Samtycke av den registrerade

Ett samtycke är en potentiell rättslig grund för behandling av personuppgifter. Samtycket ger den personuppgiftsansvarige möjlighet att övervaka behandlingen av egna personuppgifter och påverka behandlingen av personuppgifter genom att återkalla ett samtycke.

Förutsättningar för ett samtycke

För att ett samtycke ska vara giltigt, ska det vara

  • medvetet
  • genuint frivilligt och
  • en entydig viljeyttring.

En registrerad kan ge ett samtycke för ett på förhand fastställt, uttryckligt och lagligt syfte. Om syftet för behandlingen av personuppgifter ändras, ska du begära ett nytt samtycke innan behandlingen inleds.

Specifikation av samtycket

När du begär ett samtycke, ska du specificera syftet för insamlingen av uppgifter. Om du behandlar personuppgifter för flera olika syften, ska en registrerad kunna välja för vilka syften han eller hon vill ge sitt samtycke. Särskilda samtycken ska kunna begäras för olika syften. Ett nytt samtycke ska i utgångspunkten alltid begäras för ett nytt samtycke.

Den frivilliga karaktären på ett samtycke

Ett samtycke är inte genuint frivilligt, om den registrerade är i svagare ställning än den personuppgiftsansvarige.  Den registrerade kan vara i svagare ställning till exempel då du där den registrerades arbetsgivare eller myndighet.

Det ska vara möjligt att vägra att ge ett samtycke, och det ska kunna återkallas utan skadliga konsekvenser. Det ska vara lika lätt att återkalla ett samtycke som att lämna ett samtycke.

Ansvarsskyldigheten och beaktande av dataskyddsprincipen

Du ska kunna visa att den registrerade gett samtycke till behandling av personuppgifter och att samtycket uppfyller de i lag föreskrivna förutsättningarna för ett samtycke.

Ett samtycke väger aldrig tyngre än dataskyddsprincipen. Du kan till exempel inte samla in uppgifter i större omfattning än vad som är nödvändigt för samtycket eller avvika från plikten att skydda personuppgifter.

Begäran om samtycke

Ett samtycke är en entydig och klar viljeyttring, med vilken den registrerade godkänner behandlingen av egna personuppgifter. Den registrerade kan inte ge sitt samtycke genom att tiga, med rutor som är färdigt ikryssade eller genom att låta bli att göra något.

Om du begär ett samtycke elektroniskt, ska begäran vara tydlig och koncis, och den får inte onödigt störa användningen av tjänsten. Till exempel att kryssa för en ruta på en webbplats är en tillräcklig entydig och tydlig viljeyttring.

Berätta om samtycket tydligt och åtskilt från den övriga informationen. Bind inte eller bädda inte in samtycket i användar- och avtalsvillkoren på så sätt att de registrerade inte har någon faktisk möjlighet att påverka givandet av samtycke.

Om du begär ett samtycke till exempel i samband med användarvillkoren för tjänsten, ska begäran läggas fram

  • tydligt åtskild från övriga ärenden
  • på ett tydligt och enkelt språk
  • i en lätt begriplig form.

Vilken information ska du ge en registrerad då ett samtycke begärs?

När du begär ett samtycke av en registrerad till behandling av personuppgifter, ska du informera åtminstone

  • den eller de (gemensamma) personuppgiftsansvariga eller övriga eventuella aktörer till vilka uppgifter överlämnas
  • alla olika användningssyften, för vilka samtycke begärts
  • de uppgifter som samlas in av de registrerade
  • den registrerades rätt att återkalla samtycket
  • användning av uppgifter för automatiska enskilda beslut och för profilering
  • risker förknippade med överföring av uppgifter till länder utanför EU, då ett beslut om huruvida dataskyddsnivån är tillräcklig inte fattats för landet och ändamålsenliga skyddsåtgärder inte vidtagits.

Biträden som behandlar personuppgifter för en personuppgiftsansvarigs räkning behöver inte specificeras som en del av begärande av ett samtycke. I samband med begäran av ett samtycke ska man dock också beakta den mer generella informationsskyldigheten och de uppgifter som ska överlämnas, då personuppgifter samlas in av en registrerad. Den allmänna informationsskyldigheten förutsätter specifikation av mottagarna, inklusive de personuppgiftsbiträden som verkar för den personuppgiftsansvariges räkning.

När behöver jag ett uttryckligt samtycke av den registrerade för att behandla personuppgifter?

Ett uttryckligt samtycke är en eventuell rättslig grund då

  • du behandlar uppgifter som hör till särskilda kategorier av personuppgifter (till exempel hälsouppgifter eller etniskt ursprung)
  • du överför personuppgifter till tredje länder eller internationella organisationer
  • du fattar automatiska enskilda beslut eller utför profilering.

Med kravet om uttrycklighet avses det sätt på vilket den registrerade uttrycker sitt samtycke. Ett uttryckligt samtycke kan ges till exempel genom att underteckna ett skriftligt yttrande, med en elektronisk underskrift eller med certifiering i två steg. En registrerad kan till exempel först svara på e-post som du skickat, varefter du ännu sänder en svarslänk eller -kod per SMS till honom eller henne.

Dina skyldigheter som personuppgiftsansvarig ökar i takt med att de risker som är förknippade med behandlingen av personuppgifter blir större.

Återkallande av ett samtycke

Innan en registrerad ger ett samtycke, ska den personuppgiftsansvarige ge information om

  • rätten att återkalla ett samtycke
  • hur återkallandet görs i praktiken.

Det ska vara lika lätt att återkalla ett samtycke som att lämna ett samtycke. Ett samtycke kan återkallas när som helst avgiftsfritt.

Efter återkallandet av ett samtycke ska du avsluta behandlingen av personuppgifter i den utsträckning som behandlingen grundat sig på samtycket. Informera den registrerade om alla behandlingsgrunder, så att han eller hon vet hur återkallande av ett samtycke påverkar behandlingen av personuppgifter.

Avlägsna de uppgifter som är föremål för behandling utifrån samtycket efter ett återkallande, om ingen annan laglig grund föreligger för förvaringen av uppgifter. När behandlingen av personuppgifter avslutats, förvara verifikat över existensen av ett samtycke enbart så länge som möjligt för att fastställa, göra gällande eller försvara ett rättsligt anspråk.

Behandling av personuppgifter om ett barn utifrån ett samtycke

Enligt dataskyddslagstiftningen behöver ett barn i allmänhet ett samtycke eller ett befullmäktigande av en vårdnadshavare eller en annan person som bär föräldraansvar för att anlita informationssamhällstjänster, till exempel sociala medier eller olika appar. I Finland har det föreslagits att åldersgränsen är 13 år. Ett barn kan dock anlita rådgivnings- och stödtjänster och förebyggande tjänster utan samtycke av vårdnadshavaren.

Försök utreda barnets ålder och förvissa dig om att samtycket getts av ett barn som uppnått åldersgränsen eller av barnets vårdnadshavare. Bedöm de certifieringsåtgärder som anknyter till samtycket i förhållande till arten på och riskerna med behandlingen av personuppgifter. Om du begär ett samtycke av ett barn, rikta särskild uppmärksamhet mot ett tydligt och enkelt språk. 

När ett barn är tillräckligt gammalt för att lämna ett eget samtycke för att anlita informationssamhällets tjänster, förfaller inte vårdnadshavarens samtycke automatiskt. Ett barn kan dock själv återkalla samtycket då han eller hon uppnått den i lagen fastställda åldersgränsen. Som personuppgiftsskyldig ska du underrätta barnet om denna möjlighet.

Överensstämmer det samtycke som du inhämtat med kraven i den nya dataskyddsförordningen?

Om du är personuppgiftsansvarig och behandlar personuppgifter utifrån ett samtycke, bedöm om det samtycke som inhämtats tidigare överensstämmer med kraven i dataskyddsförordningen.

Observera att samtycket

  • ska vara dokumenterat för att fullgöra ansvarsskyldigheten
  • ska vara entydigt, varför en färdigt ikryssad ruta eller ett uteblivet val inte motsvarar förutsättningar för ett samtycke
  • syftet ska vara fastställt på förhand, uttryckligt och lagligt
  • det ska vara lika lätt att återkalla ett samtycke som att lämna ett samtycke
  • praxis som gäller administreringen ska vara förenlig med dataskyddsförordningen.

Den ändring av informationskravet som följer av dataskyddsförordningen leder inte automatiskt till att ett samtycke som begärts tidigare blir ogiltigt. Dataskyddsförordningen kräver också information om behandlingsgrunden.

Om ett samtycke inte uppfyller kraven i dataskyddsförordningen, bedöm

om du kan begära ett nytt samtycke som uppfyller kraven i den nya dataskyddsförordningen

om behandlingen av personuppgifter kan grunda sig på en annan behandlingsgrund i dataskyddsförordningen.

Säkerställ att principerna om lagenlighet, rimlighet och transparens genomförs, om behandlingen fortsätter utifrån en annan behandlingsgrund. Den registrerade ska underlättas om ändringar av behandlingsgrunden. När dataskyddsförordningen börjar tillämpas, är det inte längre möjligt att ändra behandlingsgrunden till en annan.

Om du inte kan använda en annan rättslig grund som grund för behandlingen eller begära ett samtycke som är förenligt med kraven i dataskyddsförordningen, måste du avsluta behandlingen av personuppgifter.

Läs mer:

Dataskyddsförordningen: artiklarna 4 (11), 6 (1. a), 7, 9 (2. a), introduktionsdelens punkter 32‒33 och 42‒43
Guidelines on Consent under Regulation 2016/679