För att en behandling av personuppgifter ska vara laglig måste behandlingen uppfylla särskilda villkor som fastställer i vilka situationer personuppgifter får behandlas enligt dataskyddsförordningen (“GDPR”). Dessa villkor kallas också för rättsliga grunder för behandling av personuppgifter. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig.
En vanlig förekommande rättslig grund som användas i en rad olika sammanhang är den registrerades samtycke (med registrerad menas den person vilkas personuppgifter behandlas). I denna artikel tittar vi närmare på vad ett samtycke enligt GDPR är och vilka villkor samtycket måste uppfylla för att vara giltigt.
Olika definitioner på begreppet samtycke
Begreppet samtycke, och synonymer som godkännande eller medgivande, förekommer i olika lagstiftningar. Begreppet definieras ofta på olika sätt och det finns även lagstiftningar som använder sig av begreppet samtycke utan att närmare beskriva exakt vad som avses. Det som är speciellt med GDPR är att lagtexten innehåller en tydlig definition av begreppet. Denna definition gäller dock endast vid behandling av personuppgifter enligt GDPR, men kan även gälla i andra sammanhang, till exempel när en annan lagstiftning “lånar” definitionen. Den så kallade samtyckeslagen som finns i 6 kap. brottsbalken definierar till exempel inte begreppet samtycke utan talar istället om ”frivilligt deltagande i ett samlag eller annan sexuell handling”. Samtyckeslagen ställer sedan upp kriterier för när ett sådant deltagande är frivilligt. Det är därför viktigt att rätt samtyckesdefinition används i rätt sammanhang. Att använda GDPR:s definition av samtycke i samtyckeslagen (och tvärtom) skulle leda till oönskade resultat.
Samtycke enligt GDPR
Enligt GDPR är ett samtycke en informerad och otvetydig viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Viljeyttringen ska ske genom ett uttalande eller genom en entydig bekräftande handling. Samtycket ska dessutom vara frivilligt, specifikt och informerat (jämför artikel 4.11 i GDPR). Om ett samtycke inte uppfylla dessa krav är det ogiltigt vilket innebär att en behandling av personuppgifter med stöd av samtycket är olagligt (om det inte finns någon annan rättslig grund som kan användas istället).
Kravet på frivillighet
Kravet på frivilligheten innebär att den registrerade ska ha möjlighet att fritt välja om denne vill delta i en behandling av personuppgifter eller inte. På detta sätt säkerställer regelverket att den registrerade har kontroll över sina personuppgifter. I de flesta fall innebär detta att den registrerade ska har möjlighet att tacka nej till att delta i en behandling av personuppgifter. I vissa fall kan det innebära att den registrerade ska kunna välja något annat alternativ som är rimligt i sammanhanget. Exempel på när ett samtycke inte uppfyller kravet på frivillighet är när möjligheten att fritt välja saknas, när den registrerade tvingas till att samtycka, när det uppstår negativa konsekvenser om den registrerade inte samtycker, när samtycket är ett villkor i ett avtal som inte kan förhandlas bort, när den registrerade inte kan vägra att samtycke eller när den registrerade inte kan återkalla sitt samtycke.
I situationer som präglas av en maktobalans mellan den registrerade och den som vill behandla den registrerades personuppgifter kan frivilligheten av samtycket ifrågasättas. Ett vanligt förekommande exempel är när en arbetsgivare behandlar medarbetares personuppgifter, till exempel i samband inpasseringskontroller eller övervakning av medarbetares användning av internet. Eftersom medarbetare befinner sig i en beroendeställning till arbetsgivaren skulle denne troligtvis samtycka till en rad personuppgiftsbehandlingar som arbetsgivaren vill genomföra på arbetsplatsen. På grund av denna maktobalans kan frivilligheten av ett sådant samtycke ifrågasättas vilket begränsar möjligheterna till att använda samtycke som en rättslig grund i anställningsförhållanden.
Andra exempel på situationer som präglas av en sådan maktobalans är när myndigheter behandlar personuppgifter om medborgare, när vårdgivare behandlar personuppgifter om patienter eller när skolor behandlar personuppgifter om elever. Datainspektionen har bötfällt en kommun med 200 000 kronor för att kommunen baserat en behandling av känsliga personuppgifter om elever på ett uttryckligt samtycke. Samtycket ansågs då vara ogiltigt på grund av den maktobalans som fanns mellan skolan och eleverna (läs mer om Datainspektionens beslut här).
Övriga krav
Utöver kravet på frivillighet kan det även finnas utmaningar med de övriga kraven som ska uppfyllas för att ett samtycke ska vara giltigt i GDPR:s mening. Att samtycket ska vara specifikt innebär exempelvis att samtycket måste vara uttryckligt angivet och att det måste hämtas in för varje enskilt ändamål med personuppgiftsbehandlingen. Därutöver finns det särskilda krav på hur ett samtycke ska utformas och hur det ska särskiljas från andra villkor, till exempel i samband med att en registrerade ingår ett avtal eller godkänner användarvillkor på en webbplats. Vidare innebär kravet på att samtycket ska ske genom en otvetydig viljeyttring att den registrerade måste vidta en aktiv handling för att samtycka till en behandling av personuppgifter. Detta gör att tysta eller passiva samtycken inte är giltiga.
Utöver detta innehållet GDPR även omfattande informationskrav som innebär att en registrerad, redan vid tidpunkten när samtycket inhämtas, på ett tydligt sätt ska informeras om en behandling av personuppgifter i syfte att möjliggöra för den registrerade att fatta informerade beslut. Om behandling av känsliga personuppgifter ska baseras på ett samtycke måste samtycket vara därutöver uttryckligt.
Denna redovisning av utmaningar som finns vid användning av samtycke som rättslig grund är inte uttömmande. Att säkerställa att ett samtycke är giltigt enligt GDPR kräver därför en noggrann analys av den planerade personuppgiftsbehandlingen och omständigheterna i det enskilda fallet. Detta gäller inte minst vid användning av känsliga personuppgifter eller vid användning av cookies och liknande teknologier.
Vill du lära dig mer om dataskydd och personlig integritet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.