillåtet om

  • det är nödvändigt för att ni ska kunna ingå eller fullgöra ett avtal med den registrerade
  • den registrerade har gett sitt uttryckliga samtycke.

Automatiserat beslutsfattande kan till exempel vara ett automatiserat avslag på en kreditansökan på internet eller ett nekande besked från e-rekrytering via internet utan personlig kontakt.

Läs mer om automatiserat beslutsfattande

För att det ska vara lagligt att föra över personuppgifter till tredje land, det vill säga till ett land utanför EU/EES, måste den personuppgiftsansvariga ha stöd för det i dataskyddsförordningen. En situation där en sådan överföring kan vara tillåten är om den registrerade har gett sitt uttryckliga samtycke efter att ha blivit informerad om riskerna som är förknippade med tredjelandsöverföringen.

 

Dokumentera samtycket

Ni ansvarar för att ett giltigt samtycke har inhämtats och behöver kunna visa både att den registrerade har fått relevant information och att ert arbetssätt uppfyller kraven. Tänk därför på att dokumentera samtycket:

  • hur samtycket inhämtades
  • när samtycket inhämtades
  • vilken information ni gav den registrerade.

Barn och samtycke

Eftersom barn enligt dataskyddsförordningen förtjänar särskilt skydd måste all information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår.

Om ni behandlar barns personuppgifter bör ni fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta samtycke i samband med behandling av barns personuppgifter online. Det är i dessa fall den som har föräldraansvar för barnet som ska lämna samtycke.

Föräldraansvar: I texten nedan skriver vi ibland "föräldrar" i betydelsen "den som har föräldraansvar".

Det ställs höga krav på den som vill efterfråga ett samtycke. Ni måste utforma informationen om vad ett samtycke innebär, för att samtycket ska ses som giltigt. Detta gäller särskilt i förhållande till barn.

Regeringen har även i propositionen till dataskyddsförordningen framfört att barns rätt till självbestämmande, yttrandefrihet och informationsfrihet väger tungt.

Föräldrars samtycke krävs inte för förebyggande eller rådgivande tjänster som erbjuds direkt till barn. Detta för att barn ska kunna söka råd eller stöd utan att föräldrarna känner till det, till exempel hos Bris.

Ni kan erbjuda kommersiella internettjänster, så kallade informationssamhällets tjänster, direkt till barn som har fyllt 13 år och bor i Sverige. Det är då tillåtet att behandla personuppgifter med stöd av barnets eget samtycke.

Exempel på informationssamhällets tjänster:

  • Sociala medier, som bloggar, internetforum, webbplatser för videoklipp, chatprogram och sociala nätverk.
  • Onlinespel.
  • Appar med spel eller annat innehåll.

Föräldrar måste godkänna samtycket om barnet är under 13 år

Föräldrar måste godkänna samtycket om barnet är under 13 år. Barn under 13 år får inte själva samtycka till att deras personuppgifter samlas in och behandlas. Denna regel finns framför allt för att ge barn ett förstärkt skydd när de använder sig av informationssamhällets tjänster. Den som har föräldraansvar för barnet måste ge sitt samtycke eller godkänna barnets samtycke.

Som personuppgiftsansvarig ska ni i möjligaste mån kontrollera att samtycket verkligen har lämnats av rätt person.

Föräldrar måste alltså ge eller godkänna samtycket när ni erbjuder informationssamhällets tjänster till någon som är under 13 år, men vad gäller i andra sammanhang?

Tidigare gällde IMY:s tumregel att barn under 15 år generellt inte har tillräcklig mognad för att ge ett giltigt samtycke, men informationen måste alltid bedömas från fall till fall med utgångspunkt i den enskilda individens mognad och förmåga.

Barn och ungdomar som inte själva kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. Då ska samtycket istället inhämtas från den som har föräldraansvaret för barnet.

Dataskyddsförordningen ställer höga krav på den som efterfrågar ett samtycke att utforma informationen om vad ett samtycke innebär, särskilt i förhållande till barn, för att samtycket ska ses som giltigt. Regeringen skriver även i propositionen till dataskyddslagen att barns rätt till självbestämmande och yttrande- och informationsfrihet väger tungt.

 

Dataportabilitet – att kunna flytta sina personuppgifter

När personuppgifter behandlas med stöd av samtycke eller avtal gäller så kallad dataportabilitet. Det innebär att den registrerade har rätt att få ut sina personuppgifter eller få dem överförda till en annan personuppgiftsansvarig om det är tekniskt möjligt.

Checklista

För när man ska begära samtycke

Den rättsliga grunden samtycke innebär att individerna verkligen frivilligt väljer och kontrollerar hur deras personuppgifter får användas. Äkta samtycke ger individer kontroll och bidrar till en förtroendefull relation som bygger på integritet. Detta är en kortfattad checklista. Läs noga igenom informationen om den rättsliga grunden samtycke.
  • 1

    Använd rätt rättslig grund

    Den rättsliga grunden samtycke kan exempelvis användas av företag som samlar in adresser för att skicka ut nyhetsbrev. Samtycke är dock ofta en olämplig rättslig grund för myndigheter, eftersom samtycket måste vara frivilligt och jämlikt.

  • 2

    Den registrerade ska lämna sitt samtycke frivilligt

    Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Samtycket blir därför ogiltigt om någon har utsatts för påverkan. Den registrerade får inte heller drabbas av negativa konsekvenser om hen inte ger sitt samtycke.

  • 3

    Jämlika maktförhållanden

    För att ni ska kunna använda samtycke måste maktförhållandet vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, mellan arbetsgivare och arbetstagare och i andra situationer.

  • 4

    Onlinetjänster direkt till barn

    Sök endast samtycke om ni kan verifiera åldern på barnen. Gäller det yngre barn krävs det dessutom metoder för att inhämta målsmans samtycke.

Checklista

För inhämtande av samtycke

  • 1

    Tänk på detta innan ni börjar

    • Kontrollera att samtycke är den mest lämpliga rättsliga grunden för behandling av personuppgifter.
    • Säkerställ att begäran om samtycke framgår tydligt och är åtskilda från övriga villkor.
    • Undvik att göra samtycke till en förutsättning för en tjänst.
  • 2

    Informera mottagaren

    • Namn på er organisation.
    • Namn på ert dataskyddsombud, om ni har ett.
    • Gör det lätt att dra tillbaka sitt samtycke och berätta hur det går till.
    • Klargör att man kan vägra att samtycka utan att drabbas av negativa konsekvenser.
  • 3

    Kommunicera tydligt

    • Använd inte förvalt samtycke, exempelvis genom förmarkerade rutor – samtycke ska vara ett aktivt val.
    • Använd tydligt och enkelt språk som är lätt att förstå.
    • Förklara varför ni vill ha uppgifterna och vad ni ska göra med dem.
    • Var specifik och ge tydliga alternativ för olika ändamål, så att ni får separata medgivanden för separata personuppgiftsbehandlingar. Vagt eller allmänt samtycke är inte tillräckligt.
  • 4

    Ordning och reda i rutinerna

    • Dokumentera era bevis för samtycket: vem, när, hur och vilken information som gavs.
    • Granska kontinuerligt er metod för att inhämta samtycke och uppdatera om något ändras.
    • Håll era samtyckesförfrågningar separerade från era övriga villkor.

 

Senast uppdaterad: 1 april 2021
Sidans etiketter Dataskydd