Samtycke enligt personuppgiftslagen

På den här sidan får du veta mer om vad som menas med begreppet samtycke. I korthet är samtycke ett godkännande från den registrerade att någon behandlar personuppgifter om honom eller henne.

Allmänt om personuppgiftslagen
Strukturerat eller ostrukturerat
Samtycke enligt personuppgiftslagen
Olika slag av samtycke
Samtycket behöver inte vara skriftligt
Vem kan samtycka?
Att ta tillbaka ett samtycke
Om man struntar i kravet på samtycke
Samtycke i några särskilda situationer
Samtyckets betydelse för anmälningsskyldigheten
Exempel på skriftligt samtycke

Allmänt om personuppgiftslagen

Personuppgiftslagens bestämmelser gäller när behandlingen av personuppgifter – till exempel insamling, registrering eller lagring – är helt eller delvis automatiserad. De gäller även för manuell behandling av personuppgifter om de ingår i eller är avsedda att ingå i en strukturerad samling som är tillgänglig för sökning eller sammanställning. Personuppgiftslagen gäller inte om det skulle strida mot tryck- eller yttrandefriheten. Undantag gäller också för journalistiska ändamål eller konstnärligt eller litterärt skapande. Om det i en annan lag eller förordning finns bestämmelser som avviker från personuppgiftslagen gäller de bestämmelserna i stället för reglerna i personuppgiftslagen. Om behandling av personuppgifter görs uteslutande för privata ändamål gäller inte heller personuppgiftslagen.

Utgångspunkten är att personuppgiftsbehandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns det omfattande undantag.

En viktig del i integritetsskyddet är att den registrerade informeras om de behandlingar av personuppgifter som utförs och personuppgiftslagen innehåller därför utförliga regler om kravet på information. Personuppgiftslagen innehåller även regler om krav på den personuppgiftsansvarige och på de behandlingar som utförs samt regler om säkerhet och skadestånd med mera.

Strukturerat eller ostrukturerat

De nu beskrivna reglerna gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material, som löpande text och ljud och bild gäller en förenklad reglering. Informationen på den här sidan beskriver det som gäller för strukturerad personuppgiftsbehandling.

Samtycke enligt personuppgiftslagen

Ett samtycke ska vara

  • individuellt
  • frivilligt
  • särskilt

I personuppgiftslagen definieras samtycke som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

Samtycket ska vara individuellt. Det ska alltså vara den registrerade själv som med egen vilja godtar behandlingen av personuppgifter. Det räcker inte att till exempel en förening för sina medlemmars räkning godtar behandling av personuppgifter.

Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas.

Här måste den personuppgiftsansvarige göra en bedömning av läget. Samtycke kan ju vara en förutsättning för att den registrerade ska få något som han eller hon önskar eller behöver, till exempel ett telefonabonnemang, en semesterresa, en livsnödvändig sjukvårdsbehandling, anställning, bostadsbidrag, etcetera. Om den registrerade i praktiken inte kan avstå kan samtycket inte gärna vara "frivilligt". En annan situation uppstår när man har en underordnad eller beroende ställning i förhållande till den personuppgiftsansvarige, som till exempel när en arbetsgivare begär samtycke till registrering av uppgifter om en arbetstagare eller arbetssökande.

I de flesta fall vållar inte kravet på frivillighet några bekymmer utan den enskilde får, efter att ha fått information om behandlingen, själv ta ställning till om han eller hon accepterar den för att till exempel erhålla en vara eller tjänst. Konsekvensen av att man inte samtycker kan bli att man inte får varan eller tjänsten.

Om däremot myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster kan det dock starkt ifrågasättas om kravet på frivillighet är uppfyllt. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige finna annat stöd för behandlingen i personuppgiftslagen eller i någon annan lagstiftning.

Gav du dem ditt samtycke till allt? Jag vill ju så gärna vara en ja-sägare.

Kravet på att samtycket ska vara särskilt innebär att ett generellt samtycke till behandling av personuppgifter inte kan godtas. Samtycket ska gälla behandling för ett eller flera preciserade ändamål. Det kan till exempel inte godtas som samtycke att enskilda generellt medger att hälsouppgifter om dem får behandlas för allehanda framtida forskning.

Att samtycket ska vara en otvetydig viljeyttring innebär att det inte får råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter som rör honom eller henne. Det är den personuppgiftsansvarige som har bevisbördan för att ett samtycke faktiskt finns.

När det gäller känsliga uppgifter, det vill säga uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv krävs att samtycket ska vara uttryckligt. Det innebär att samtycket måste komma till uttryck på ett särskilt tydligt sätt. Det betyder att det ligger i den personuppgiftsansvariges intresse att välja en form för samtycket som tydligt visar den registrerades vilja. Samtycke genom så kallat konkludent handlande är inte tillräckligt, se nästa avsnitt.

För att samtycket ska vara giltigt enligt personuppgiftslagen ska den registrerade ha fått tillräcklig information om behandlingen. Den registrerade måste ha fått sådan information att han eller hon kan ta ställning till om hans eller hennes personuppgifter ska få behandlas för det ändamål och på det sätt som planerats. Ett samtycke kan alltså inte omfatta annan behandling än sådan som den registrerade fått information om.

Olika slag av samtycke

Samtycke kan ske genom konkludent handlande men hypotetiskt och tyst samtycke kan inte godtas.

I praktiken finns det olika sätt att informera och inhämta respektive lämna samtycke på. Om den personuppgiftsansvarige och den tilltänkt registrerade har kontakt på något sätt (vid sammanträffande, per telefon eller skriftligen) i samband med att den personuppgiftsanvarige lämnar information om behandlingen och den registrerade uttryckligen samtycker, blir det knappast några problem med samtyckets giltighet. Men det finns andra fall som kan vålla problem eller som inte kan godtas som samtycke i personuppgiftslagens mening.

Tänk dig till exempel att den personuppgiftsansvarige gör ett antagande om att den registrerade inte har något att erinra mot behandlingen. Ett sådant hypotetiskt samtycke kan aldrig godtas som ett samtycke enligt personuppgiftslagen hur välgrundad hypotesen (antagandet) om den registrerades inställning till behandlingen än är, eftersom en sådan hypotes inte kan anses vara en viljeyttring.

En annan form av samtycke som inte heller kan godtas är tyst samtycke. Det innebär att den registrerade informeras om en tilltänkt behandling och ges en viss frist för att motsätta sig behandlingen. Tanken är då att den registrerade själv ska ta initiativet för att stoppa behandlingen. Den personuppgiftsansvarige kan dock inte kräva att den registrerade själv ska vara aktiv för att slippa en planerad behandling som kräver samtycke. Samtycket ska ju vara en otvetydig viljeyttring.

Däremot kan konkludent handlande grunda ett samtycke. Konkludent handlande innebär i det här sammanhanget att den registrerade lämnar efterfrågade uppgifter efter att ha fått information om såväl den tilltänkta behandlingen som att det är frivilligt att lämna uppgifterna och att själva uppgiftslämnandet betraktas som ett samtycke. Som exempel kan nämnas att den som skickar in en talong med ifyllda namn- och adressuppgifter till ett företag för att få marknadsföringsmaterial därigenom får anses ha samtyckt till den behandling som krävs för att administrera utskicket av materialet. Enligt personuppgiftslagen får personnummer behandlas utan samtycke endast om det finns beaktansvärda skäl. Ett exempel på att konkludent handlande kan godtas som samtycke även beträffande personnummer förekommer i samband med videouthyrning. En videouthyrare har inte någon rätt att få uppgift om personnummer från sina kunder och kunderna har inte heller någon skyldighet att lämna sitt personnummer till videouthyrare när de vill hyra en film. Om en kund ändå lämnar ut sitt personnummer till video­uthyraren i en sådan situation får det därför anses ske med samtycke. Situationen har sin motsvarighet vid många andra affärsuppgörelser av privat karaktär där utlämnandet av personnumret är att se som ett avtalsvillkor som kunden är fri att säga ja eller nej till. Här är det viktigt att kunden får veta på vilket sätt och för vilka ändamål videouthyraren tänker behandla uppgiften om personnummer.

