När kan du använda dig av samtycke enligt GDPR, och vad behöver du då göra? Här reder vi ut förvirringen.
Sammanfattning för dig som har bråttom
Samtycke använder du när du vill lagra och behandla personuppgifter som du inte har någon laglig grund för. Samtycke ska ges frivilligt och aktivt. Det innebär i praktiken oftast att man har en egen kryssruta där användaren får markera att den ger sitt samtycke.
Det krävs ett separat samtycke för varje sorts behandling av personuppgifterna. Ska du använda personuppgifterna till flera saker måste du få samtycke för varje område. Du får inte ha lösningar så att man samtycker genom att skicka in formuläret eller använda tjänsten.
Informera klart och tydligt i samband med samtycket om vad och hur du ska använda uppgifterna med. Fullständig information ska finnas vid samtycket, du får inte länka till en fullständig text.
Undvik att samla in känsliga uppgifter eller uppgifter om barn.
Det ska vara lika lätt för användaren att dra tillbaka sitt samtycke som det var att ge det. Ett klick för att ge samtycke betyder ett klick för att dra tillbaka det. Man ska kunna ta tillbaka samtycket på samma plats som man gav det. Gav besökaren det i en app eller på en webbplats ska hen kunna dra tillbaka det där. Hen ska inte behöva ringa eller mejla.
Om någon drar tillbaka sitt samtycke ska du upphöra med behandlingen (till exempel skicka ut nyhetsbrev) och radera den från ditt register. Om du har laglig grund att ha kvar uppgifterna ska du informera om att du kommer behålla uppgifterna och varför.
Du ska kunna bevisa att du fått samtycke, när du fick det och vad de samtyckte till. Ha ett register med uppgifterna så att du lätt både kan bevisa samtycke och veta var du ska radera uppgifter om du får en begäran om det.
Samtycke – när du inte har någon annan laglig grund
Samtycke är en av de lagliga grunderna till att lagra personuppgifter enligt GDPR. Samtycke använder du när du inte kan använda dig av de andra skälen, till exempel att uppfylla avtal eller följa andra lagar. Det handlar till exempel om att du vill registrera mer än du måste när någon tecknar avtal med dig, eller behålla mer information än du måste om tidigare kunder. Andra skäl kan vara att du vill använda omdömen eller bilder på tidigare kunder eller deltagare.
Exempel på när du behöver be om samtycke
- När du vill använda bilder där man kan identifiera personen på bilden (om det inte är bilder med avtal).
- Om du vill spara platsangivelser från användare för att kunna anpassa innehåll eller marknadsföring
- Om vårdgivare vill skicka en patientjournal till en annan vårdgivare
- Befintliga e-postlistor för nyhetsbrev och liknande där du har samlat in adresserna utan samtycke
- När du vill spara uppgifter om webbplatsbesökare för att kunna personalisera innehållet
- När du vill spara uppgifter om tidigare köp för att kunna erbjuda riktade rabatter.
- När du ber om fler uppgifter än direkt nödvändigt som du kommer använda i andra syften.Till exempel ber om e-postadress vid kurser eller köp för att kunna skicka ut nyhetsbrev efteråt
- När du vill spara kunders omdömen och recensioner
- Kontaktuppgifter och foto på medarbetare på webben
Om du kan motivera att det är viktigt att publicera kontaktuppgifterna, till exempel för att den anställda är ansvarig kontaktperson i en fråga, kan det vara okej att publicera uppgifterna utan den anställdas medgivande. Men glöm inte att informera dina anställda om att deras bilder och andra personuppgifter kommer att publiceras på er webbplats.
Om du är en av alla som sitter med e-postlistor där du samlat in adresser utan samtycke är det dags för en vårstädning nu i dina e-postlistor. Skicka ut ett mejl och be alla förnya sin prenumeration om de fortfarande vill höra ifrån dig. Det kan svida att se listan decimeras, men en stor lista där folk inte läser gör ändå ingen nytta.
Exempel på när du inte behöver be om samtycke
- När du lagrar uppgifter om juridiska personer, till exempel företag som kunder eller leverantörer
- När du lagrar namn och adress på fakturareferensen i enlighet med bokföringslagen
- När du ber om namn och adress för att kunna skicka en beställning (förutsatt att du inte lagrar uppgifterna efter att beställningen är skickad)
- När du ber om kredituppgifter för att kunna genomföra ett köp (förutsatt att du inte lagrar uppgifterna efter att köpet är genomfört)
- När du använder cookies för att spåra besökares beteende på din webbplats – förutsatt att du inte lagrar IP-adress.
Det finns ingen tidsgräns på hur länge samtycket varar, om du inte uppgett en tidsgräns i samband med samtycket. Men rekommendationerna är att då och då förnya samtyckena, för att vara på säkra sidan. Någon kan ha lämnat sitt samtycke, men glömt att de gett det och ändrat uppfattning.
Samla inte in känsliga uppgifter
Vissa uppgifter bör du inte samla in, även om du får samtycke. Undvik känsliga uppgifter som religion, hälsa (om du inte är vårdgivare), religiös tillhörighet eller politiska uppgifter.
Personuppgifter om barn
Barn är inte lika medvetna om konsekvenser som vuxna, och har därför en särskild plats i lagstiftningen. Undvik i största möjliga mån att behandla uppgifter om barn. Du behöver vårdnadshavares samtycke för att behandla personuppgifter om barn. EU-direktivet anser att man är barn upp till 16 år, men ger medlemsländerna möjlighet att sänka till 13 år. Den svenska lagremissen föreslår 13 år som åldersgräns. Använd försiktighetsprincipen tills beslut kommer.
Även om barnet kan ge samtycke på egen hand bör du försäkra dig om att du har uttryckt dig så pass tydligt att barnet är införstått med vad det är den samtycker till.
Hur du behöver göra för att få in vårdnadshavares samtycke beror på situationen, och hur viktigt det är att du är säker på att det är vårdnadshavaren som ger sitt samtycke. Är det känslig information som kommer behandlas, till exempel medicinsk information, rekommenderas bank-ID eller liknande lösningar. Är det mindre känslig data kan det räcka med ett bekräftelsemejl från föräldrarna.
Tänk på maktbalansen
Användaren ska känna att den har ett fritt val och inte att den tvingas till att samtycka. Om man vet att man sitter i en maktposition bör man vara extra försiktig. Kommuner och myndigheter bör i så stor utsträckning som möjligt använda sig av något annat rättsligt skäl (till exempel myndighetsutövning) när de ber om uppgifter de behöver. Viktig information eller viktiga funktioner ska man kunna få utan samtycke.
Ett exempel: kommunen kommer göra ett större vägprojekt och trafiken kommer påverkas. Invånarna har möjlighet att lämna sin adress och sin e-postadress för att få nyhetsbrev om hur just de påverkas. Om de inte vill lämna sina uppgifter ska de ändå kunna få tillgång till informationen, till exempel på webbplatsen.
Samma försiktighet gäller för arbetsgivare. Samtycke får inte vara en grund för anställning eller liknande. Det kan vara lockande att i samband med anställning låta den nyanställde skriva på ett samtycke för att den kommer figurera med namn, bild och kontaktuppgifter på hemsidan. Men risken är att den blivande anställda då känner sig tvingad. I stället ska man ge möjligheten att välja i en neutral situation, där den anställde känner att det inte är risk för konsekvenser.
Ett annat exempel är om man vill filma eller fota en verksamhet, sin egen eller andras. Ingen ska känna sig tvingad att ställa upp. De som inte vill figurera i bakgrunden ska ha möjlighet att sköta sina uppgifter någon annanstans medan tagningen pågår.
Samtycket ska vara ett aktivt val
För att samtycket ska räknas som ett samtycke måste det vara tydligt för personen vad den ger samtycke till, och den ska också kunna låta bli att samtycke. Skriv därför ut det besökaren behöver veta i direkt anslutning till där den ger sitt samtycke.
Låt sedan besökaren aktivt välja om den vill samtycka eller ej. Texter i stil med ”genom att använda webbplatsen/skicka in formuläret godkänner du att vi använder dina personuppgifter” anses inte vara förenliga med GDPR. Det är heller inte okej att göra som de flesta gör idag: härmed godkänner jag att mina uppgifter behandlas i enlighet med PuL – länk till PuL eller bilaga med Pul. Vi vet ju alla att ingen någonsin klickar på den där länken för att läsa mer, och GDPR är till för att skydda individens rätt till sina personuppgifter.
