En samtyckesblankett enligt GDPR ska uppfylla de fyra giltighetsvillkoren i artikel 7 och artikel 4.11: samtycket ska vara frivilligt, specifikt, informerat och otvetydigt. Den registrerade ska också kunna återkalla sitt samtycke lika enkelt som det lämnades, och ni som personuppgiftsansvarig ska kunna bevisa att samtycket inhämtats korrekt. Den här sidan ger färdiga formuleringar för de vanligaste svenska fallen – fotosamtycke, nyhetsbrev och hälsouppgifter – tillsammans med en checklista och en genomgång av när en blankett är fel verktyg. För teorin bakom villkoren, se vår guide till samtycke enligt GDPR.
Sammanfattning
- En giltig samtyckesblankett ska vara frivillig, specifik, informerad och otvetydig (art. 4.11 och art. 7).
- Återkallelse ska vara lika enkel som samtycket – blanketten måste ange hur.
- Ni bär bevisbördan (art. 7.1): dokumentera vad, när och hur samtycke lämnades.
- Samtycke är fel grund i anställningsförhållanden och där behandlingen ändå ska ske – välj då en annan rättslig grund.
De fyra villkoren en blankett måste uppfylla
Artikel 4.11 i dataskyddsförordningen definierar samtycke som en frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade godtar behandlingen. Varje ord är ett krav:
- Frivilligt – ingen negativ konsekvens får följa av att neka. Ett samtycke som är villkor för en tjänst som inte kräver det är inte frivilligt.
- Specifikt – ett samtycke per ändamål. Ett kryss får inte täcka både nyhetsbrev och delning med tredje part.
- Informerat – den registrerade ska veta vem som är ansvarig, vilka uppgifter det gäller, för vilket ändamål och att samtycket kan återkallas.
- Otvetydigt – en aktiv handling. Förkryssade rutor och tystnad är inte samtycke (bekräftat i EU-domstolens Planet49-dom, C-673/17).
Mall 1: Fotosamtycke
Det vanligaste fallet i skolor, idrottsföreningar och hos arbetsgivare. Formulering:
Jag samtycker till att [Organisation], org.nr [xxxxxx-xxxx], publicerar fotografier och filmer där jag/mitt barn förekommer på följande kanaler: [webbplats, sociala medier, tryckt material]. Ändamålet är [information och marknadsföring av verksamheten]. Samtycket är frivilligt och kan när som helst återkallas genom att kontakta [e-post]. Återkallelse påverkar inte lagligheten av publicering som redan skedd.
Namn: __________ Datum: __________ Underskrift: __________ För barn under 13 år: vårdnadshavares underskrift.
Notera åldersgränsen: enligt Dataskyddslagen 2 kap. 4 § är åldern för giltigt samtycke till informationssamhällets tjänster satt till 13 år i Sverige. För yngre barn krävs vårdnadshavares samtycke.
Mall 2: Nyhetsbrev
Ja, jag vill ta emot [Organisations] nyhetsbrev med [innehåll: erbjudanden, nyheter] till min e-postadress. Personuppgiftsansvarig är [Organisation]. Jag kan när som helst avregistrera mig via länken i varje utskick eller genom att kontakta [e-post].
☐ (rutan får inte vara förkryssad)
Mall 3: Hälsouppgifter (känsliga uppgifter)
Hälsouppgifter är känsliga personuppgifter enligt artikel 9. När samtycke används som undantag (art. 9.2 a) krävs uttryckligt samtycke – ett högre krav än vanligt.
Jag lämnar mitt uttryckliga samtycke till att [Organisation] behandlar uppgifter om [specifik hälsouppgift, t.ex. allergier, funktionsnedsättning] för ändamålet [t.ex. anpassning av aktivitet]. Jag är införstådd med att detta är känsliga personuppgifter och att samtycket är frivilligt och kan återkallas genom [kontaktväg].
Checklista: vad en giltig blankett innehåller
| Element | Krav | Lagrum |
|---|---|---|
| Personuppgiftsansvarig | Namn och org.nr | Art. 7, art. 13 |
| Specifikt ändamål | Ett ändamål per samtycke | Art. 6.1 a |
| Vilka uppgifter | Konkret angivna | Art. 13.1 c |
| Aktiv bekräftelse | Ej förkryssad ruta | Art. 4.11 |
| Information om återkallelse | Hur och till vem | Art. 7.3 |
| Datum och identifiering | För bevisbördan | Art. 7.1 |
| Uttryckligt (vid art. 9) | Extra tydligt för känsliga uppgifter | Art. 9.2 a |
När en samtyckesblankett är fel verktyg
Samtycke är inte alltid rätt rättslig grund, och en blankett kan då ge en falsk trygghet. Undvik samtycke i följande fall:
- Anställningsförhållanden. IMY:s vägledning om personuppgifter i arbetslivet slår fast att samtycke sällan är giltigt mellan arbetsgivare och anställd, eftersom det råder ett beroendeförhållande – frivilligheten brister. Grunda i stället på avtal, rättslig förpliktelse eller berättigat intresse.
