Gå direkt till innehållet
Europeiska kommissionens logotyp
sv
Europeiska kommissionen

När är ett samtycke giltigt?

Svar

När samtycke krävs för att behandla personuppgifter måste följande villkor vara uppfyllda för att detta samtycke ska vara giltigt:

  • det måste vara frivilligt lämnat,
  • det måste vara informerat,
  • det måste lämnas för ett specifikt ändamål,
  • alla orsakerna till behandlingen måste vara tydligt angivna,
  • det är uttryckligt och lämnat genom en positiv handling (t.ex. en ruta i ett elektroniskt formulär som den enskilda personen uttryckligen måste kryssa i eller en signatur i ett formulär),
  • det är avfattat på ett klart och tydligt språk och är syns tydligt,
  • det är möjligt att ta tillbaka samtycket och denna möjlighet förklaras (t.ex. en länk för att sluta prenumerera i slutet av ett elektroniskt nyhetsbrev).

För att ett samtycke ska vara frivilligt måste den enskilda personen ha ett fritt val och måste kunna vägra ge samtycke eller ta tillbaka samtycket utan att bli missgynnad. Samtycke lämnas inte frivilligt om det till exempel finns en tydlig obalans mellan den enskilda personen och företaget/organisationen (såsom i förhållandet mellan en arbetsgivare och en anställd) eller när ett företag/en organisation uppställer som ett villkor för att fullgöra ett avtal eller utföra en tjänst att enskilda personer samtycker till behandling av onödiga personuppgifter.

För att ett samtycke ska vara informerat måste den enskilda personen minst få följande information:

  • identiteten på, den organisation som behandlar uppgifterna,
  • de ändamål som uppgifterna behandlas för
  • den typ av uppgifter som kommer att behandlas,
  • möjligheten att ta tillbaka det lämnade samtycket (t.ex. en länk som kan användas för att sluta prenumerera i slutet av ett e-postmeddelande),
  • när det är tillämpligt, det faktum att uppgifterna enbart kommer att användas för automatiserat beslutsfattande, däribland profilering,
  • om samtycket rör en internationell överföring, den eventuella risken för att uppgifter överförs till tredjeländer som inte omfattas av ett kommissionsbeslut om adekvat skyddsnivå och där lämpliga skyddsmekanismer saknas.

Kom ihåg: när någon samtycker till behandling av sina personuppgifter, får ni bara behandla uppgifterna för de ändamål som samtycket lämnades för.

Exempel

Fritt samtycke

Ert företag, vilket bedriver flygverksamhet, har ett integritetsmeddelande där det står att kundernas personuppgifter kan behandlas för en tävling som företaget ordnar, med en gratis flygresa som pris. De kunder som kryssade i rutan och gick med på att delta i tävlingen har tydligt signalerat att de önskar att få sina personuppgifter behandlade för tävlingsändamålet. Det finns samtycke till att behandla uppgifter för tävlingsändamålet, men inte för andra ändamål.

Ej fritt samtycke

Ert företag/er organisation erbjuder filmtjänster online. När ni samlar in de uppgifter som behövs för detta avtal ber ni också om ytterligare uppgifter, såsom en persons sexuella läggning eller politiska uppfattning. Den personen kan tro att samtycke till behandling av denna typ av uppgifter är nödvändigt för att få tillgång till de filmer som han eller hon vill ha. I detta fall är samtycket inte fritt utan det är fråga om ett ”bundet samtycke”.

Referenser

Examples

Free consent

You're an airline company and your Privacy Notice indicates that the personal data of customers can be processed for a competition organised by your company offering a free flight as a prize. The customers who ticked the box in agreeing to participate in the competition have clearly signalled their wish to have their personal data processed for the purpose of the competition. There is consent to process data for the purpose of the competition but not for other purposes.

Consent not free

Your company/organisation offers online movie services. When collecting the data needed for this contract you also ask for additional data, such as the sexual orientation or the political beliefs of a person. That person may believe that their consent for the processing of this type of data is necessary to access to the movies they request. The consent in this case isn’t free consent, it is a ‘tied consent’.