Artikel 6(1)(a) i GDPR

Samtycke är en av de rättsliga grunderna

Samtycke är en av de rättsliga grunderna som företag kan använda vid behandling av personuppgifter enligt artikel 6(1)(a) i GDPR. 

Info om Samtycke som rättslig grund

Ett samtycke kan vara både muntligt eller skriftligt lämnat, men eftersom GDPR kräver att företag måste visa att de följer regelverket, är det bättre med skriftliga samtycken. De är nämligen enklare att bevisa. 

Det är inte ett måste att få ett samtycke för att få behandla personuppgifter. Faktum är att det inte ens alltid är lämpligt eller tillåtet att basera behandling av personuppgifter på denna rättsliga grund. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Ojämlika maktförhållanden

Om det råder ett ojämlikt maktförhållande mellan den personuppgiftsansvarige och de registrerade, där den personuppgiftsansvarige innehar den starkare maktpositionen, är det i de flesta fall inte tillåtet att använda samtycke som rättslig grund. 

Till exempel när en arbetsgivare ska behandla personuppgifter tillhörande en arbetstagare. Vid sådana fall är det mer lämpligt att använda avtal som den rättsliga grunden för behandling av personuppgifter som är nödvändiga att behandla för att fullgöra anställningsavtalet.

Krav för giltiga samtycken

För att samtycken ska vara giltiga, måste de vara: 

Medvetna

Ett medvetet samtycke innebär att företaget ska informera de registrerade om behandlingen. Syftet är att de registrerade ska vara medvetna om bland annat vilka kategorier av personuppgifter företaget kommer att behandla, vad ändamålet med behandlingen är och hur de kan återkalla sitt lämnade samtycke. Observera att det ska vara gratis att återkalla samtycket. Dessutom ska det vara lika enkelt att återkalla det, som det var att ge samtycket.

Frivilliga

Vidare måste samtycken vara frivilliga och lämnade utan yttre påverkan. När det råder ett ojämlikt maktförhållande mellan två parter och den registrerade är den svagare parten, anses den registrerade inte kunna lämna ett frivilligt samtycke. Exempelvis i relationen mellan en arbetsgivare och en arbetstagare, eller en myndighet och medborgare. Vid sådana fall ska arbetsgivaren inte använda samtycke som rättslig grund för behandling av den registrerades personuppgifter. Detta beror på att den registrerade kanske inte vågar neka samtycket på grund av rädsla för att bli av med sin anställning eller annan konsekvens, då denne innehar en svagare maktposition gentemot arbetsgivaren. Därför kan den rättsliga grunden om Avtal med den registrerade vara mer lämplig att använda.

Aktiva

Dessutom måste ett samtycke vara lämnat aktivt. Ett aktivt samtycke innebär att den registrerade ger en entydig viljeyttring. Till exempel genom att aktivt kryssa i en ruta för samtycke till en viss specifikt angiven behandling av personuppgifter. Om rutan redan är ikryssad, har den registrerade inte lämnat ett aktivt samtycke och därmed är ett sådant samtycke inte giltigt. Den registrerade kan inte anses ha samtyckt till något genom sin passivitet. Det kräver snarare en aktiv handling från den registrerade. Att den registrerade inte säger “nej,” betyder inte ett “ja” till en behandling. Den registrerade måste aktivt samtycka till en personuppgiftsbehandling, för att samtycket ska vara giltigt.

Det är vanligt att "Consent or pay-modeller” på onlinetjänster inte uppfyller kraven för giltigt samtycke

Den Europeiska dataskyddsstyrelsen konstaterade att ”Consent or pay-modeller” på onlinetjänster, såsom sociala medier, ofta inte uppfyller kraven för giltigt samtycke enligt GDPR. Detta gäller under förutsättning att användarna endast får möjlighet att välja mellan två val. 

  • De två valen är ofta att: 
  • Användaren ska samtycka till att deras personuppgifter får bli behandlade för riktad marknadsföring, eller
  • Användaren ska betala för att deras personuppgifter inte ska bli använda för sådan marknadsföring.