- När behandlingen ändå ska ske. Om ni behöver uppgifterna för att fullgöra ett avtal eller en rättslig skyldighet är samtycke fel – att fråga om lov när ni inte kan acceptera ett nej är vilseledande.
- Behandling som vilar bättre på berättigat intresse. För exempelvis direktmarknadsföring till befintliga kunder kan berättigat intresse vara en mer hållbar grund än samtycke.
Att välja fel grund är ett vanligt och kostsamt misstag: om ett samtycke underkänns saknas plötsligt laglig grund för hela behandlingen.
Granulärt samtycke: ett ändamål i taget
Kravet på specificitet i art. 6.1 a betyder att ett samtycke ska knytas till ett bestämt ändamål. En blankett som med ett enda kryss inhämtar samtycke till “marknadsföring, analys och delning med partner” bryter mot detta – den registrerade måste kunna säga ja till det ena och nej till det andra. Europeiska dataskyddsstyrelsen klargör i sina riktlinjer om samtycke att buntade samtycken (bundling) underminerar frivilligheten och specificiteten. I praktiken innebär det separata kryssrutor per ändamål, aldrig ett paketerat medgivande.
Detta gäller även när flera behandlingar sker vid samma tillfälle. Vid en föreningsanmälan kan ni behöva samtycke till fotopublicering, till nyhetsutskick och till registrering av allergier – tre olika ändamål som var för sig ska kunna nekas utan att medlemskapet påverkas. En väl utformad blankett skiljer därför tydligt på det som är nödvändigt för tjänsten (och alltså inte vilar på samtycke alls) och det som är frivilligt tillägg. Att blanda ihop dessa är ett av de vanligaste felen, och det gör hela samtycket angripbart.
Bevisbördan: dokumentera samtycket
Artikel 7.1 lägger bevisbördan på er. Vid en granskning ska ni kunna visa vem som samtyckte, när, till vad och hur. En pappersblankett i en pärm fungerar men skalar dåligt; digitala samtycken bör loggas med tidsstämpel och den exakta text som visades. Samtyckena hör också ihop med er registerförteckning, där behandlingar som vilar på samtycke ska framgå med just den rättsliga grunden.
När volymen samtycken växer blir manuell hantering av insamling, lagring och återkallelse svår att överblicka. En plattform som Legiscope kan hålla samman samtyckesloggar med registret så att återkallelser slår igenom och bevisbördan alltid är uppfylld. För komplexa fall bör ni även bedöma om ett dataskyddsombud krävs.
Vanliga frågor
Måste samtyckesblanketten vara skriftlig?
Nej, GDPR kräver inte skriftlig form, men ni måste kunna bevisa att samtycke lämnats (art. 7.1). En skriftlig eller digitalt loggad blankett är det praktiska sättet att uppfylla bevisbördan. Muntligt samtycke är juridiskt giltigt men svårt att styrka i efterhand.
Kan jag använda en förkryssad ruta för att spara tid?
Nej. EU-domstolen slog i Planet49-domen (C-673/17) fast att en förkryssad ruta inte utgör ett giltigt samtycke, eftersom det saknar den aktiva viljeyttring som art. 4.11 kräver. Rutan måste vara tom och kryssas av den registrerade.
Hur ska återkallelse av samtycke fungera?
Enligt art. 7.3 ska det vara lika enkelt att återkalla som att lämna samtycke. Blanketten ska ange hur – till exempel en avregistreringslänk eller en e-postadress. Återkallelse gäller framåt och påverkar inte lagligheten av behandling som redan skett.
Behöver barn vårdnadshavares samtycke?
För informationssamhällets tjänster (appar, sociala medier, onlinetjänster) gäller enligt Dataskyddslagen 2 kap. 4 § åldersgränsen 13 år i Sverige. För barn under 13 krävs vårdnadshavarens samtycke. För fotopublicering och liknande bör vårdnadshavares samtycke inhämtas för minderåriga.
Slutsats
En samtyckesblankett är bara så stark som dess svagaste villkor. Den ska vara frivillig, specifik, informerad och otvetydig, ange hur samtycket återkallas och göra bevisbördan uppfylld. Använd mallarna ovan för foto, nyhetsbrev och hälsouppgifter, men kontrollera först att samtycke verkligen är rätt rättslig grund – i anställningsförhållanden och där behandlingen ändå ska ske är det ofta fel verktyg.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial