Use Google to translate the web site. We take no responsibility for the accuracy of the translation.
Här har vi samlat frågor och svar om samtycke och laglig grund.
Svar: Dataskyddsförordningen förbjuder all hantering av personuppgifter utan stöd i lag. Ett sätt att göra hantering av personuppgifter laglig är att be den registrerade personen om lov. Om du ber om lov på rätt sätt, och personen på ett formellt korrekt sätt säger att det är OK, så är hanteringen laglig eftersom du fått personens samtycke till hanteringen.
Svar: Hantering av personuppgifter kan vara laglig även utan samtycke från den registrerade personen, detta händer när det finns "annan laglig grund" för hanteringen. ”Annan laglig grund” kan uppstå till exempel när personen det berör har ingått ett avtal. Din arbetsgivare får exempelvis spara ditt namn, adress, personnummer, bankkontonummer och mycket annat baserat på att ni har ett anställningsavtal.
Myndigheter har ”annan laglig grund” för den behandling av personuppgifter som krävs för myndighetens lagligt definierade verksamhet.
Om det finns annan laglig grund för behandling av personuppgifter, så kan den registrerade inte kräva att uppgifter ska tas bort förrän den lagliga grunden inte längre gäller. Om du till exempel handlar på postorder, så kan du inte förvänta dig att kunna få din faktura raderad innan den är betald!
Svar: Av dataskyddsförordningens sjätte artikel framgår att det finns sex skäl som kan göra hantering av personuppgifter laglig:
Undantaget för intresseavvägning (punkten 6 ovan) är tänkt för att göra det möjligt att hantera viss information utan samtycke, vilket är OK så länge det finns ett ”berättigat intresse” och den registrerades intresse att bli tillfrågad först ”inte är alltför starkt i förhållande till det berättigade intresset”. Det finns flera exempel på ”berättigade intressen”, bland annat marknadsföring och arbetsledningsrätt kan ge rätt att lagra och behandla personuppgifter utan samtycke.
Enligt Datainspektionen så har reglerna kring intresseavvägningar inte ändrats i någon högre grad jämfört med PUL. Har man frågor kring intresseavvägningar i GDPR så hänvisar Datainspektionen till en broschyr om intresseavvägningar under personuppgiftslagen. Du kan ladda ned broschyren Intresseavvägning enligt Personuppgiftslagen här.
Svar: Dataskyddsförordningen ställer formella krav på samtyckens utformning och på den information som ska lämnas ut i samband med att samtycke inhämtas:
Svar: Följande måste framgå klart och lätt när samtycket ges:
Svar: Den som ger sitt samtycke måste ha en reell möjlighet att säga nej till behandlingen, annars kan samtycket inte räknas som ”frivilligt”. Om den som ska ge sitt samtycke inte har en chans att tacka nej utan att det får negativa konsekvenser, så räknas samtycket inte som frivilligt. I en sådan situation räknas inte samtycket som giltigt. Ogiltiga samtycken är givetvis värdelösa som skydd mot sanktioner. Detta är speciellt kinkigt i situationer när det finns en uppenbar obalans i maktförhållandet mellan den som begär samtycket och den som ska ge det. Ett exempel kan vara i förhållandet mellan arbetsgivare och en anställd/anställningssökande.
En slutsats är att företag bör vara försiktiga när de ber om samtycken från sina anställda och arbetssökande, eftersom sådana samtycken potentiellt är ogiltiga. Går det att basera hanteringen av anställdas personuppgifter på annan laglig grund, så kan det vara att föredra.
Tips! Enligt Datainspektionen kommer dataskyddsförordningen inte att skilja sig så mycket från PUL i fråga om hanteringen anställdas personuppgifter. Datainspektionen har producerat en broschyr där du kan läsa om Personuppgifter i arbetslivet.
Svar: Ja, det finns olika sorters samtycke i dataskyddsförordningen. Normalgraden av samtycke kallas otvetydigt samtycke och räcker i de flesta vanliga situationer. Exempel på otvetydigt samtycke.
Uttryckligt samtycke krävs när det gäller hantering av känsliga personuppgifter och vid integritetskrävande behandling av personuppgifter.
Exakt vilken konkret skillnad som ska finnas i utformningen av ett ”otvetydigt” samtycke och ett ”uttryckligt” är inte definierat i dataskyddsförordningen. Klart är dock att ett uttryckligt medgivande bör vara mer precist beskrivande.
