Det finns olika situationer när ett företag inte ska använda samtycke som rättslig grund för behandling av personuppgifter. Enligt artikel 6 i GDPR måste ett företag ha en rättslig grund för varje enskild behandling av personuppgifter. Samtycke utgör en av sex rättsliga grunder. Det är inget krav att få ett samtycke för att få behandla personuppgifter. Dessutom är det i vissa fall olämpligt att basera en behandling av personuppgifter på samtycke. Två andra rättsliga grunder som kan vara mer lämpliga för företag att använda är “avtal med registrerade” enligt artikel 6(1)(b) GDPR och “berättigat intresse” enligt artikel 6(1)(f) GDPR.
Ojämlika maktförhållanden mellan parterna gör ett samtycke ogiltigt
När det råder ett ojämlikt maktförhållande mellan den personuppgiftsansvarige och den registrerade, och den personuppgiftsansvarige har en starkare ställning, är det oftast inte tillåtet att använda samtycke som rättslig grund för behandling av den registrerades personuppgifter. Till exempel när en myndighet behandlar personuppgifter tillhörande en medborgare. Däremot kan det vara tillåtet i vissa fall. Exempelvis ifall en kommun bygger en ny tågräls och erbjuder sig att notifiera invånarna om det pågående arbetet via e-post ifall de samtycker till sådan kommunikation.
Tre exempel på när ett företag inte ska använda samtycke som rättslig grund för behandling av personuppgifter enligt GDPR
- Anställd: Om en arbetsgivare anställer en person råder det ett ojämlikt maktförhållande mellan parterna. Därför ska arbetsgivaren inte behandla den anställdes namn och kontonummer för löneutbetalning med stöd av samtycke. Istället är avtal med den registrerade en lämplig rättslig grund att använda vid sådana fall. Avtalet utgörs i detta fall av anställningsavtalet som ingåtts mellan arbetsgivaren och arbetstagaren. Då utbetalningen av lönen utgör en central del av anställningsavtalets fullgörande. Dock finns det undantag för när en arbetsgivare kan behandla personuppgifter tillhörande en anställd med stöd av samtycke, men det är bra att undvika samtycke i möjliga fall.
- GPS i Appar: Om syftet med en mobilapplikation är att redigera videor för till exempel marknadsföring, ska appen inte behandla GPS för lokalisering eftersom det inte är nödvändigt för ändamålet att redigera videor. Därför ska det inte vara ett krav att behöva ge sitt samtycke för att få använda mobilapplikationen.
- Absolut förutsättning: Det får inte vara ett tvång att behöva ge sitt samtycke för att kunna använda en tjänst eller köpa en produkt om personuppgifterna inte är nödvändiga för att kunna använda det. Därför kan det inte vara ett obligatoriskt avtalsvillkor i exempelvis allmänna villkor.
Observera att företag måste kunna bevisa att de har inhämtat ett giltigt samtycke. Därför är det bra att inhämta skriftliga samtycken istället för muntliga. Dessutom ska det vara möjligt för de registrerade att återkalla sitt samtycke på ett enkelt sätt. Det ska inte kosta pengar för registrerade att återkalla sitt samtycke.