Det måste vara ett frivilligt och aktivt samtycke för att det ska vara giltigt enligt GDPR. Samtycke utgör en av de sex rättsliga grunderna som ett företag kan använda när de behandlar personuppgifter. Vissa personer tror att man måste få ett samtycke för att behandla personuppgifter, men det stämmer inte. Behandling av personuppgifter kan ske med stöd i någon annan rättslig grund enligt artikel 6 i GDPR. Dessutom kan ett samtycke vara både muntligt eller skriftligt lämnat. Däremot är det bättre att få skriftliga samtycken eftersom de är enklare att bevisa vid en eventuell tvist eller tillsyn.
Måste vara ett frivilligt samtycke
För att en person ska anses ha lämnat ett frivilligt samtycke till en viss behandling av dennes personuppgifter, ska personen i fråga ha ett val att inte behöva lämna samtycket. Med andra ord ska personen inte bli påverkad av eventuella konsekvenser på grund av att personen inte vill ge sitt samtycke till en viss behandling. Dessutom är ett samtycke inte frivilligt lämnat, när den personuppgiftsansvariga har en starkare ställning än den registrerade. Exempelvis arbetsgivare mot arbetstagare, myndighet mot medborgare eller liknande.
Nedan följer några exempel på när ett samtycke inte är frivilligt lämnat:
- Obligatoriskt: Om krav på lämnande av ett samtycke är en obligatorisk del av ett avtal.
- Påverkad: Om den registrerade har blivit påverkad till att lämna samtycket.
- Negativa konsekvenser: Om det resulterar i negativa konsekvenser för den registrerade på grund av att denne inte ger sitt samtycke till en viss behandling av personuppgifter.
Måste vara ett aktivt samtycke
Enligt de gällande bestämmelserna i GDPR är ett passivt lämnat samtycke inte giltigt. Med andra ord ska den registrerade aktivt ge sitt samtycke för behandlingen av personuppgifter. Därför är ett samtycke inte giltigt om en registrerad inte aktivt besvarar en förfrågan om att lämna samtycke.
Företag får inte ställa några krav på den registrerade i samband med att dennes samtycke ska bli insamlat. Detta är något som är kallat för “paketering” enligt GDPR, och det är i de flesta fall otillåtet. Kort sagt innebär paketering att den registrerade indirekt eller direkt måste utföra en motprestation för tjänsten eller produkten. Exempel på en motprestation kan vara att acceptera användarvillkor eller andra affärsvillkor. Samtycket blir därmed paketerat med andra åtaganden. Om villkoren inte är nödvändiga, innebär det att samtycket inte är frivilligt. Det resulterar då i att samtycket inte är giltigt.
Däremot finns det andra rättsliga grunder som är mer lämpliga att använda om det är nödvändigt för att använda en tjänst eller produkt. Till exempel kan den rättsliga grunden avtal enligt Artikel 6(1)(b) GDPR vara tillämplig vid sådana situationer.
Den registrerade ska ge ett specifikt, frivilligt, informerat och otvetydigt medgivande till behandling av dennes personuppgifter, för att det ska anses vara ett giltigt samtycke i enlighet med artikel 7 i GDPR.
Krav för att ett lämnat samtycke ska anses vara giltigt
- Specifikt: Företaget ska informera om vad syftet är med behandlingen av personuppgifterna. Om samma personuppgifter ska bli behandlade för olika syften, ska den registrerade få möjligheten att samtycka till dem separat.
- Frivilligt: När en registrerad får möjligheten att ge sitt samtycke till en viss behandling av personuppgifter, får det inte innebära negativa konsekvenser om denne inte vill ge det. Med andra ord ska personen ha möjlighet att säga nej till behandlingen och därmed inte ge sitt samtycke. Dessutom kan det i vissa fall råda ett ojämlikt maktförhållande mellan parterna som gör att samtycket inte anses vara frivilligt. Till exempel förhållandet mellan en arbetsgivare och arbetstagare. Vid sådana fall har arbetstagaren en svagare ställning än arbetsgivaren och därför är samtycke i de flesta fall inte en lämplig rättslig grund att använda.
- Informerat: Företag måste informera om behandlingen av personuppgifter innan en person ger sitt samtycke till behandlingen i fråga. Dessutom måste informationen vara tillräcklig och tydlig. Till exempel ska informationen ange vilka personuppgifter företaget behandlar, hur samtycket kan bli återkallat och om företaget kommer överföra personuppgifterna till ett tredjeland (dvs. ett land utanför EU/EES-området).
- Otvetydigt medgivande: En person kan inte ge sitt samtycke genom att tiga eller vara passiv. Ett exempel på ogiltigt samtycke är om ett företag har en ikryssad ruta för samtycke. Ett annat exempel är om en person besöker en webbplats där det står att webbplatsen kommer använda cookies om personen fortsätter att vara inne på webbplatsen.
Inte alltid lämpligt
Observera att samtycke inte alltid är en lämplig rättslig grund att använda för vissa typer av behandlingar av personuppgifter. Därför kan det vara bra att analysera om det finns någon annan rättslig grund som är mer lämplig. Det är också viktigt att tänka på att det ska vara lika enkelt att återkalla ett samtycke som det var att ge samtycket. Om det är för svårt att återkalla samtycket, är samtycket ogiltigt. När någon återkallar sitt samtycke ska det inte heller kosta något. Dessutom måste företaget upphöra med behandlingen av personuppgifterna som baserades på samtycket innan det blev återkallat. Däremot förblir behandlingen giltig, som tidigare hade blivit utförd med stöd i samtycket, men behandlingen får inte fortsätta genomföras.