Samtycke och laglig grund

Här har vi samlat frågor och svar om samtycke och laglig grund.

Vad är ett samtycke?

Svar: Dataskyddsförordningen förbjuder all hantering av personuppgifter utan stöd i lag. Ett sätt att göra hantering av personuppgifter laglig är att be den registrerade personen om lov. Om du ber om lov på rätt sätt, och personen på ett formellt korrekt sätt säger att det är OK, så är hanteringen laglig eftersom du fått personens samtycke till hanteringen.

Vad är ”annan laglig grund”?

Svar: Hantering av personuppgifter kan vara laglig även utan samtycke från den registrerade personen, detta händer när det finns "annan laglig grund" för hanteringen. ”Annan laglig grund” kan uppstå till exempel när personen det berör har ingått ett avtal. Din arbetsgivare får exempelvis spara ditt namn, adress, personnummer, bankkontonummer och mycket annat baserat på att ni har ett anställningsavtal.

Myndigheter har ”annan laglig grund” för den behandling av personuppgifter som krävs för myndighetens lagligt definierade verksamhet.

Om det finns annan laglig grund för behandling av personuppgifter, så kan den registrerade inte kräva att uppgifter ska tas bort förrän den lagliga grunden inte längre gäller. Om du till exempel handlar på postorder, så kan du inte förvänta dig att kunna få din faktura raderad innan den är betald!

Vilka sorters laglig grund finns enligt dataskyddsförordningen?

Svar: Av dataskyddsförordningens sjätte artikel framgår att det finns sex skäl som kan göra hantering av personuppgifter laglig:

  1. Om den registrerade samtyckt till behandlingen.
  2. Om du har (eller tänker skaffa) ett avtal med den registrerade. Tänk anställningsavtal, hyresavtal mm. (Bara de uppgifter som är nödvändiga för avtalets ingående och uppfyllande får registreras).
  3. Om personuppgiftsansvarig har en laglig skyldighet att lagra informationen. Tänk exempelvis bokföring, lagstiftning kring penningtvätt m.m. (Vad som är tillåten behandling här beror på vilket lagrum du hänvisar till.)
  4. Om behandlingen är nödvändig för att ”skydda intressen som är av avgörande betydelse för den registrerades eller andra fysiska personers liv”. (Tänk någon sorts nödvärnsrätt som kan användas när den berörda personen själv inte kan lämna samtycke och behandlingen ändå är nödvändig.)
  5. Om behandlingen är nödvändig ”för att genomföra en uppgift av allmänt intresse” eller som ”ett led i den personuppgiftsansvariges myndighetsutövning. (Tänk ”nödvändig registrering av personuppgifter i samband med naturkatastrofer” och ”registrering som är nödvändig för att en myndighet ska kunna sköta sina uppgifter”.)
  6. Om den som bedriver verksamhet (eller en tredje part) har ”ett berättigat intresse” av att hantera personuppgifterna. Under vissa omständigheter är det då möjligt att göra en intresseavvägning som ger rätt att hantera personuppgifter utan samtycke.

Undantaget för intresseavvägning (punkten 6 ovan) är tänkt för att göra det möjligt att hantera viss information utan samtycke, vilket är OK så länge det finns ett ”berättigat intresse” och den registrerades intresse att bli tillfrågad först ”inte är alltför starkt i förhållande till det berättigade intresset”. Det finns flera exempel på ”berättigade intressen”, bland annat marknadsföring och arbetsledningsrätt kan ge rätt att lagra och behandla personuppgifter utan samtycke.

Enligt Datainspektionen så har reglerna kring intresseavvägningar inte ändrats i någon högre grad jämfört med PUL. Har man frågor kring intresseavvägningar i GDPR så hänvisar Datainspektionen till en broschyr om intresseavvägningar under personuppgiftslagen. Du kan ladda ned broschyren Intresseavvägning enligt Personuppgiftslagen här.

Hur ska ett samtycke se ut enligt dataskyddsförordningen?