Konkludent handlande är i normalfallet inte godtagbart som samtycke till behandling av känsliga personuppgifter eftersom ett sådant samtycke måste vara uttryckligt på det sätt som beskrivits i avsnittet Vad är samtycke enligt personuppgiftslagen?.

Samtycket behöver inte vara skriftligt

Samtycket kräver inte viss form. Det behöver inte vara skriftligt utan kan lämnas muntligt, men skriftligt samtycke kan vara bra för att dokumentera samtycket.

I personuppgiftslagen finns inte några krav på att samtycket ska vara skriftligt eller att det ska dokumenteras. Det kan alltså räcka med ett muntligt samtycke. Eftersom det är den personuppgiftsansvarige som har bevisbördan för att det verkligen finns ett samtycke kan det vara lämpligt att på något sätt dokumentera det. Det kan ske på olika sätt, till exempel en enkel notering i en lista över tänkbara kunder. Det kan vara både praktiskt och lämpligt att utarbeta en blankett för att dokumentera samtycket. Den bör innehålla information om den tilltänkta behandlingen. Dessutom bör det vid den enskildes underskrift anges att han eller hon tagit del av informationen och samtycker till behandlingen. Om skriftlig information ges separat är det lämpligt att ett exemplar av den informationen förvaras i anslutning till samtycket så att det i efterhand kan konstateras vad samtycket omfattat.

Se ett exempel på hur en samtyckesblankett kan se ut längre ner på denna sida

Samtycke kan också inhämtas digitalt, till exempel via Internet eller e-post. Det kan vara naturligt att inhämta samtycke på detta sätt om också övrig kommunikation sker via nätet. Även här gäller att information om den tilltänkta behandlingen måste ges. Informationen kan lämpligen framgå i samband med en presentation av aktuell tjänst och en förfrågan om samtycke kan göras i anslutning till tjänsten, till exempel i samband med inregistrering. Det är den personuppgiftsansvarige som har bevisbördan för att det finns ett samtycke. Här är det bra om den personuppgiftsansvarige är särskilt försiktig eftersom det inte med säkerhet går att identifiera en person som lämnar sitt samtycke via Internet eller e-post om det inte förekommer särskilda identifikations­förfaranden i anslutning till systemet.

Vem kan samtycka?

Endast den som kan förstå innebörden av ett samtycke kan lämna ett giltigt samtycke i personuppgiftslagens mening.

Enligt personuppgiftslagen är det den registrerade, det vill säga den som personuppgifterna gäller, som kan samtycka till behandling av personuppgifterna.

För att ett giltigt samtycke ska kunna ges krävs att den registrerade är kapabel att förstå innebörden av samtycket. När det gäller vuxna personer är det kravet vanligtvis uppfyllt. Vuxna personer kan dock sakna förmåga att förstå innebörden av ett samtycke. De kan till exempel vara psykiskt sjuka eller dementa. Om så är fallet kan en eventuell behandling av personuppgifter inte heller grundas på samtycke från till exempel en anhörig. Behandlingen får då istället utföras med stöd av någon annan bestämmelse i personuppgiftslagen eller i någon annan författning. Om det inte är möjligt får den personuppgiftsansvarige avstå från behandlingen.

Också den som är underårig (det vill säga under 18 år) kan lämna giltigt samtycke till en tilltänkt behandling om han eller hon är kapabel att förstå innebörden av samtycket. Men måste inte även den underåriges vårdnadshavare lämna sitt samtycke för att behandlingen ska vara tillåten? Ja, det varierar från fall till fall och beror på faktorer som ålder, uppgifternas art och ändamålet med behandlingen. Om det rör sig till exempel om forskning där man använder uppgifter om äldre tonåringar kan det vara lämpligt att inhämta samtycke från både tonåringen och vårdnadshavaren. Om det är forskning som rör yngre barn ska samtycke alltid inhämtas från vårdnadshavaren.

Om uppgifter om underåriga ska behandlas är det särskilt viktigt att göra en seriös bedömning av den unges förmåga att förstå de totala konsekvenserna av en behandling. En tumregel kan vara att den som fyllt 15 år normalt är kapabel att ta ställning i samtyckesfrågan. Många gånger är det dock så att andra regler än de som finns i personuppgiftslagen hindrar att personuppgifter om barn behandlas. Det finns till exempel begränsningar när det gäller att skicka direktreklam till barn.

Att ta tillbaka ett samtycke

Om man återkallar, det vill säga tar tillbaka, ett samtycke till behandling av personuppgifter får ytterligare uppgifter inte behandlas.

I de fall behandlingen av personuppgifter utförs med stöd av personuppgiftslagen och bara är tillåten om den registrerade har lämnat sitt samtycke kan den registrerade när som helst återkalla sitt samtycke. En återkallelse av ett lämnat samtycke medför att ytterligare personuppgifter om den registrerade därefter inte får samlas in eller på annat sätt behandlas. Uppgifter som redan samlats in får trots återkallelsen fortsätta behandlas i enlighet med det ursprungligen lämnade samtycket men uppgifterna får till exempel inte uppdateras eller kompletteras. Det är alltså inte möjligt för den registrerade att genom att återkalla ett samtycke stoppa behandling av uppgifter som redan samlats in med stöd av samtycke. Ett grundläggande krav i personuppgiftslagen är dock att de personuppgifter som behandlas ska vara riktiga och om nödvändigt aktuella. Detta krav innebär att personuppgifter normalt inte kan behandlas någon längre tid efter det att ett samtycke återkallats eftersom den personuppgiftsansvarige inte längre vare sig vet eller har möjlighet att ta reda på om de är riktiga. De registrerade uppgifterna kan med tiden bli felaktiga, till exempel adresser genom att den registrerade har flyttat. Man kan då behöva ta bort (upphöra att behandla) sådana uppgifter.

När det gäller verkningarna av att man återkallar ett lämnat samtycke finns det avvikande regler i lagen om biobanker i hälso- och sjukvården. Enligt denna lag ska vävnadsprover som sparats i en biobank förstöras eller avidentifieras om samtycket från den som lämnat provet återkallas. När det däremot gäller de personuppgifter som kan finnas i register i anslutning till biobanken gäller personuppgiftslagens regler, det vill säga att man inte får samla in några nya uppgifter efter att samtycket återkallats men att man kan fortsätta att använda de uppgifter som redan samlats in.

Återkallelsen kan vara antingen muntlig eller skriftlig. Den registrerade har bevisbördan för att en återkallelse har gjorts och för uppgift om när den gjordes.

Om man struntar i kravet på samtycke

Om man behandlar personuppgifter i strid med kravet på samtycke kan följden bli ett ingripande från Datainspektionen, skadestånd och i vissa fall straff.

Behandlas personuppgifter i strid med kravet på samtycke kan Datainspektionen genom påpekanden eller på annat sätt försöka åstadkomma rättelse. Går det inte att få rättelse kan inspektionen vid vite förbjuda annan behandling av uppgifterna än lagring. I särskilt allvarliga fall kan Datainspektionen ansöka hos länsrätten om att uppgifterna ska utplånas.

I vissa fall är det straffbart att behandla personuppgifter i strid med kravet på samtycke och om den registrerade utsatts för skada eller kränkning kan man bli skyldig att betala skadestånd.

Samtycke i några särskilda situationer

Ideella organisationer

Ideella organisationer kan behandla känsliga personuppgifter utan samtycke men det gäller bara inom ramen för sin verksamhet. Om organisationen vill behandla uppgifter i en annan verksamhet eller om uppgifterna ska lämnas ut till tredje man, måste därför ett uttryckligt samtycke inhämtas från de registrerade för att behandlingen ska vara laglig. Vad som avses med uttryckligt kan du läsa mer om i avsnittet Samtycke enligt personuppgiftslagen.

Uppgifter om lagöverträdelser

Från regeln att den enskilde kan samtycka till all slags behandling av personuppgifter finns ett undantag. I personuppgiftslagen finns ett förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar bland annat brott och domar i brottmål. Det förbudet kan inte upphävas genom samtycke från den registrerade. Den som vill behandla sådana uppgifter måste hitta en annan grund för behandlingen.

Forskning

Behandling av personuppgifter för forsknings- eller statistikändamål som inte innefattar känsliga personuppgifter får ske med stöd av samtycke eller om behandlingen är nödvändig för någon av de situationer som räknas upp i personuppgiftslagen. Den punkt som ligger närmast till hands när det gäller forskning är den som tillåter att personuppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna utföras.

Då känsliga personuppgifter behandlas för forskningsändamål krävs att det sker med stöd av ett uttryckligt samtycke eller att en etikprövningsnämnd har godkänt behandlingen. Känsliga personuppgifter får behandlas för statistikändamål om det finns ett uttryckligt samtycke eller om behandlingen är nödvändig för någon av de intressesituationer som räknas upp i personuppgiftslagen (se ovan) och det intresset klart väger över den risk för otillbörligt intrång i enskildas integritet som behandlingen kan innebära.

När man behandlar personuppgifter med stöd av ett samtycke är det viktigt att informationen och samtycket omfattar inte bara själva deltagandet i forsknings- eller statistikprojektet utan också den personuppgiftsbehandling som förekommer inom ramen för detta. Tänk på att behandling av personuppgifter på forskningsområdet med hänsyn till forskningsetiska principer ofta förutsätts ske med stöd av samtycke även i fall där det inte krävs enligt personuppgiftslagen.

Läs mer om personuppgifter i forskningen

Registrering i avvaktan på samtycke och bortfallsanalyser

Viss registrering av personuppgifter kan behövas för att själva samtycket ska kunna inhämtas. En sådan registrering kan av naturliga skäl inte grundas på samtycke men kan ändå vara tillåten. Känsliga personuppgifter får dock inte behandlas, utan behandlingen bör begränsas till de uppgifter som behövs för att den personuppgiftsansvarige ska få kontakt med den registrerade.

I samband med statistiska bearbetningar av personuppgifter uppkommer ett särskilt problem beträffande så kallade bortfallsanalyser. Med bortfallsanalys menas en statistisk analys av uppgifter om den som inte har velat medverka i den statistiska undersökningen.

Om en viss behandling av personuppgifter är tillåten bara när den enskilde lämnat sitt samtycke får uppgifter om den berörde inte behandlas om samtycke inte ges. Det innebär att bortfallsanalyser inte får genomföras. I en sådan situation kan den personuppgiftsansvarige efterfråga samtycke till att bara behandla vissa personuppgifter för bortfallsanalys. Vägrar den enskilde får bortfallsanalysen inte omfatta hans eller hennes personuppgifter. Frågan om deltagande i bortfallsanalys kan givetvis ställas redan i samband med begäran om samtycke.

Det här gäller alltså bortfallsanalyser i samband med behandling av personuppgifter som är tillåten endast med stöd av samtycke. Annat kan ju gälla vid en behandling av personuppgifter som i sig är tillåten utan samtycke. Exempelvis har det ansetts att analyser om de personer som har utvalts att delta i statistiska undersökningar inom ramen för Sveriges officiella statistik men av skilda anledningar inte deltar i undersökningarna ska kunna göras utan samtycke.

Arbetslivet

Arbetstagare befinner sig ofta i en beroendeställning till arbetsgivaren. Behandling av personuppgifter i arbetslivet med stöd av samtycke bör därför begränsas till sådana situationer där arbetstagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne.

Läs mer om personuppgifter i arbetslivet

Abonnentupplysning

I lagen om elektronisk kommunikation finns det särskilda bestämmelser om hur uppgifter om abonnenter får behandlas vid upplysningstjänster, till exempel nummer- och adressupplysning. Abonnentens namn, adress, telefonnummer och yrke eller titel får bara behandlas om abonnenten lämnat sitt samtycke. Abonnenten kan när som helst, helt eller delvis återkalla ett lämnat samtycke. Ytterligare uppgifter om denne får därefter inte behandlas.

Dessa bestämmelser gäller både för de aktörer som säljer upplysningar om abonnentuppgifter till allmänheten och för de som förmedlar dessa vidare till andra som gör detta.

Elektronisk kommunikation

Lagen om elektronisk kommunikation innehåller andra krav på samtycke, till exempel för behandling av trafikuppgifter och vissa lokaliseringsuppgifter.

Samtyckets betydelse för anmälningsskyldigheten

Personuppgiftsbehandling som görs med stöd av samtycke behöver inte anmälas till Datainspektionen.

Om man behandlar personuppgifter med stöd av samtycke från de registrerade behöver man inte anmäla helt eller delvis automatiserad behandling till Datainspektionen. Behandling av personuppgifter om genetiska anlag som framkommit efter en genetisk undersökning ska dock alltid, oavsett samtycke, anmälas till Datainspektionen för förhandskontroll.

Läs mer om anmälan

Exempel på skriftligt samtycke

Följande information ska lämnas till den registrerade innan han eller hon samtycker:

  • Den personuppgiftsansvariges identitet (namn, adress, telefonnummer och i förekommande fall organisationsnummer och e-postadress)
  • ändamålen med behandlingen och
  • all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, som till exempel
    • vilka kategorier av uppgifter som ska behandlas
    • information om mottagarna eller kategorier av mottagare av uppgifterna
    • skyldighet att lämna uppgifter och
    • rätten att ansöka om information och få rättelse.

Här nedan ser du ett exempel på hur man kan utforma informationen och samtycket. Observera att det endast är fråga om ett exempel och inte en mall som går att tillämpa generellt. Informationen måste alltid anpassas till det enskilda fallet.

Bolaget AB
Storgatan 5
102 99 Storstaden
tel. 08-123 456
info@bolaget.se
org.nr. 1234567890

Bolaget AB skulle vilja att du lämnar vissa uppgifter om dig själv till bolaget. Vi skulle vilja behandla personuppgifter om dig för att få en bild av hur du och andra svenskar brukar tillbringa er lediga tid för att på så sätt kunna utveckla nya typer av fritidstjänster.

De uppgifter vi avser att samla in och behandla är namn, ålder, adress, civilstånd, antal barn, barnens ålder, familjens disponibla inkomst efter skatt, förmögenhet, bostadsförhållanden, innehav av fritidsfastighet, innehav av bil och båt, samt uppgifter om hur du brukar tillbringa din fritid.

Du avgör själv om du vill lämna några uppgifter till oss. Uppgifterna kommer endast att behandlas av oss inom företaget. Anonymiserade uppgifter eller helt avidentifierade uppgifter kan dock komma att lämnas ut till externa mottagare såsom företag inom rese-, turist-, hotell och fritidsartikelbranschen.

Du har enligt 26 § personuppgiftslagen (1998:204) rätt att gratis, en gång per kalenderår, efter skriftligt undertecknad ansökan ställd till oss, få besked om vilka personuppgifter om dig som vi behandlar och hur vi behandlar dessa. Du har också rätt att enligt 28 § personuppgiftslagen begära rättelse i fråga om personuppgifter som vi behandlar om dig.

Jag samtycker till att Bolaget AB behandlar personuppgifter om mig i enlighet med det ovanstående.

.............................................
Ort och datum

.............................................
Namn

Personuppgiftslagen

Informationen på denna sida riktar sig i första hand till personuppgiftsansvariga, det vill säga den som behandlar personuppgifter.

Mer information

Aktuella fall

Bland våra samrådsyttranden hittar du många exempel på frågeställningar kring samtycke.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.

Beställ som broschyr

Samtycke enligt personuppgiftslagenDu kan också beställa en tryckt broschyr. Besök vår beställningstjänst.