Databeskyttelse

Samtykke (art. 7 GDPR): betingelser og eksempler på gyldigt samtykke 2026

Gyldigt samtykke efter art. 7 GDPR: de fire betingelser, hvordan du dokumenterer og trækker samtykke tilbage, plus konkrete eksempler på god og dårlig praksis.

Also available in:English·Français·Deutsch·Español

Samtykke er ét af de seks behandlingsgrundlag i GDPR, og for at være gyldigt skal det være frivilligt, specifikt, informeret og utvetydigt. Kravene følger af artikel 4, nr. 11, og artikel 7 i databeskyttelsesforordningen (GDPR). Et gyldigt samtykke forudsætter en aktiv handling — et afkrydset felt, en knap, en klar bekræftelse — og den registrerede skal til enhver tid kunne trække samtykket tilbage lige så let, som det blev givet. Som dataansvarlig skal du desuden kunne dokumentere, at samtykket er givet. Passivitet, forudafkrydsede felter og “samtykke” som betingelse for en ydelse, der ikke kræver det, er ugyldigt.

Denne guide gennemgår de fire betingelser, hvornår samtykke overhovedet er det rigtige grundlag, hvordan du dokumenterer og trækker samtykke tilbage, og konkrete eksempler på gyldig og ugyldig praksis.

De fire betingelser for gyldigt samtykke

For at et samtykke er gyldigt, skal alle fire betingelser være opfyldt:

  1. Frivilligt. Den registrerede skal have et reelt frit valg. Samtykke er ikke frivilligt, hvis det er en betingelse for en tjeneste, der ikke kræver det (art. 7, stk. 4), eller hvis der er et klart skævt magtforhold — fx mellem arbejdsgiver og ansat, hvor samtykke sjældent kan anses for frit.
  2. Specifikt. Samtykket skal gives til et bestemt formål. Ét bredt samtykke til “markedsføring og andre formål” er ikke specifikt nok. Er der flere formål, skal der som udgangspunkt indhentes særskilt samtykke til hvert.
  3. Informeret. Den registrerede skal på forhånd vide, hvem den dataansvarlige er, hvad formålet er, hvilke oplysninger det drejer sig om, og at samtykket kan trækkes tilbage.
  4. Utvetydigt. Der kræves en aktiv, bekræftende handling. Tavshed, forudafkrydsede felter eller inaktivitet er ikke samtykke.

For følsomme oplysninger (art. 9) og for markedsføring skærpes kravene: samtykket skal her være udtrykkeligt. For børns brug af informationssamfundstjenester gælder desuden en aldersgrænse (art. 8) — i Danmark er den fastsat til 13 år i databeskyttelsesloven (lov nr. 502 af 23. maj 2018).

Er samtykke overhovedet det rigtige grundlag?

En hyppig fejl er at bruge samtykke, hvor et andet grundlag passer bedre. Samtykke er “skrøbeligt”, fordi det kan trækkes tilbage når som helst — og så skal behandlingen ophøre. Overvej derfor altid, om behandlingen i stedet hviler på:

  • kontrakt (art. 6, stk. 1, litra b) — fx levering af en bestilt vare,
  • retlig forpligtelse (litra c) — fx indberetning til myndigheder,
  • legitim interesse (litra f) — fx visse former for svindelforebyggelse.

Bruger du et af disse grundlag, kan du ikke også kalde det “samtykke” — det skaber uklarhed om, hvad den registrerede reelt kan trække tilbage. Vælg ét grundlag pr. formål, og noter det i din fortegnelse over behandlingsaktiviteter.

Dokumentation og tilbagetrækning

Artikel 7, stk. 1, kræver, at du kan påvise, at den registrerede har givet samtykke. I praksis betyder det, at du skal logge: hvem der har samtykket, hvornår, til hvad, og hvilken tekst der blev vist på det tidspunkt. Uden denne dokumentation kan du ikke løfte bevisbyrden ved en klage.

Artikel 7, stk. 3, giver den registrerede ret til at trække samtykket tilbage til enhver tid, og det skal være lige så let som at give det. Er samtykket givet med ét klik, må tilbagetrækning ikke kræve et telefonopkald eller et brev. Tilbagetrækning har virkning fremadrettet og påvirker ikke lovligheden af den behandling, der allerede er sket. Når samtykket trækkes tilbage, kan det udløse en pligt til sletning, hvis der ikke er et andet grundlag.

Eksempler på gyldigt og ugyldigt samtykke

Gyldigt samtykke:

☐ Ja tak, jeg vil gerne modtage [Virksomhed]s nyhedsbrev med tilbud på e-mail. Jeg kan til enhver tid framelde mig via linket i hver e-mail. Se privatlivspolitikken.

Feltet er tomt (aktivt tilvalg), formålet er specifikt (nyhedsbrev fra en navngiven afsender), og tilbagetrækning er nem (frameldingslink).

Ugyldigt samtykke:

☑ Jeg accepterer, at mine oplysninger kan bruges til markedsføring, analyse, deling med partnere og andre formål. (forudafkrydset)

Feltet er forudafkrydset (ingen aktiv handling), formålene er brede og uspecifikke, og der er ingen særskilt tilvalg. Dette er ugyldigt.

For cookies og trackere gælder desuden særlige regler, hvor samtykke som hovedregel skal indhentes, før der sættes ikke-nødvendige cookies. En platform som Legiscope kan hjælpe med at dokumentere samtykker og koble dem til de behandlinger, de vedrører, så du kan bevise gyldigheden.

Samtykke i særlige situationer

Nogle behandlinger stiller skærpede eller særlige krav til samtykket:

Cookies og trackere. For ikke-nødvendige cookies skal samtykke som hovedregel indhentes, inden cookien sættes. Et cookiebanner, der allerede har sat trackere, når det vises — eller hvor “afvis” er sværere at finde end “accepter” — opfylder ikke kravet om et frit og utvetydigt samtykke. Cookiesamtykke bør holdes adskilt fra samtykke til øvrige behandlinger og oplyses i privatlivspolitikken eller en særskilt cookiepolitik.

Børn. Ved informationssamfundstjenester, der tilbydes direkte til børn, kræver artikel 8 samtykke fra indehaveren af forældremyndigheden under en aldersgrænse, som databeskyttelsesloven fastsætter til 13 år i Danmark. Du skal gøre en rimelig indsats for at kontrollere, at samtykket er givet af forældremyndighedsindehaveren.

Følsomme oplysninger. Behandler du følsomme oplysninger (art. 9) på grundlag af samtykke, skal samtykket være udtrykkeligt — dvs. en klar, aktiv bekræftelse specifikt til den følsomme behandling, ikke blot et almindeligt afkrydsningsfelt.

Forskning. Til videnskabelige formål kan et samtykke i visse tilfælde gives til et bredere forskningsområde, hvis anerkendte etiske standarder overholdes. Det er en snæver undtagelse fra kravet om specifikt samtykke.

Dokumentér samtykket, så du kan løfte bevisbyrden

Fordi bevisbyrden ligger hos dig, er dokumentationen ofte det, der afgør en sag. En brugbar samtykkelog registrerer for hvert samtykke: hvem (identifikator), hvornår (tidsstempel), til hvad (formål), hvordan (kanal), og hvilken tekst der blev vist på tidspunktet. Uden den sidste del kan du ikke bevise, at samtykket var informeret. Gemmer du kun et “ja/nej”-flag i databasen, står du svagt, hvis den registrerede bestrider at have samtykket. Knyt samtykkerne til de behandlinger, de vedrører, i din fortegnelse over behandlingsaktiviteter, og sørg for, at en tilbagetrækning registreres og respekteres i alle relevante systemer.

Retsgrundlag og videre læsning

Kravene til samtykke følger af artikel 7 og artikel 4, nr. 11, i databeskyttelsesforordningen, suppleret i dansk ret af databeskyttelsesloven (lov nr. 502 af 23. maj 2018), der blandt andet fastsætter aldersgrænsen på 13 år for børns samtykke til informationssamfundstjenester. Vær opmærksom på, at samtykke ikke er det eneste — og ofte ikke det bedste — behandlingsgrundlag: artikel 6 opregner seks ligeværdige grundlag, og du bør vælge det, der passer bedst til formålet. Bruger du samtykke, skal du kunne dokumentere det, respektere en tilbagetrækning i alle systemer og sikre, at valget er reelt frit. Notér det valgte grundlag for hvert formål i din fortegnelse over behandlingsaktiviteter, så lovligheden altid kan påvises.

Ofte stillede spørgsmål

Kan jeg bruge et forudafkrydset felt til samtykke?

Nej. Et gyldigt samtykke kræver en aktiv, bekræftende handling. Forudafkrydsede felter, tavshed eller inaktivitet udgør ikke samtykke. Feltet skal være tomt, så den registrerede aktivt vælger det til.

Kan en medarbejder give gyldigt samtykke til sin arbejdsgiver?

Sjældent. På grund af det skæve magtforhold mellem arbejdsgiver og ansat kan et samtykke normalt ikke anses for frivilligt. Behandling af medarbejderoplysninger bør derfor som hovedregel bygge på et andet grundlag — fx kontrakt, retlig forpligtelse eller en interesseafvejning — frem for samtykke.

Hvad sker der, når et samtykke trækkes tilbage?

Behandlingen på grundlag af samtykket skal ophøre fremadrettet. Den behandling, der allerede er sket, forbliver lovlig. Er der ikke et andet behandlingsgrundlag, kan tilbagetrækningen udløse en pligt til at slette oplysningerne efter artikel 17.

Konklusion

Gyldigt samtykke skal være frivilligt, specifikt, informeret og utvetydigt — og det skal kunne dokumenteres og trækkes tilbage lige så let, som det blev givet. Overvej altid, om et andet behandlingsgrundlag passer bedre, før du vælger samtykke, og noter grundlaget i din fortegnelse. Undgå de klassiske fejl: forudafkrydsede felter, brede formål og samtykke som betingelse for en ydelse, der ikke kræver det. Byg gerne samtykkeløsningen ind fra start via databeskyttelse gennem design.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →