meny

Samtycke

Den rättsliga grunden samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen. Men i många fall är det inte en lämplig grund att stödja sig på. Överväg därför alltid om ni kan använda någon av de andra rättsliga grunderna.

Den rättsliga grunden samtycke kan exempelvis användas av företag som samlar in adresser för att skicka ut nyhetsbrev. Samtycke är dock ofta en olämplig rättslig grund för myndigheter, eftersom samtycket måste vara frivilligt och jämlikt.

Här går vi igenom vilka krav som gäller för samtycke och ger exempel på när samtycke är en lämplig rättslig grund. Längst ned på denna sida finns det en checklista som du kan ha som stöd i processen när du vill inhämta samtycke samt hänvisningar till hur kraven formuleras i dataskyddsförordningen. Till höger hittar du länkar till information om de andra rättsliga grunderna.

Samtycke inte första valet

En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men i många fall är det inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke. Varför det är så framgår av informationen på denna sida.

Använd endast en rättslig grund: Kan ni stödja er personuppgiftsbehandling på någon av de andra fem rättsliga grunderna, så får ni inte dessutom inhämta samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Fråga inte om ni inte kan respektera ett nej

Som personuppgiftsansvarig ansvarar ni för att bedöma om samtycke är en lämplig rättslig grund. För att det ska vara lämpligt måste det vara frivilligt: den registrerade ska kunna avgöra om personuppgifterna ska få behandlas, och hen ska alltid kunna säga nej. Maktförhållandet måste dessutom vara jämlikt.

Samtycket ska vara frivilligt

Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Samtycket blir därför ogiltigt om någon har utsatts för påverkan. Den registrerade får inte heller drabbas av negativa konsekvenser om hen inte lämnar sitt samtycke.

De registrerade ska kunna ångra sig

Illustration: Oscar Alarik

Förklara klart och tydligt för den som ska lämna sitt samtycke att hen alltid har rätt att ångra sig. Det ska vara lika lätt att lämna ett samtycke som att återkalla det. Detta är särskilt viktigt när det gäller barn.

Obs! Om det är svårt att återkalla samtycket är det inte giltigt. Om den registrerade inte kan eller får återkalla sitt samtycke utan att drabbas av negativa konsekvenser är samtycket inte frivilligt.

Jämlika maktförhållanden

För att ni ska kunna använda samtycke som rättslig grund måste maktförhållandet vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, och mellan arbetsgivare och arbetstagare. Om det råder ett ojämlikt maktförhållande kan ni inte stödja er på samtycke.

Ställ inte krav i samband med samtycket

Ni får inte ställa krav på den registrerade i samband med samtycket. I dataskyddsförordningen kallas detta "paketering" och innebär att den registrerade direkt eller indirekt måste ge en motprestation för tjänsten eller varan, till exempel godta vissa användarvillkor eller affärsvillkor. Om dessa villkor inte är nödvändiga är samtycket inte frivilligt, och därmed inte giltigt.

Obs! Om ni bedömer att er organisation måste behandla vissa personuppgifter eftersom de är nödvändiga för att verksamheten eller tjänsten ska fungera, bör ni istället överväga en annan rättslig grund, som exempelvis Avtal med den registrerade.

Den registrerade ska godkänna att personuppgifterna används

Det ska tydligt framgå att den registrerade godkänner att personuppgifterna används. Samtycket kan ges genom ett uttalande eller en entydigt bekräftande handling, till exempel med en kryssruta på en webbplats.

Obs! Förifyllda kryssrutor är inte tillåtna.

Exempel när samtycke kan användas

Exempel 1: En kommunal nämnd planerar vägarbeten. Nämnden erbjuder invånarna möjlighet att anmäla sig för att få uppdateringar via e-post. Nämnden är tydlig med att det är frivilligt att anmäla sig och inhämtar samtycke för att använda e-postadresserna för endast detta ändamål. Invånare som inte vill delta har inte gått miste om någon grundläggande service från myndigheten. Informationen finns även publikt på kommunens hemsida.

Illustration: Oscar Alarik

Exempel 2: En arbetsgivare vill filma på delar av kontoret. Arbetsgivaren frågar alla medarbetare som sitter på den berörda delen av kontoret efter deras samtycke, eftersom de kan synas i bakgrunden på filmen. De som inte vill bli filmade ska inte drabbas av några negativa konsekvenser, utan får istället likvärdiga arbetsplatser någon annanstans i bygganden under den tid filminspelningen pågår.

Exempel när samtycke inte kan användas

I en mobilapp för fotoredigering blir användaren ombedd att ge appen tillgång till GPS-lokalisering.

Enligt appen kommer de inhämtade personuppgifterna att användas för beteendebaserad marknadsföring. Varken GPS-lokalisering eller beteendebaserad marknadsföring är nödvändiga för appens ändamål, och behövs alltså inte för att leverera den huvudsakliga tjänsten. Eftersom användaren inte kan använda appen utan att samtycka, är samtycke inte frivilligt, och samtycke är därmed inte en lämplig rättslig grund.

