Personvern

Samtykke (artikkel 7 GDPR): vilkår, eksempler og vanlige feil i 2026

Samtykke etter artikkel 7 GDPR: de fire vilkårene for gyldig samtykke, konkrete eksempler på riktig og feil formulering, tilbaketrekking, og Grindr-saken.

Also available in:English·Français·Deutsch·Español

Samtykke er ett av flere rettslige grunnlag for å behandle personopplysninger, og for at det skal være gyldig, må det være frivillig, spesifikt, informert og utvetydig. Disse vilkårene følger av artikkel 4 nr. 11 og artikkel 7 i personvernforordningen (GDPR). Samtykke skal gis gjennom en aktiv handling – en forhåndsavkrysset boks, stillhet eller passivitet er aldri gyldig samtykke. Den behandlingsansvarlige må kunne dokumentere at samtykket er gitt, og den registrerte skal kunne trekke det tilbake like enkelt som det ble gitt. Er ett av vilkårene ikke oppfylt, er samtykket ugyldig og behandlingen mangler rettslig grunnlag.

Denne artikkelen forklarer de fire vilkårene, gir konkrete eksempler på riktig og feil samtykke, forklarer når samtykke ikke er riktig grunnlag, og hvordan tilbaketrekking skal fungere. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.

De fire vilkårene for gyldig samtykke

Frivillig. Den registrerte må ha et reelt valg uten negative konsekvenser ved å nekte. Samtykke er ikke frivillig hvis det er en betingelse for en tjeneste som ikke krever det, eller hvis det er et klart skjevt maktforhold – for eksempel mellom arbeidsgiver og ansatt, der ansatte sjelden kan si nei fritt. Etter artikkel 7 nr. 4 skal det tas «størst mulig hensyn» til om oppfyllelse av en avtale er gjort betinget av et samtykke som ikke er nødvendig for avtalen.

Spesifikt. Samtykket må gjelde konkrete, klart angitte formål. Ett samlet samtykke til «markedsføring, analyse og deling med partnere» er ikke spesifikt – hvert formål krever sitt eget valg.

Informert. Den registrerte må før samtykket vite hvem den behandlingsansvarlige er, hva formålene er, hvilke opplysninger som behandles, og at samtykket kan trekkes tilbake. Denne informasjonen henger sammen med personvernerklæringen.

Utvetydig. Samtykket må gis gjennom en klar bekreftende handling. For særlige kategorier opplysninger (helse, etnisitet m.m.) kreves i tillegg uttrykkelig samtykke etter artikkel 9 nr. 2 bokstav a.

Når er samtykke feil grunnlag?

Samtykke er bare ett av seks grunnlag i artikkel 6. Ofte er avtale, rettslig forpliktelse eller berettiget interesse mer passende. Å behandle ansattes personalopplysninger bygger typisk på arbeidsavtalen og lovkrav, ikke samtykke – nettopp fordi frivilligheten svikter i arbeidsforhold. En vanlig feil er å be om samtykke til noe man uansett har et annet grunnlag for; da skaper man en illusjon av valg som ikke finnes, og risikerer at hele behandlingen faller når samtykket trekkes.

Eksempler på riktig og feil samtykke

Feil (nyhetsbrev): En forhåndsavkrysset boks med teksten «Ja, jeg vil motta nyhetsbrev og tilbud», som kunden må fjerne haken fra for å reservere seg. Dette er ikke en aktiv handling og er ugyldig.

Riktig (nyhetsbrev): En tom avkrysningsboks med teksten «Ja, jeg samtykker til å motta [Firma]s nyhetsbrev på e-post. Jeg kan når som helst melde meg av via lenken i hver e-post.» Boksen er ikke forhåndsavkrysset og gjelder ett konkret formål.

Feil (samlesamtykke): «Ved å registrere deg godtar du våre vilkår og at vi behandler opplysningene dine til markedsføring, profilering og deling med samarbeidspartnere.» Dette blander avtaleinngåelse med flere ulike behandlinger og er verken frivillig eller spesifikt.

Riktig (granulert): Separate, tomme bokser: «☐ Send meg nyhetsbrev», «☐ Tilpass innhold basert på min bruk», «☐ Del opplysninger med utvalgte partnere». Hver behandling har sitt eget valg, som kan gis eller nektes uavhengig.

Riktig (sensitive opplysninger): «Jeg samtykker uttrykkelig til at [Klinikk] behandler helseopplysningene mine for å gi meg behandling.» Uttrykkelig samtykke kreves fordi det gjelder særlige kategorier.

Hva krever dokumentasjon av samtykke?

Etter artikkel 7 nr. 1 må den behandlingsansvarlige kunne påvise at samtykke er gitt. I praksis betyr det å logge hvem som samtykket, når, til hva, og hvilken informasjon som ble vist på samtykketidspunktet. Et samtykke uten logg er vanskelig å forsvare ved en klage. Denne dokumentasjonen bør knyttes til behandlingsprotokollen.

Tilbaketrekking av samtykke

Artikkel 7 nr. 3 gir den registrerte rett til å trekke tilbake samtykket når som helst, og det skal være like enkelt å trekke tilbake som å gi. Kan man melde seg på med ett klikk, kan man ikke kreve et brev for å melde seg av. Tilbaketrekking påvirker ikke lovligheten av behandlingen før tilbaketrekkingen, men fra det tidspunktet må behandlingen opphøre med mindre det finnes et annet grunnlag. Ofte utløser tilbaketrekking også rett til sletting.

Grindr-saken er den viktigste norske illustrasjonen av hva ugyldig samtykke koster. Datatilsynet ila i 2021 datingappen Grindr et overtredelsesgebyr på 65 millioner kroner – det høyeste gebyret i norsk personvernhistorie – fordi appen delte personopplysninger med tredjeparter for atferdsbasert markedsføring uten gyldig samtykke. Datatilsynet fant at samtykket verken var spesifikt, informert eller frivillig, blant annet fordi brukerne ikke reelt kunne velge bort delingen. Gebyret ble opprettholdt av Personvernnemnda og senere av domstolene. Et verktøy som Legiscope kan dokumentere samtykker, formål og tilbaketrekkinger, slik at kravet til påvisning etter artikkel 7 nr. 1 oppfylles.

Gjelder egne regler for barns samtykke?

Ja. For informasjonssamfunnstjenester tilbudt direkte til barn setter artikkel 8 en aldersgrense for gyldig samtykke. Forordningen fastsetter 16 år som utgangspunkt, men åpner for at nasjonal rett kan senke grensen til minst 13 år. I Norge er den nedre grensen 13 år. Er barnet under grensen, må samtykket gis eller godkjennes av den som har foreldreansvar, og den behandlingsansvarlige skal gjøre rimelige anstrengelser for å kontrollere at slikt samtykke faktisk foreligger. Dette er særlig relevant for apper, spill og sosiale tjenester rettet mot mindreårige, der innebygd personvern og personvernvennlige standardinnstillinger blir ekstra viktige.

Vanlige feil

  • Forhåndsavkryssede bokser. Aldri gyldig. Samtykke krever en aktiv handling.
  • Samlesamtykke. Å pakke flere formål inn i ett samtykke bryter kravet til spesifikt samtykke.
  • Å bruke samtykke der man har et annet grunnlag. Skaper falskt valg og gjør behandlingen sårbar for tilbaketrekking.
  • Vanskelig tilbaketrekking. Tilbaketrekking skal være like enkel som samtykket. En skjult avmeldingslenke er ikke nok.
  • Manglende logg. Uten dokumentasjon på hvem som samtykket til hva og når, kan samtykket ikke forsvares.

Ofte stilte spørsmål

Er en forhåndsavkrysset boks gyldig samtykke?

Nei. Samtykke krever en klar bekreftende handling fra den registrerte. Forhåndsavkryssede bokser, stillhet og passivitet oppfyller ikke kravet til utvetydig samtykke, og er derfor alltid ugyldige.

Kan man behandle ansattes opplysninger basert på samtykke?

Som hovedregel nei. På grunn av det skjeve maktforholdet mellom arbeidsgiver og ansatt er samtykke sjelden frivillig i arbeidsforhold. Behandling av personalopplysninger bør derfor bygge på arbeidsavtalen, lovpålagte krav eller berettiget interesse, ikke samtykke.

Hvordan trekker man tilbake et samtykke?

Den registrerte kan trekke tilbake samtykket når som helst, og det skal være like enkelt som å gi det. Fra tilbaketrekkingen må behandlingen opphøre med mindre det finnes et annet rettslig grunnlag. Behandling utført før tilbaketrekkingen forblir lovlig.

Må samtykke fornyes med jevne mellomrom?

Forordningen setter ingen fast utløpsdato for samtykke, men et samtykke som ikke lenger gjenspeiler den faktiske behandlingen, mister sin gyldighet. Endrer formålet seg, må nytt samtykke innhentes. God praksis er å gjennomgå samtykkegrunnlaget jevnlig og innhente på nytt der behandlingen har utviklet seg siden samtykket ble gitt.

Konklusjon

Gyldig samtykke er frivillig, spesifikt, informert og utvetydig – og må kunne dokumenteres og trekkes tilbake like enkelt som det ble gitt. Bruk tomme avkrysningsbokser, skill hvert formål for seg, og velg samtykke bare når det faktisk er riktig grunnlag; ofte er avtale eller berettiget interesse mer passende. Grindr-gebyret på 65 millioner kroner viser hva ugyldig samtykke kan koste. Logg samtykkene, knytt dem til behandlingsprotokollen, og sørg for enkel tilbaketrekking. Riktig håndtert samtykke er både et regelkrav og et tillitsforhold til kundene.

Denne artikkelen gir generell informasjon om artikkel 7 og utgjør ikke juridisk rådgivning.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →