Samtycke är en av de rättsliga grunderna i GDPR. För att uppfylla kraven för ett giltigt samtycke krävs det bland annat att individen lämnar sitt medgivande till behandlingen. Detta frivilliga medgivande ska inte förväxlas med att någon godkänner villkor i ett avtal. Syftet med detta blogginlägg är att visa på skillnader mellan att efterfråga samtycke eller godkännande och hur denna begreppsförvirring i så fall kan undvikas.
I olika sammanhang, inte minst i formulär ser vi olika alternativ och användning av ”samtycke” och ”godkännande”. Tanken är att vi här ska reda ut när det är lämpligt att använda de olika begreppen utifrån ett dataskydds- och personuppgiftsbehandlingskontext.
Samtycke som rättslig grund
Samtycke utgör ett av sex möjliga lagstöd och regleras i artikel 6.1 a GDPR. Den aktuella artikeln i fråga stadgar att behandling av personuppgifter endast är laglig om personen har lämnat sitt samtycke till att låta sina personuppgifter behandlas för ett eller flera specifika ändamål.
Vad som utgör ett samtycke i GDPR:s mening finner vi i artikel 4.11. Samtycke definieras som ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.
Kort sagt innebär ett samtycke att individen ”sagt ja” till personuppgiftsbehandlingen. Det räcker dock inte att endast inhämta ett medgivande, utan för att samtycket ska vara giltigt som lagstöd måste även följande villkor vara uppfyllda:
- Samtycket ska vara informerat.
- Samtycket ska vara frivilligt.
- Samtycket ska vara otvetydigt.
Se upp för ”bundling”
Bundling syftar på ett tillvägagångssätt där samtycke krävs tillsammans med godkännande av villkor eller att det tolkas att ett samtycke getts indirekt genom att godkänna ett avtal. Europeiska dataskyddsstyrelsen (EDPB) definierar bundling som när någon knyter ihop ett avtal eller en tjänst med en begäran om samtycke, för behandling av personuppgifter som inte är nödvändig/relaterad för utförandet av avtalet/tjänsten.1
Exempel på bundling
För att slutföra ett köp hos en onlinebutik krävs att kunden samtycker till att ta emot nyhetsbrev (personuppgiftsbehandling för marknadsföringsändamål). Dock har nyhetsbreven igen koppling (är inte nödvändig) för att onlinebutiken ska kunna administrera kundens köp och skicka varorna (uppfylla avtalet med kund). Här har butiken använt sig av bundling, vilket medför att samtycket tolkas som ogiltigt.
Ett samtycke får inte krävas som en motprestation när ni ingår avtal med kund. Det är inte tillåtet att kräva att någon lämnar sitt samtycke för behandling av personuppgifter när de ingår avtal med er, utan för att et samtycke ska vara giltigt krävs att det sker frivilligt, specifikt, informerat och genom en otvetydig viljeyttring. De två lagliga grunderna för behandlingen av personuppgifter, det vill säga samtycke och avtal, kan inte slås samman eller suddas ut.
Olika former av samtycke
Ett samtycke kan inhämtas på flera olika sätt. Ett samtycke kan lämnas både muntligt, skriftligt eller genom en tydlig aktiv handling. Viktigt att tänka på är därför att man borde ha bevis på att samtycket har inhämtats, vid eventuell tvist måste man kunna bevisa att ett giltigt samtycke ligger till grund för personuppgiftsbehandlingen.
Läs gärna mer som samtycke som rättslig grund i ett av våra tidigare blogginlägg.
Eftersom GDPR uttryckligen anger att samtycke har specifika kriterier så är det lämpligt att använda begreppet ”samtycke” när sådant efterfrågas. Detta för att särskilja när det är denna lagliga grund för behandling av personuppgifter som används.
Den språkliga skillnaden mellan samtycka och godkänna
I denna del ska vi kolla närmare på om det finns någon språklig skillnad mellan att samtycka och godkänna och vilka konsekvenser de kan ha på giltigheten av ett samtycke.
I det vardagliga svenska språket används orden till stor del synonymt med varandra och förekommer i olika lagstiftningar och rättsakter. Men beroende på i vilken kontext som termerna används kan det finnas en skillnad mellan de två. Skillnaden blir som tydligast när man jämför de engelska motsvarigheterna ”agree” och ”consent”.
Generellt sett innebär ett godkännande att en individ accepterar eller bekräftar något. Det kan röra sig om ett beslut, en överenskommelse eller en förfrågan. Ett godkännande kan även vara bredare än så och användas i olika sammanhang, däribland situationer där juridiska- eller dataskyddsaspekter inte utgör ett primärt fokus.
Ett samtycke å andra sidan kan definieras som en specifik form av godkännande som bland annat används inom dataskyddsrätten, då GDPR särskilt reglerar vad som utgör ett samtycke. Att ge sitt samtycke innebär att individen ger tillåtelse för att dennes personuppgifter får behandlas. Begreppet ”godkänna” har till sin natur en bredare och i vissa fall tvetydig innebörd. Otydlighet samt tvetydighet medför att ett samtycke kan tolkas som ogiltigt.
I det engelska språket ser vi den generella språkliga skillnaden något tydligare. ”To agree” till att göra något anser man i en juridisk eller avtalsmässig kontext som ett uttryck för att ta på sig en skyldighet. ”To Consent” ses istället som ett erkännande av att den andra personen, parten, kommer att göra något och detta kommer samtyckesgivaren att tolerera.
Denna generella språkliga skillnad kan förklaras med att om man använder sig av godkänna så kommer åtgärden utföras av den person som godkänt. Om man använder samtycke så kommer åtgärden att utföras av den som efterfrågat samtycke.
Exempel på skillnader
Den språkliga skillnaden mellan att godkänna och att samtycka visar sig bäst genom några exempel där de förmedlar olika budskap:
Lämpligt att använda begreppet ”godkänner”:
- Jag godkänner erbjudandet om anställning.
- Jag godkänner villkoren för att hyra en bil.
- Jag godkänner användarvillkoren för att skapa ett konto på webbplatsen.
- Jag godkänner att delta i undersökningen.
- Jag godkänner att mina barn deltar i skolutflykten.
Vad vi vill visa genom dessa exempel är att individen kan godkänna en viss handling trots att för det ligger utanför individens förmåga att påverka eller kontrollera den. Det vill säga att en individ kan godkänna en situation där de inte själva har någon makt över utgången, det kan alltså vara ett passivt godkännande.
Ser vi detta i ljuset av GDPR så hade det inte varit i linje med ett giltigt samtycke. Det är viktigt att använde sig av den definition som GDPR har när man ska formulera ett samtycke.
Lämpligt att använda begreppet ”samtycker”:
- Jag samtycker till att arrangören tar bilder under eventet och använder det i sin marknadsföring på sin hemsida.
- Jag samtycker till att lämna mina kontaktuppgifter för att bli kontaktad av er.
- Jag samtycker till att delta i tävlingen.
- Jag samtycker till att mina personuppgifter används för att behandla min ansökan.
- Jag samtycker till att ni använder cookies.
- Jag samtycker till att mina betalningsuppgifter sparas för framtida köp.
Det är också av yttersta vikt att begreppet samtycke endast använd när individen har en faktisk möjlighet att välja att ge sitt samtycke eller inte. Är det tvingande att lämna sitt medgivande är det inte samtycke – och då bör istället ”godkänna” användas.
Tänk på att endast fråga efter samtycke för hantering som ni genomför med stöd av samtycke
När ”godkänna” blir otydligt för läsarna
Här är ett exempel från Skatteverket där de efterfrågar att användaren godkänner att de lagrar personuppgifter. De efterfrågar inte samtycke utan vill istället informera om sin behandling av dina personuppgifter. Anledningen till att Skatteverket och många andra aktörer väljer att ge användaren valet att ”Godkänna” informationen är troligen för att individ ska bekräfta att de tagit del av informationen. Information om personuppgiftsbehandling är alla organisationer skyldiga att tillhandahålla, men även så lång som möjligt säkerställa att berörda personer tar del av den.
Efterfrågar ni samtycke samtidigt som ni informerar om annan behandling och kallar allt ”samtycke”
Det är viktigt att urskilja vilken behandling som omfattas av efterfrågat samtycke så att individen kan göra ett informerat val. Nedan skärmklipp är ett bra försök till att efterfråga samtycke men det blir otydligt vad som faktiskt omfattas av samtycket i fråga och vilken behandling som stödjs på andra lagliga grunder enligt integritetspolicyn. Här är det troligen så att organisationen faktiskt efterfrågar ett godkännande från individen (eller bekräftelse att denne tagit del av gällande villkor).
Särskilj avtalsvillkor och samtycke
Exempel på när en organisation lyft ut samtycket till en tydlig kryssruta som kund kan välja att samtycka till eller inte i köpprocessen.
Tips att ta med sig
Tänk på att ett godkännande kan utgöra ett samtycke, men det behöver inte betyda att det därmed alltid föreligger ett giltigt samtycke. För att undvika missuppfattningar och säkerställa att ni uppfyller GDPR:s krav bör ni tänka på följande.
Ser man till GDPR:s definition av ett giltigt samtycke krävs det att de är informerat, otvetydigt och frivilligt. Om en individ inte upplevde att de har något frivilligt val, så föreligger det inte heller ett giltigt samtycke.
Om kommunikationen kring ett samtycke inte är tydlig, kan det innebära konsekvenser för er organisation (personuppgiftsansvarig) och den berörda individen (den registrerade). Som personuppgiftsansvarig har ni då inte längre en laglig grund i samtycke att luta er mot och er behandling av personuppgifter blir i strid med GDPR. För individen innebär det därmed att dess personuppgifter behandlas trots att man inte samtyckt till det.
Vår utgångspunkt är att termen “godkänner” inte bör användas vid förfrågan om samtycke. Särskilt inte i sammanhang där samtycke efterfrågas för viss behandling medan annan behandling som ni informerar om samtidigt stödjer sig på andra lagliga grunder (jmf. exemplen ovan). Om ni använder er av “godkänner” är det viktigt att använda det konsekvent samt se till att de personer som samtycker förstår innebörden.
Ta med er att ni kan behöva fundera en extra gång på hur det uppfattas av berörda individer. Ställ er frågor som:
- Vad är vårt syfte och vår lagliga grund för behandlingen av personuppgifter?
- Är det tydligt informerat av oss?
- Är det möjligt för personer att frivilligt samtycka om de önskar?
- Sker samtyckesförklaringen på ett otvetydigt sätt?
Att uttrycka sig klart och tydligt med ett enkelt språk gör det lättare för individerna att hänga med i vad ni efterfrågar. Eftersom godkänna kan vara ett bredare begrepp så kan det misstolkas som att det inte är ett samtycke ni efterfrågar.
Vi hjälper er snabbt och enkelt att hantera samtycken på rätt sätt. Kontakta oss idag!