Var tydlig med varför ni behandlar personuppgifter

En av de grundläggande principerna i dataskyddsförordningen är så kallad ändamålsbegränsning. Det innebär att ni ska ha klart för er varför ni behandlar personuppgifter så att ni kan informera de registrerade om det.

Ändamålet, det vill säga syftet, sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem.

För att skydda den registrerade mot ett gradvis vidgande av ändamålet, eller otydlig gränsdragning mellan olika ändamål, måste ändamålet vara tydligt specificerat när den registrerade lämnar samtycke.

Obs! Håll informationen ni lämnar för att kunna inhämta ett samtycke avskild från annan information, så att den som ska lämna samtycket klart och tydligt förstår vilka konsekvenser olika val kan ge.

Informera om ändamålet: Ändamålet måste vara specifikt, inte luddigt eller otydligt. Informera de registrerade om varför ni behandlar deras personuppgifter, precisera vilka ändamålen är i varje enskilt fall.

Specifikt samtycke till varje ändamål: För att samtycket ska anses vara frivilligt måste det som regel vara möjligt att ge separata samtycken för olika behandlingar av personuppgifter.

Om ni vill börja använda personuppgifterna på ett nytt sätt så betyder det att ändamålet ändras. Då måste ni informera de registrerade om detta, för att de ska bli medvetna om vilka konsekvenser olika val kan ge. De måste ge sitt samtycke till varje nytt ändamål.

Dokumentera ändamålen: Dokumentera skriftligt vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

Läs mer om principen ändamålsbegränsning

Informera tydligt om vad som gäller

De registrerade har rätt att känna till varför ni behandlar deras personuppgifter och vad som gäller i övrigt. Informera därför tydligt om följande:

  • Vem som begär samtycke, alltså vilka ni är.
  • Vilken typ av personuppgifter ni tänker behandla.
  • I vilket syfte ni vill använda personuppgifterna. Är det fler än ett syfte, beskriv vart och ett.
  • Klargör att det är möjligt att återkalla sitt samtycke.

Informera om automatiserat individuellt beslutsfattande

Om ni använder er av så kallat automatiserat individuellt beslutsfattande och profilering behöver ni informera om detta.

Automatiserat beslutsfattande kan vara tillåtet om

  • det är nödvändigt för att ni ska kunna ingå eller fullgöra ett avtal med den registrerade
  • den enskilde har gett sitt uttryckliga samtycke.

Exempel: Automatiserat beslutsfattande kan till exempel vara ett automatiserat avslag på en kreditansökan på internet eller vid ett nekande besked från e-rekrytering via internet utan personlig kontakt.

Läs mer om automatiserad behandling

Om personuppgifter ska föras ut ur EU/EES

Som huvudregel är det inte tillåtet att föra ut personuppgifter till ett tredje land, det vill säga till ett land utanför EU/EES. Det kan dock vara tillåtet om den registrerade har gett sitt uttryckliga samtycke efter att ha blivit informerad om riskerna som är förknippade med tredjelandsöverföringen.

Dokumentera samtycket

Ni ansvarar för att ett giltigt samtycke har inhämtas och behöver kunna visa både att den registrerade har fått relevant information och att ert arbetssätt uppfyller kraven. Tänk därför på att dokumentera samtycket:

  • Hur samtycket inhämtades.
  • När samtycket inhämtades.
  • Vilken information ni gav den registrerade.

Barn och samtycke

Eftersom barn enligt dataskyddsförordningen förtjänar särskilt skydd måste all information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår.

Om ni behandlar barns personuppgifter bör ni fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta samtycke i samband med behandling av barns personuppgifter online. Det är i dessa fall den som har föräldraansvar för barnet som ska lämna samtycke.

Föräldraansvar: I texten nedan skriver vi ibland "föräldrar" i betydelsen "den som har föräldraansvar".

Höga krav på barns samtycke

Det ställs höga krav på den som vill efterfråga ett samtycke. Ni måste utforma informationen om vad ett samtycke innebär, för att samtycket ska ses som giltigt. Detta gäller särskilt i förhållande till barn.

Regeringen har även i propositionen till dataskyddsförordningen framfört att barns rätt till självbestämmande, yttrandefrihet och informationsfrihet väger tungt.

Rådgivande tjänster till barn

Föräldrars samtycke krävs inte för förebyggande eller rådgivande tjänster som erbjuds direkt till barn. Detta för att barn ska kunna söka råd eller stöd utan att föräldrarna känner till det, till exempel hos Bris.

Barn och informationssamhällets tjänster

Ni kan erbjuda kommersiella internettjänster, så kallade informationssamhällets tjänster, direkt till barn som har fyllt 13 år och bor i Sverige. Det är då tillåtet att behandla personuppgifter med stöd av barnets eget samtycke.

Exempel på informationssamhällets tjänster:

  • sociala medier, som bloggar, internetforum, webbplatser för videoklipp, chatprogram och sociala nätverk
  • onlinespel
  • appar med spel eller annat innehåll.

Föräldrar måste godkänna samtycket om barnet är under 13 år

Barn under 13 år får inte själva samtycka till att deras personuppgifter samlas in och behandlas. Denna regel finns framför allt för att ge barn ett förstärkt skydd när de använder sig av informationssamhällets tjänster. Den som har föräldraansvar för barnet måste ge sitt samtycke eller godkänna barnets samtycke.