Enligt den Europeiska dataskyddsstyrelsen bör onlineplattformarna även erbjuda en avgiftsfri möjlighet att neka riktad marknadsföring. Detta eftersom många användare vill undvika betalning och av den anledningen väljer att de samtycker till riktad marknadsföring, utan att egentligen förstå hur deras personuppgifter blir behandlade vid sådana fall. 

Information som ska framgå till de registrerade i samband med att de ska ge sitt samtycke

I samband med att en individ ska ge sitt samtycke till behandling av dennes personuppgifter, måste viss information framgå om behandlingen. Detta är ett krav för att ett samtycke ska vara medvetet. 

  • Bland annat ska följande information bli lämnad till den registrerade: 
  • Vem eller vilka som är ansvariga (personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud).
  • Syftet med behandlingen av personuppgifterna.
  • Vilka kategorier av personuppgifter företaget ska behandla med stöd i samtycket.
  • Hur den registrerade kan återkalla det lämnade samtycket.
  • Om företaget använder personuppgifterna för automatiska enskilda beslut och profilering.
  • Ifall företaget överför personuppgifterna till ett tredjeland (dvs. ett land utanför EU/EES-området) och vilka risker det medför.

I vissa fall behöver företag få ett uttryckligt samtycke

Kravet på ett uttryckligt samtycke innebär att den registrerade tydligt måste uttrycka sitt samtycke. Exempelvis genom en underskrift, elektronisk signering eller intygande i flera steg. Det kan till exempel ske genom att den registrerade aktivt besvarar ett e-postmeddelande och därefter får en kod per SMS som ska aktiveras för att samtycket ska bli lämnat. Ju känsliga personuppgifter ett företag behandlar, desto större skyldigheter har företaget. 

  • Ett uttryckligt samtycke kan behövas om företaget:
  • Behandlar känsliga personuppgifter, såsom uppgifter om hälsa eller religiös tillhörighet.
  • Överför personuppgifter till ett tredjeland.
  • Utför profilering eller automatiskt enskilda beslut.

Samtycke från barn

Det är tillåtet i vissa fall för barn att ge sitt samtycke till behandling av deras personuppgifter. Till exempel när det gäller informationssamhällets tjänster, såsom sociala medier. Enligt GDPR är åldersgränsen vid dessa fall 16 år. Om barnet är under 16 år måste vårdnadshavaren ge sitt samtycke. Däremot har varje land rätt att sänka åldern, vilket flera länder har gjort. Finland och Sverige har sänkt åldern till 13 år. 

Observera att kraven är högre när företag behandlar personuppgifter tillhörande barn.

Italien

I Italien hade en flicka på 10 år lyckats skapa flera användarkonton utan vårdnadshavarens samtycke på en känd sociala medier plattform, vilket inte är tillåtet. Flickan avled senare, vilket ledde till att den italienska Dataskyddsmyndigheten inledde en granskning mot företaget och senare även mot andra sociala medier.

Holland

Till exempel ska informationen om behandlingen vara skriven på ett enkelt och lättförståeligt språk. I Holland hade ett internationellt företag, som bedriver en mobilapplikation med många barn som användare, informerat om behandlingen på engelska, vilket inte var det nationella språket. Därför fick företaget betala en sanktionsavgift. Det är viktigt att barnen förstår informationen om behandlingen av personuppgifterna.

Dataskyddsförordningen

En annan rättslig grund för behandling av personuppgifter: Berättigat intresse enligt artikel 6(1)(f) i GDPR

Ett företag kan ha ett berättigat intresse av att behandla vissa personuppgifter. Med andra ord att företaget anser att deras intresse är högre och att den registrerades grundläggande friheter och rättigheter samt intressen inte väger tyngre och kräver skydd av personuppgifterna. För att komma fram till detta, måste företaget göra en intresseavvägning. 

Två exempel på när företag kan ha ett berättigat intresse är för att förhindra bedrägeri eller utföra direktmarknadsföring till tidigare kunder. Exempel på direktmarknadsföring är när företag skickar marknadsföring via e-post. 

Vill du lära dig mer?

Klicka här
Rulla till toppen