Samtycke för behandling av personuppgifter – vad gäller?

I samband med att GDPR implementerades i EU uppstod flera frågetecken om vad som faktiskt gällde. Den allmänna inställningen var då att samtycke krävdes för all typ av personuppgiftsbehandling, även sådan som ingick i exempelvis ett kundförhållande.

Samtycke är emellertid bara en av de sex rättsliga grunder som GDPR uppställer. Enligt Integritetsskyddsmyndigheten (IMY) är samtycke dessutom den grund som ska övervägas i sista hand. Anledningen till det är att ett samtycke uppställer så många krav för att vara giltigt.

Enligt artikel 4.11 GDPR föreligger det flertalet krav för att samtycke ska anses vara giltigt. Samtycke föreligger om:

  • Samtycket är frivilligt lämnat
  • Personen är informerad
  • Samtycket är lämnat för ett specifikt ändamål
  • Det är uttryckligt lämnat och genom en positiv handling
  • Det är på ett tillgängligt och tydligt språk för personen
  • Det är lika lätt att ge som att dra tillbaka samtycket

För att ett samtycke ska anses som frivilligt givet ska personen som ger samtycket ha möjlighet att neka eller dra tillbaka sitt samtycke utan att missgynnas – eller uppfattas som den missgynnas (artikel 29-gruppens yttrande 15/2011 (WP 187 s.12)). Frivilligheten kan inte anses uppfylld om det föreligger en maktobalans mellan parterna (GDPR skäl 43). Ett exempel som nämns av IMY är relationen mellan myndighet och privatperson eller mellan en arbetsgivare och arbetstagare.

Som arbetsgivare har man laglig grund för att behandla de personuppgifter som krävs för anställningen. Den behandlingen stöds oftast på grunden avtal. Man bör dock inte samtidigt som vid tecknandet av anställningsavtal försöka få ett samtycke för att personen ska figurera på bilder, publiceras på hemsidan etc. Arbetsgivaren bör istället undersöka om bildpubliceringen är motiverad utifrån den anställdes arbetsroll och försöka stödja behandlingen på en annan rättslig grund.

Kravet på att personen ska vara informerad förutsätter att all information om hur uppgifterna behandlas framgår i samband med att samtycket ges enligt artikel 7 GDPR. Kravet vävs samman i de flesta situationer med efterföljande kriterium som förutsätter att samtycket ska vara lämnat för ett specifikt ändamål. För att samtycket ska uppfylla dess kriterium måste det enligt IMY vara möjligt att ge separata samtycken för olika behandlingar av personuppgifter. Alla förutsättningar för hur uppgifterna ska användas måste framgå i samband med samtycket, länkar eller bilagor med uppgiftsbehandlingen som personen inte behöver läsa för att ta ge samtycke är inte tillåtna.

Att ett samtycke ska lämnas genom en positiv handling innebär att rutor eller andra digitala ifyllnadssätt inte får vara ifyllda av annan än personen som ska lämna samtycke. Ett samtycke ska inte vara presumtionen som personen måste bryta för att ta tillvara sina intressen.

Som framgår föreligger flertalet krav och formaliteter för att ett samtycke ska anses giltigt. Den som är personuppgiftsansvarig bör konsultera en jurist för att försäkra sig om att grunden samtycke går att använda och att informationen är korrekt. En bedömning bör även göras för att se om inte en annan mer lämplig grund kan användas istället.

Katarina Ladenfors, partner & advokat – Advokatfirman MarLaw