Svar: Ett samtycke är enligt dataskyddsförordningen är otvetydigt när den registrerade personen med en handling gör det uppenbart att hen samtycker.
Samtycken måste vara aktiva handlingar. Användaren måste tydligt demonstrera att de samtycker. Att klicka sig förbi en förikryssad checkbox räknas aldrig som ett giltigt samtycke enligt dataskyddsförordningen, eftersom användaren inte klickade i checkboxen själv. Observera att ett samtycke inte nödvändigtvis behöver innehålla en checkbox, samtycket kan lika gärna följa av att användaren lämnar informationen i ett tydligt sammanhang.
Svar: Ett exempel på otvetydighet i samtycken:
Otvetydigt samtycke för e-post om produktinformation: Om användaren matar in sin e-postadress och det framgår tydligt att e-postadressen kommer att användas för att skicka produktinformation, så är det otvetydigt att användaren samtyckt till att ta emot produktinformation. Tänk dig ett inmatningsfält med ledtexten ”E-postadress för erbjudanden från Företaget AB”. Matar du in din e-postadress i ett sådant fält så samtycker du otvetydigt till att ta emot meddelanden med erbjudanden.
Ogiltigt samtycke för mail om produktinformation: Om e-postadressen istället samlats in i samband med att användaren begär att få en licensnyckel skickad till sig (med ledtexten ”ange din e-postadress”) så finns bara samtycke för att skicka licensnycklar. Det finns i detta exempel inget samtycke för att skicka mail med produktinformation!
Svar: Om samtycket som drogs tillbaks var den enda anledningen till att behandlingen/lagringen av personuppgifter var laglig, så ska personuppgifterna tas bort.
Observera att en person kan ha lämnat flera olika samtycken för en och samma personuppgift. Exempelvis kan man ge separata samtycken till att ta emot både fakturainformation och erbjudanden per e-post. Om man sedan ångrar sig och inte längre vill ta emot fakturor per e-post, så är det fortfarande OK att skicka erbjudanden.
Om det sista samtycket dras tillbaks, så kan det ändå finnas skäl att behålla personuppgifter. Detta inträffar när det finns annan laglig grund. Ett alternativ till att ta bort personuppgifter som inte får behållas är att pseudonymisera dem.
Det är inget lagkrav att hantering av medgivande och laglig grund ska skötas med automatik, men en grundligt testad automatisering är en god försäkring mot personberoende och manuella misstag!
Svar: Uttryckligt samtycke krävs när lagringen/behandlingen särskilt integritetskrävande.
Uttryckligt samtycke krävs i minst följande situationer:
Svar: Användare måste få minst följande information vid ”automatiserat beslutsfattande inklusive profilering”:
Informationsplikten finns dock bara när det automatiskt fattade beslutet har rättslig eller liknande effekt.
Svar: Automatiserat beslutsfattande i GDPR innebär att en maskin fattar beslut som har rättsliga eller liknande effekter om en person, baserat på uppgifter om den personen.
Beslut kan röra saker som tillstyrkande/avslag av låneansökningar, tecknande av försäkring, utvärdering av arbetsprestationer etc.
Svar: Den som använder ett samtycke för att motivera lagring/behandling av personuppgifter har hela bevisbördan. En konsekvens av ovanstående är att den som behandlar/lagrar personuppgifter måste kunna visa exakt vad den registrerade personen samtyckt till, när det skedde och vilken information som gavs i samband med att samtycket avgavs.
Svar: Uppgifter får lagras/behandlas utan samtycke bara när det finns annan laglig grund för lagringen/behandlingen.
Svar: Artikel 9 i GDPR pekar ut följande kategorier som känslig information:
Svar:
Ett exempel: Låtsas att du är en teleoperatör.
Som teleoperatör får du begära samtycke för lagring/behandling av kontaktuppgifter som är nödvändiga för din tjänst. Utan möjlighet att ta betalt, så kan du inte leverera någon tjänst. Men du får inte kräva samtycke till lagring/behandling av sånt som inte är nödvändigt för att tjänsten ska gå att leverera. Som teleoperatör få du alltså inte kräva kräva att få sälja kundernas kontaktuppgifter i syfte att bedriva direkt- eller telemarknadsföring. Du kan förstås erbjuda dina kunder detta som opt-in till dina tjänster, men du får inte kräva det som villkor för att leverera tjänsten.