En av de viktigaste aspekterna med personuppgiftshantering för föreningar, företag och myndigheter är att varje personuppgiftsbehandling ska vara knuten till något av de lagliga grunder som finns angivna i artikel 6 GDPR. Samtycke är ett av de sex möjliga lagstöden och som vi i detta blogginlägg kommer fördjupa oss i.
Ett av de lagstöd som kan användas är samtycke (artikel 6.1 a). Det är dock viktigt att komma ihåg att samtycke inte alltid är lämpligt och inte alltid är nödvändigt, då ett av de andra lagstöden i GDPR kan vara tillämpligt. Det är en vanlig missuppfattning att man måste ha samtycke för behandling av personuppgifter i ett avtalsförhållande. Den lagliga grunden som handlar om fullgörande av avtal, artikel 6.1 b, ger stöd för att behandla personuppgifter som är nödvändiga för att fullgöra avtal. För sådan personuppgiftsbehandling behövs inget annat lagstöd.
Samtycket kan ges muntligt, skriftligt eller genom en tydlig aktiv handling. En viktig sak att tänka på är att ni bör ha bevis på att samtycke inhämtats. För om det uppstår en tvist ska ni kunna bevisa att ett giltigt samtycke ligger till grund för personuppgiftsbehandlingen. Det är i många fall enklare att bevisa ett skriftligt samtycke än ett muntligt.
Villkor för att använda samtycke som lagstöd
Informerat
Samtycket måste vara informerat. Det innebär att den personuppgiftsansvarige måste informera individen om vilken personuppgiftsbehandling som samtycket avser. Informationen som lämnas måste vara lättillgänglig, begriplig och ha ett klart och tydligt språk. Informationen ska innehålla följande:
1. Vem som efterfrågar samtycket. (Den person eller organisation som är personuppgiftsansvarig. Detta kan låta självklart, men i vissa situationer kan vara mer komplicerat t.ex. om det finns flera olika aktörer inblandade i en och samma tjänst där personuppgiftsbehandlingen sker.)
2. Vilka typer av personuppgifter som kommer behandlas
3. Vilket eller vilka syften som behandlingen motiveras med
4. Att samtycket alltid kan återkallas!
Frivilligt
Den enskilde ska kunna avböja att lämna samtycke utan att det ska få negativa konsekvenser. Därför är samtycke inte lämpligt i situationer där maktobalans förekommer, exv. i ett anställningsförhållande.
Otvetydigt
Samtycket måste ges aktivt och tydligt. Till exempel är en på förhand ikryssad ruta inte en aktiv handling som kan ses som ett giltigt samtycke. Samtycket ska när som helst kunna återkallas. Om någon återkallar sitt samtycke ska personuppgiftsbehandlingen upphöra.
Publicera bilder på anställda på hemsida – exempel på när samtycke är olämpligt
Många företag och myndigheter har bilder på anställda på sin hemsida. Denna behandling kan vara lagenlig, men oftast inte baserat på samtycke.
Myndigheter
För myndigheter kan behandlingen istället baseras på lagstödet allmänt intresse (artikel 6.1 c), förutsatt att syftet är att informera om myndighetens verksamhet. Vid lagstödet allmänt intresse krävs stöd i lag, annan författning eller kollektivavtal. I detta fall kan det allmänna intresset stödjas på 6 § myndighetsförordningen. Enskilda personer har dock rätt att göra invändning mot personuppgiftsbehandlingen.
Myndigheter kan inte använda sig av lagstödet intresseavvägning (artikel 6.1 f). De kan oftast inte heller använda sig av samtycke som laglig grund, eftersom det i många situationer inte är jämbördiga förhållanden mellan den som lämnar samtycket och myndigheten.
Allmänt intresse bör inte motivera att alla anställdas profilbilder finns med på hemsidan, utan istället kan anställda med publika och viktiga roller motiveras av det lagstödet.
Företag och privata organisationer
Anledningen till att samtycke inte alltid är lämpligt i anställningsförhållanden är på grund av att den anställde står i beroendeförhållande till arbetsgivaren. Det är svårt att visa att samtycke lämnas frivilligt när det är ojämna maktförhållanden mellan parterna.
För företag kan behandlingen ibland baseras på lagstödet intresseavvägning (artikel 6.1 f), förutsatt att syftet är att informera om er verksamhet. Vid en intresseavvägning väger man den enskildes intresse av att inte få sina personuppgifter behandlade mot företagets intresse av att behandla personuppgifterna. Det kan exempelvis finnas skäl som väger tyngre för företag att få behandla personuppgifterna vid direktmarknadsföring eller för att förhindra bedrägerier. En intresseavvägning ska alltid dokumenteras.
Utöver vilket lagstöd som används kan det vara bra att fundera över vilka personer som förekommer på hemsidan. Det kanske inte är motiverat vid en intresseavvägning att publicera profilbilder på alla anställda, men anställda som arbetar med kundservice eller i publika roller kan vara motiverat att ha på hemsidan.
Om samtycke skulle användas som laglig grund är det viktigt att reflektera kring om det faktiskt är helt frivilligt för medarbetare att synas på hemsidan eller inte.
Ta hjälp av experter
Vill ni veta mer om hur ni använder samtycke på ett värdeskapande och korrekt sätt? Kontakta oss på info@gdprhero.se eller på 046 – 273 17 17.