Exempel på aktiva handlingar är underskrift, kryssrutor eller att få en fråga via mejl och skicka in en bekräftelse. Tänk på att underskriften inte ska behövas för att skriva under annat samtidigt och att kryssrutan inte får vara förifylld. I så fall räknas det inte som ett frivilligt och aktivt val.
Ser du framför dig hur alla dina formulär nu blir två decimeter längre med all lagtext och hur din webbdesign sakta faller i bitar? Lugn, lagstiftarna har tänkt på detta. Lagen godkänner att du ger informationen anpassad för små skärmar och design genom att till exempel ha fäll ut-fäll in eller ett modalt fönster (även kallad pop up eller lay over)
Flera användningsområden – flera samtycken
Om personuppgifterna ska användas till flera ändamål ska besökaren själv kunna välja vilka ändamål den vill ge samtycke till. Det innebär att om du kommer använda personuppgifterna till flera saker måste du be om flera samtycken. Om du till exempel vill använda en e-postadress både till att skicka ut nyhetsbrev och dela den med andra inom organisationen för att de ska kunna skicka ut nyhetsbrev inom sina områden, ska du ha ett samtycke för varje område.
Om du har samlat in uppgifter för ett användningsområde, och sen kommer på att du vill använda uppgifterna till något annat också, måste du be om ett nytt samtycke.
Du måste kunna bevisa att du fått samtycke
När du har fått samtycke måste du kunna bevisa att du har fått det. Du måste spara när du fick samtycket, var och hur. Om du har fått in samtycket via ett formulär måste du kunna visa vilken samtyckestext som fanns i formuläret vid den tidpunkt då du fick samtycket. Om du ändrar texten i formuläret måste du spara den tidigare versionen och på något sätt göra tydligt vilka samtycken som gavs till den gamla texten och vilka som gavs till den nya.
Möjlighet att dra tillbaka sitt samtycke
Har man givit sitt samtycke ska man kunna ta tillbaka det utan att det får några negativa konsekvenser. Om du drar tillbaka ditt samtycke för nyhetsbrev ska nyhetsbreven upphöra, men du ska fortfarande kunna handla hos företaget eller använda deras webbplats. Om du som anställd har samtyckt till att du figurerar på webbplatsen, men ångrar dig, ska du kunna be arbetsgivaren ta bort dina uppgifter utan att känna någon press på att du borde låta uppgifterna ligga vara kvar.
Enligt lagen ska besökaren kunna ta tillbaka sitt samtycke lika lätt som den gav det. Det innebär att om det bara behövdes ett knapptyck för att ge samtycke ska man bara behöva ett knapptryck för att dra tillbaka sitt samtycke. Det ska inte behövas ett telefonsamtal eller ett mejl.
Man ska kunna ta tillbaka sitt samtycke på samma plats som man ger det. Det innebär att om jag ger ett samtycke i en app så ska jag kunna dra tillbaka det direkt i appen. Om jag har gett det på en webbplats ska jag kunna dra tillbaka det på samma webbplats.
Vad gör jag om någon tar tillbaka sitt samtycke?
Om någon tar tillbaka sitt samtycke ska du upphöra med den behandling som de samtyckt till. Det innebär att om någon samtyckt till att få nyhetsbrev ska du avsluta prenumerationen och ta bort den från e-postlistan. Om någon samtyckt till att finnas med på bild ska du ta bort bilden.
Om du inte behöver uppgifterna i något annat sammanhang (som du har laglig rätt till) ska du också radera uppgifterna. Så om bilden bara användes på webbplatsen och personen inte längre vill finnas på webbplatsen ska du radera bilden. Om du bara använder e-postadressen till marknadsföring och personen inte längre vill ha reklam ska du radera e-postadressen.
Om du väljer att behålla uppgifterna för att använda dem i annat syfte, som du har laglig grund till, måste du informera personen om detta.
Detta innebär att du måste ha koll på vem som figurerar var. Du behöver ett register där du kan söka fram personer, vilka personuppgifter du har om dem och var du har dem. På så sätt kan du enkelt se var du behöver radera uppgifter när någon hör av sig.
Vi rekommenderar att ni stämmer av med er egen jurist innan ni genomför förändringar.
Mer information om GDPR hittar du på IMY, Integritetsskyddsmyndighetens webbplats