Svar: Dataskyddsförordningen ställer formella krav på samtyckens utformning och på den information som ska lämnas ut i samband med att samtycke inhämtas:

  • Samtycket måste vara informerat
  • Samtycket måste ges frivilligt
  • Samtycket måste vara (minst) otvetydigt
Vad betyder det att samtycket måste vara ”informerat”?

Svar: Följande måste framgå klart och lätt när samtycket ges:

  • Vilken information och/eller behandling som omfattas
  • I vilket eller vilka syften informationen används
  • Vem som samlar in informationen
  • Vilka yttre parter som får tillgång till informationen
  • När samtycket slutar att gälla
  • Hur man gör för att dra tillbaks sitt samtycke
Vad innebär det att samtycket måste ges frivilligt?

Svar: Den som ger sitt samtycke måste ha en reell möjlighet att säga nej till behandlingen, annars kan samtycket inte räknas som ”frivilligt”. Om den som ska ge sitt samtycke inte har en chans att tacka nej utan att det får negativa konsekvenser, så räknas samtycket inte som frivilligt. I en sådan situation räknas inte samtycket som giltigt. Ogiltiga samtycken är givetvis värdelösa som skydd mot sanktioner. Detta är speciellt kinkigt i situationer när det finns en uppenbar obalans i maktförhållandet mellan den som begär samtycket och den som ska ge det. Ett exempel kan vara i förhållandet mellan arbetsgivare och en anställd/anställningssökande.

En slutsats är att företag bör vara försiktiga när de ber om samtycken från sina anställda och arbetssökande, eftersom sådana samtycken potentiellt är ogiltiga. Går det att basera hanteringen av anställdas personuppgifter på annan laglig grund, så kan det vara att föredra.

Tips! Enligt Datainspektionen kommer dataskyddsförordningen inte att skilja sig så mycket från PUL i fråga om hanteringen anställdas personuppgifter. Datainspektionen har producerat en broschyr där du kan läsa om Personuppgifter i arbetslivet.

Finns det flera olika sorters samtycke i dataskyddsförordningen?

Svar: Ja, det finns olika sorters samtycke i dataskyddsförordningen. Normalgraden av samtycke kallas otvetydigt samtycke och räcker i de flesta vanliga situationer. Exempel på otvetydigt samtycke.

Uttryckligt samtycke krävs när det gäller hantering av känsliga personuppgifter och vid integritetskrävande behandling av personuppgifter.

Exakt vilken konkret skillnad som ska finnas i utformningen av ett ”otvetydigt” samtycke och ett ”uttryckligt” är inte definierat i dataskyddsförordningen. Klart är dock att ett uttryckligt medgivande bör vara mer precist beskrivande.

Vad betyder ”otvetydigt samtycke”?

Svar: Ett samtycke är enligt dataskyddsförordningen är otvetydigt när den registrerade personen med en handling gör det uppenbart att hen samtycker.

Samtycken måste vara aktiva handlingar. Användaren måste tydligt demonstrera att de samtycker. Att klicka sig förbi en förikryssad checkbox räknas aldrig som ett giltigt samtycke enligt dataskyddsförordningen, eftersom användaren inte klickade i checkboxen själv. Observera att ett samtycke inte nödvändigtvis behöver innehålla en checkbox, samtycket kan lika gärna följa av att användaren lämnar informationen i ett tydligt sammanhang.

Hur ser ett otvetydigt samtycke ut?

Svar: Ett exempel på otvetydighet i samtycken:

Otvetydigt samtycke för e-post om produktinformation: Om användaren matar in sin e-postadress och det framgår tydligt att e-postadressen kommer att användas för att skicka produktinformation, så är det otvetydigt att användaren samtyckt till att ta emot produktinformation. Tänk dig ett inmatningsfält med ledtexten ”E-postadress för erbjudanden från Företaget AB”. Matar du in din e-postadress i ett sådant fält så samtycker du otvetydigt till att ta emot meddelanden med erbjudanden.

Ogiltigt samtycke för mail om produktinformation: Om e-postadressen istället samlats in i samband med att användaren begär att få en licensnyckel skickad till sig (med ledtexten ”ange din e-postadress”) så finns bara samtycke för att skicka licensnycklar. Det finns i detta exempel inget samtycke för att skicka mail med produktinformation!

Vad ska hända när ett samtycke dras tillbaks?

Svar: Om samtycket som drogs tillbaks var den enda anledningen till att behandlingen/lagringen av personuppgifter var laglig, så ska personuppgifterna tas bort.

Observera att en person kan ha lämnat flera olika samtycken för en och samma personuppgift. Exempelvis kan man ge separata samtycken till att ta emot både fakturainformation och erbjudanden per e-post. Om man sedan ångrar sig och inte längre vill ta emot fakturor per e-post, så är det fortfarande OK att skicka erbjudanden.

Om det sista samtycket dras tillbaks, så kan det ändå finnas skäl att behålla personuppgifter. Detta inträffar när det finns annan laglig grund. Ett alternativ till att ta bort personuppgifter som inte får behållas är att pseudonymisera dem.

Det är inget lagkrav att hantering av medgivande och laglig grund ska skötas med automatik, men en grundligt testad automatisering är en god försäkring mot personberoende och manuella misstag!

När kräver dataskyddsförordningen ”uttryckligt” samtycke?

Svar: Uttryckligt samtycke krävs när lagringen/behandlingen särskilt integritetskrävande.

Uttryckligt samtycke krävs i minst följande situationer:

  • När personuppgifterna är av känslig natur
  • När behandlingen innefattar automatiskt beslutsfattande eller profilering
  • När personuppgifterna skickas till ett land där dataskyddsförordningen inte gäller
Vad måste man informera användare om vid automatiserat beslutsfattande och profilering?

Svar: Användare måste få minst följande information vid ”automatiserat beslutsfattande inklusive profilering”:

  • Att de är utsatta för automatiserat beslutsfattande/profilering
  • Hur logiken fungerar
  • Vilka tänkbara utfall behandlingen kan ge

Informationsplikten finns dock bara när det automatiskt fattade beslutet har rättslig eller liknande effekt.

Vad innebär ”automatiserat beslutsfattande, inklusive profilering”?

Svar: Automatiserat beslutsfattande i GDPR innebär att en maskin fattar beslut som har rättsliga eller liknande effekter om en person, baserat på uppgifter om den personen.

Beslut kan röra saker som tillstyrkande/avslag av låneansökningar, tecknande av försäkring, utvärdering av arbetsprestationer etc.

Vem har bevisbördan för om det finns ett giltigt samtycke eller inte?

Svar: Den som använder ett samtycke för att motivera lagring/behandling av personuppgifter har hela bevisbördan. En konsekvens av ovanstående är att den som behandlar/lagrar personuppgifter måste kunna visa exakt vad den registrerade personen samtyckt till, när det skedde och vilken information som gavs i samband med att samtycket avgavs.

Vilken information får lagras/behandlas utan samtycke?

Svar: Uppgifter får lagras/behandlas utan samtycke bara när det finns annan laglig grund för lagringen/behandlingen.

Vad räknas som ”känslig information” i dataskyddsförordningen?

Svar: Artikel 9 i GDPR pekar ut följande kategorier som känslig information:

  • Ras eller etnicitet
  • Politisk åsikter
  • Religiös eller filosofisk åskådning
  • Medlemskap i fackförening
  • Genetisk eller biometrisk information i syfte att identifiera en enskild person
  • Uppgifter om hälsa och sjukdom
  • Sexuell läggning
  • Sexuell historik
Vad innebär det att ”ett samtycke aldrig får kräva mer” än den levererade tjänsten kräver?

Svar:

Ett exempel: Låtsas att du är en teleoperatör.

Som teleoperatör får du begära samtycke för lagring/behandling av kontaktuppgifter som är nödvändiga för din tjänst. Utan möjlighet att ta betalt, så kan du inte leverera någon tjänst. Men du får inte kräva samtycke till lagring/behandling av sånt som inte är nödvändigt för att tjänsten ska gå att leverera. Som teleoperatör få du alltså inte kräva kräva att få sälja kundernas kontaktuppgifter i syfte att bedriva direkt- eller telemarknadsföring. Du kan förstås erbjuda dina kunder detta som opt-in till dina tjänster, men du får inte kräva det som villkor för att leverera tjänsten.