Dataskydd

Samtycke enligt GDPR: krav för giltigt samtycke (art. 7)

Samtycke enligt GDPR: de fyra villkoren för giltigt samtycke (art. 7), återkallelse, bevisbörda och när samtycke är fel rättslig grund enligt svensk rätt.

Also available in:English·Français·Deutsch·Español

Ett giltigt samtycke enligt GDPR måste vara frivilligt, specifikt, informerat och otvetydigt – och den registrerade ska när som helst kunna återkalla det lika enkelt som det lämnades. Kraven följer av artikel 4.11 och artikel 7 i dataskyddsförordningen. Samtycke är dock bara en av sex rättsliga grunder, och ofta fel val. Den här guiden går igenom de fyra villkoren, reglerna om återkallelse och bevisbörda, den svenska åldersgränsen på 13 år och när du bör välja en annan grund. Behöver du en färdig blankett finns en separat mall för samtyckesblankett.

Viktigaste punkterna

  • Ett giltigt samtycke ska vara frivilligt, specifikt, informerat och otvetydigt (art. 4.11).
  • Den ansvarige måste kunna bevisa att samtycke lämnats (art. 7.1) – bevisbördan ligger på företaget.
  • Samtycke ska kunna återkallas när som helst, lika enkelt som det gavs (art. 7.3).
  • I Sverige är åldersgränsen för barns samtycke till informationssamhällets tjänster 13 år (Dataskyddslagen 2 kap. 4 §).

De fyra villkoren för giltigt samtycke

Artikel 4.11 definierar samtycke som en frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade godtar behandlingen. Alla fyra villkoren måste vara uppfyllda:

Frivilligt. Den registrerade måste ha ett verkligt val, utan negativa konsekvenser om hen avstår. Samtycke är därför sällan giltigt vid tydlig obalans mellan parterna – exempelvis mellan arbetsgivare och anställd. Det får inte heller vara ett villkor för att fullgöra ett avtal om behandlingen inte är nödvändig för avtalet (art. 7.4). Att tvinga en användare att godta all spårning för att få tillgång till en tjänst är därför inte frivilligt.

Specifikt. Samtycket ska gälla ett bestämt ändamål. Ett enda kryss som täcker “marknadsföring, analys och delning med partners” är inte specifikt – varje ändamål kräver ett eget, granulärt val. Buntar du ihop flera ändamål i ett samtycke är det ogiltigt för samtliga.

Informerat. Den registrerade ska innan hen samtycker veta åtminstone vem som är ansvarig, vilka ändamålen är och att samtycket kan återkallas. Informationen ska vara klar och lättillgänglig, inte begravd i ett långt villkorsdokument.

Otvetydigt. Samtycket kräver en aktiv handling – ett kryss som användaren själv fyller i, en knapptryckning. Förkryssade rutor, tystnad eller inaktivitet räknas inte, vilket EU-domstolen slog fast i Planet49-domen (C-673/17). Europeiska dataskyddsstyrelsens riktlinjer om samtycke (05/2020) utvecklar hur varje villkor ska tolkas i praktiken och är den centrala tolkningskällan.

Bevisbörda och dokumentation

Artikel 7.1 lägger bevisbördan på den ansvarige: du måste kunna visa att en giltig samtyckesyttring faktiskt lämnats. I praktiken innebär det att du bör logga vem som samtyckte, när, till vad och vilken information som visades vid tillfället. Ett samtycke du inte kan bevisa är i praktiken inget samtycke. Denna dokumentation hör hemma i din registerförteckning, där den rättsliga grunden för varje behandling ska anges.

Det räcker alltså inte att spara ett “ja”. Du behöver kunna rekonstruera vilken formulering användaren såg, eftersom giltigheten avgörs av om just den informationen uppfyllde kraven. Om du senare ändrar texten i ett formulär eller lägger till ett nytt ändamål gäller det gamla samtycket inte det nya ändamålet – då krävs ett nytt, dokumenterat samtycke. Många organisationer underskattar detta och behandlar samtyckesloggen som en enkel av/på-flagga, när den i själva verket måste vara versionshanterad. Vid en granskning från IMY är det just denna spårbarhet – vem, när, till vad och på vilka villkor – som avgör om samtycket håller.

Rätten att återkalla samtycke

Enligt artikel 7.3 ska den registrerade kunna återkalla sitt samtycke när som helst, och det ska vara lika enkelt att återkalla som att lämna. Om samtycke gavs med ett klick får återkallelse inte kräva ett telefonsamtal eller ett brev. Återkallelsen påverkar inte lagligheten av behandling som skedde före återkallelsen, men efter den saknas rättslig grund – och uppgifterna ska då som regel raderas, vilket kopplar samman med rätten att bli glömd.