Som personuppgiftsansvarig ska ni i möjligaste mån kontrollera att samtycket verkligen har lämnats av rätt person.

Barn och samtycke i andra sammanhang

Föräldrar måste alltså ge eller godkänna samtycket när ni erbjuder informationssamhällets tjänster till någon som är under 13 år, men vad gäller i andra sammanhang?

Tidigare gällde Datainspektionens tumregel att barn under 15 år generellt inte har tillräcklig mognad för att ge ett giltigt samtycke, men informationen måste alltid bedömas från fall till fall med utgångspunkt i den enskilda individens mognad och förmåga.

Barn och ungdomar som inte själva kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. I sådana fall ska samtycket istället inhämtas från den som har föräldraansvaret för barnet.

I sammanhanget är det värt att betona att regleringen i dataskyddsförordningen innebär att det ställs höga krav på den som vill efterfråga ett samtycke att utforma informationen om vad ett samtycke innebär, särskilt i förhållande till barn, för att samtycket ska ses som giltigt. Regeringen har även i propositionen till dataskyddslagen framfört att barns rätt till självbestämmande och yttrande- och informationsfrihet väger tyngt.

Dataportabilitet – den registrerade ska kunna flytta sina personuppgifter

När personuppgifter behandlas med stöd av samtycke eller avtal gäller så kallad dataportabilitet. Det innebär att den registrerade har rätt att få ut sina personuppgifter eller få dem överförda till en annan personuppgiftsansvarig om det är tekniskt möjligt.

Checklista för när man ska begära samtycke

Den rättsliga grunden samtycke innebär att individerna verkligen frivilligt väljer och kontrollerar hur deras personuppgifter får användas. Äkta samtycke ger individer kontroll och bidrar till en förtroendefull relation som bygger på integritet.

Kontrollera kontinuerligt era rutiner för hantering av samtycke och era befintliga samtycken. Uppdatera era samtycken om de inte uppfyller kraven i dataskyddsförordningen.

Obs! Detta är en kortfattad checklista. Läs noga igenom informationen om den rättsliga grunden samtycke först!

Använd rätt rättslig grund

Den rättsliga grunden samtycke kan exempelvis användas av företag som samlar in adresser för att skicka ut nyhetsbrev. Samtycke är dock ofta en olämplig rättslig grund för myndigheter, eftersom samtycket måste vara frivilligt och jämlikt.

Den registrerade ska lämna sitt samtycke frivilligt

Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Samtycket blir därför ogiltigt om någon har utsatts för påverkan. Den registrerade får inte heller drabbas av negativa konsekvenser om den inte avger sitt samtycke.

Jämlika maktförhållanden

För att ni ska kunna använda samtycke måste maktförhållandet vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, mellan arbetsgivare och arbetstagare och i andra situationer.

Onlinetjänster direkt till barn

Sök endast samtycke om ni har kan verifiera åldern på barnen. Gäller det yngre barn krävs det dessutom metoder för att inhämta målsmans samtycke.

Checklista för inhämtande av samtycke

Tänk på detta innan du börjar

☐ Kontrollera att samtycke är den mest lämpliga lagliga grunden för behandling av personuppgifter.

☐ Säkerställ att begäran om samtycke framgår tydligt och är åtskilda från övriga villkor.

☐ Undvik att göra samtycke en förutsättning för en tjänst.

Informera mottagaren

☐ Namn på er organisation.

☐ Namn på ert dataskyddsombud, om ni har ett.

☐ Namn om någon tredje part kommer att förlita sig på samtycket.

☐ Gör det lätt att dra tillbaka sitt samtycke och berätta hur det går till.

☐ Klargör att man kan vägra att samtycka utan att drabbas av negativa konsekvenser.

Kommunicera tydligt

☐ Använd inte förvalt samtycke, exempelvis genom förmarkerade rutor – samtycke ska vara ett aktivt val.

☐ Använd tydligt och enkelt språk som är lätt att förstå.

☐ Förklara varför ni vill ha uppgifterna och vad ni ska göra med dem.

☐ Var specifik och ge tydliga alternativ för olika ändamål, så att du får separata medgivanden för separata personuppgiftsbehandlingar. Vagt eller allmänt samtycke är inte tillräckligt.

Ordning och reda i rutinerna

☐ Dokumentera era bevis för samtycket: vem, när, hur och vilken information som gavs.

☐ Granska kontinuerligt er metod för att inhämta samtycke och uppdatera om något ändras.

☐ Håll era samtyckesförfrågningar separerade från era övriga villkor.

Mer information

Riktlinjer för samtycke
Artikel 29-gruppens riktlinjer om samtycke enligt dataskyddsförordningen 2016/679.

Rättsinformation
Artikel 6–9 (laglig behandling av personuppgifter, villkor för samtycke, villkor som gäller barns samtycke avseende informationssamhällets tjänster, behandling av särskilda kategorier av personuppgifter)
Skäl 32, 38, och 42–43