Samtycke är ett av sex möjliga lagstöd i GDPR. En av de viktigaste aspekterna med personuppgiftshantering hos föreningar, företag och myndigheter är att varje personuppgiftsbehandling ska vara knuten till något av de lagstöd som finns i artikel 6.

 

Ett av de lagstöd som ofta används är samtycke, som stadgas i artikel 6.1.a. Det är dock viktigt att komma ihåg att samtycke inte alltid är lämpligt och inte alltid är nödvändigt, då ett av de andra lagstöden i GDPR kan vara tillämpligt. Det är en vanlig missuppfattning att man måste ha samtycke för behandling av personuppgifter i ett avtalsförhållande. Den lagliga grunden som handlar om fullgörande av avtal, artikel 6.1.b, ger stöd för att behandla personuppgifter som är nödvändiga för att fullgöra avtalet. För den personuppgiftsbehandlingen behövs inget annat lagstöd. Samtycket kan ges muntligt, skriftligt eller genom en tydlig aktiv handling. Det viktigaste att tänka på är att man bör ha bevis på att samtycke inhämtats. Om det uppstår en tvist är det viktigt att tänka på att man måste kunna bevisa att ett giltigt samtycke ligger till grund för personuppgiftsbehandlingen. Det är i många fall enklare att bevisa ett skriftligt samtycke än ett muntligt.

 

Villkor för att använda samtycke som lagstöd:

Informerat

Samtycket måste vara informerat. Det innebär att den personuppgiftsansvarige måste informera individen om vilkenpersonuppgiftsbehandlingen som samtycket avser. Informationen som lämnas måste vara lättillgänglig, begriplig och ha ett klart och tydligt språk. Informationen ska innehålla följande:

1. Vem begär samtycke? (Alltså vem är det som är personuppgiftsansvarig. Detta kan låta självklart, men i vissa situationer kan vara mer komplicerat t.ex. om det finns flera olika aktörer inblandade i en och samma tjänst där personuppgiftsbehandlingen sker.)

2. Vilka typer av personuppgifter kommer behandlas?

3. Vilket eller vilka syften motiveras behandlingen av?

4. Att samtycket alltid kan återkallas!

Frivilligt

Den enskilde ska kunna avböja att lämna samtycke utan att det ska få negativa konsekvenser. Därför är samtycke inte lämpligt i situationer där maktobalans förekommer, exv. i ett anställningsförhållande.

Otvetydigt

Samtycket måste vara aktivt och tydligt. Till exempel är en på förhand ikryssad ruta inte en aktiv handling som kan ses som ett giltigt samtycke. Samtycket kan när som helst återkallas, sker det får den personuppgiftsansvariga inte längre behandla personuppgifterna med stöd av samtycket.

 

Bilder på anställda på hemsida – exempel på när samtycke är olämpligt

Många företag och myndigheter har bilder på anställda på sin hemsida. Denna behandling kan vara lagenlig, men oftast inte baserat på samtycke.

Myndigheter

För myndigheter kan behandlingen istället baseras på lagstödet allmänt intresse (artikel 6.1.c), förutsatt att syftet är att informera om myndighetens verksamhet. Vid lagstödet allmänt intresse krävs stöd i lag, annan författning eller kollektivavtal. I detta fall kan det allmänna intresset stödjas på 6 § myndighetsförordningen. Enskilda personer har dock rätt att göra invändning mot personuppgiftsbehandlingen.

Myndigheter kan inte använda sig av lagstödet intresseavvägning (artikel 6.1.f). De kan oftast inte heller använda sig av samtycke som laglig grund, eftersom det i många situationer inte är jämbördiga förhållanden mellan den som lämnar samtycket och myndigheten.

Allmänt intresse bör inte motivera att alla anställdas profilbilder finns med på hemsidan, utan istället kan anställda med publika roller motiveras av det lagstödet.

Företag och privata organisationer

Anledningen till att samtycke inte alltid är lämpligt i anställningsförhållanden är på grund av att den anställde står i beroendeförhållande till arbetsgivaren. Det är svårt att visa att samtycket lämnas frivilligt när det är ojämna maktförhållanden mellan parterna.

För företag kan behandlingen ibland baseras på lagstödet intresseavvägning (artikel 6.1.f), förutsatt att syftet är att informera om er verksamhet. Vid en intresseavvägning väger man den enskildes intresse av att inte få sina personuppgifter behandlade mot företagets intresse av att behandla personuppgifterna. Det kan väga tyngre för företag att få behandla personuppgifterna vid direktmarknadsföring eller för att förhindra bedrägerier. En intresseavvägning ska alltid dokumenteras.

Utöver vilket lagstöd som används kan det vara bra att fundera över vilka personer som förekommer på hemsidan. Det kanske inte är motiverat vid en intresseavvägning att visa bilder på alla anställda, men anställda som arbetar med kundservice eller i publika roller kan vara motiverat att ha på hemsidan.

Kontakt

Vill ni veta mer om hur ni använder samtycke på ett värdeskapande och korrekt sätt? Kontakta oss på support@gdprhero.se eller på 046 – 273 17 17.

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

Share This