Barns samtycke: 13 år i Sverige

För informationssamhällets tjänster som erbjuds direkt till barn krävs enligt artikel 8 samtycke från vårdnadshavare om barnet är under en viss ålder. GDPR sätter grundåldern till 16 år men låter medlemsstaterna sänka den till lägst 13. Sverige har utnyttjat den möjligheten: enligt Dataskyddslagen 2 kap. 4 § gäller åldersgränsen 13 år. Ett barn under 13 år kan alltså inte själv lämna giltigt samtycke till exempelvis en sociala medier-tjänst – då krävs vårdnadshavarens godkännande, och den ansvarige ska göra rimliga ansträngningar för att kontrollera detta.

När samtycke är fel rättslig grund

Ett vanligt misstag är att förlita sig på samtycke när en annan grund passar bättre. Samtycke är svagt: det kan återkallas, kräver löpande bevis och faller vid obalans. Överväg alternativen enligt din rättsliga grund:

Situation Bättre grund än samtycke
Behandling nödvändig för avtal Artikel 6.1 b – avtal
Lagkrav (t.ex. bokföring) Artikel 6.1 c – rättslig förpliktelse
Anställdas personuppgifter Ofta avtal eller berättigat intresse, inte samtycke
Direktmarknadsföring till kunder Ofta artikel 6.1 f – berättigat intresse

I arbetslivet är samtycke särskilt problematiskt. IMY är tydlig med att beroendeförhållandet mellan arbetsgivare och anställd normalt gör att ett samtycke inte kan anses frivilligt. En arbetsgivare bör därför i regel grunda behandlingen av anställdas uppgifter på avtal, rättslig förpliktelse eller berättigat intresse – inte på samtycke. Undantag kan finnas för behandlingar som är helt frivilliga för den anställde, som en frivillig personalfoto på intranätet.

Praktisk hantering

Att hålla ordning på samtycken – vem som samtyckt till vad, när och om de återkallat – blir snabbt oöverskådligt manuellt, särskilt när samma person interagerar med flera tjänster. En plattform som Legiscope kopplar samtyckesloggen till registerförteckningen och biträdesavtalen, så att den rättsliga grunden för varje behandling går att belägga vid en tillsyn. När leverantörer behandlar samtyckesbaserad data ska ansvaret regleras i personuppgiftsbiträdesavtalet. Cookiesamtycke i en webbutik följer dessutom särskilda regler; se GDPR för e-handel.

Vanliga frågor

Räcker en förkryssad ruta som samtycke?

Nej. Samtycke kräver en aktiv, otvetydig handling. Förkryssade rutor, tystnad eller fortsatt användning av en tjänst uppfyller inte kravet, vilket EU-domstolen bekräftade i Planet49-domen (C-673/17). Användaren måste själv göra ett aktivt val.

Kan vi kräva samtycke för att någon ska få använda vår tjänst?

Bara om behandlingen är nödvändig för tjänsten. Att villkora tillgången med samtycke till behandling som inte behövs för tjänsten gör samtycket ofrivilligt och därmed ogiltigt (art. 7.4). Sådan behandling behöver en annan rättslig grund.

Kan en arbetsgivare grunda behandling av anställdas data på samtycke?

Sällan. IMY anser att beroendeförhållandet i anställningen normalt gör samtycket ofrivilligt. Arbetsgivare bör i regel använda avtal, rättslig förpliktelse eller berättigat intresse. Samtycke kan dock fungera för helt frivilliga inslag, som deltagande i en personalaktivitet.

Hur länge gäller ett samtycke?

Samtycket gäller så länge ändamålet består och det inte återkallats. Det finns ingen fast giltighetstid i GDPR, men samtycke till behandling som pågår länge bör förnyas eller bekräftas med jämna mellanrum, och den registrerade ska alltid kunna återkalla det.

Slutsats

Giltigt samtycke är krävande: frivilligt, specifikt, informerat och otvetydigt, med dokumenterad bevisning och en lika enkel väg att återkalla. I Sverige gäller dessutom 13-årsgränsen för barn. Just för att samtycke är så bräckligt är det ofta fel grund – särskilt i arbetslivet och för avtalsnödvändig behandling. Välj grund medvetet, och reservera samtycke för de fall där den registrerade verkligen har ett fritt val. Ett giltigt samtycke är ett löfte om kontroll: personen ska när som helst kunna ta tillbaka det lika enkelt som det gavs, och du ska kunna bevisa exakt vad som samtyckts till. Kan du inte leva upp till det löftet är samtycke fel verktyg – och då är det bättre att bygga behandlingen på en grund som faktiskt bär.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →