Hantering av samtycke

Dataskyddsförordningen (GDPR) är en EU-förordning och gäller som svensk lag. Förordningen innehåller 99 artiklar och gäller lika över hela EU.

När ni vill behandla personuppgifter i er verksamhet måste ni följa dataskyddsförordningen (GDPR). Ni måste bland annat stödja er på någon av de rättsliga grunderna. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Det här metodstödet syftar till att ge vägledning till arbetet med en av de rättsliga grunderna för personuppgiftsbehandling, samtycke till behandling av personuppgifter.

Personuppgifter är allt som kan identifiera en registrerad. IP-nummer, personnummer, adress, foto, tatueringar, frisyr, biometrisk information med mera.

Denna guide inleds med vad samtycke är för något och ger några exempel på hantering av samtycke. Därefter följer vägledning om hur man arbetar med samtycke. Avslutningsvis finner ni ett antal rättsfall angående samtycke.

Det finns sex rättsliga grunder, varav samtycke är en. Ett samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen. Det är inte som många tror, att personuppgiftsansvariga alltid måste inhämta samtycke för att behandla personuppgifter. Tvärtom är det ofta varken lämpligt eller ens möjligt att stödja sig på den registrerades samtycke då samtycket är en aning knepigt att använda. Överväg därför alltid först om det istället går att stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Om ni stödjer er personuppgiftsbehandling på någon av de andra fem rättsliga grunderna går det att inhämta samtycke också som en så kallad integritetshöjande åtgärd. Samtycket räknas då inte som en rättslig grund.
Personuppgiftsansvariga ansvarar för att bedöma om samtycke är en lämplig rättslig grund. För att samtycke ska vara giltig som rättslig grund måste det vara frivilligt. Den registrerade är den som avgör om personuppgifterna ska få behandlas och ska alltid kunna säga nej.

Den som ska lämna sitt samtycke ska upplysas om att den alltid har rätt att ångra sig. Den registrerade ska enkelt kunna återkalla sitt samtycke. Det är särskilt viktigt när det gäller barn. Är det svårt att återkalla samtycket är samtycket inte giltigt. Om det inte är möjligt för den registrerade att återkalla sitt samtycke, eller drabbas av negativa konsekvenser om samtycket återkallas är samtycket inte giltigt som rättslig grund.

Maktförhållandet måste vara jämlikt för att samtycke ska kunna användas som rättslig grund. Ofta är maktförhållandet ojämlikt i relationen mellan myndighet och medborgare, mellan arbetsgivare och arbetstagare, mellan privatperson och företag. Råder det ett ojämlikt maktförhållande kan inte samtycke användas som rättslig grund.

Så kallad paketering får inte användas. Med paketering menas att kunder som motprestation, för att få tillgång till varor eller tjänster, måste godta villkor om personuppgiftshantering som inte är nödvändiga. Är uppgifterna nödvändiga är sannolikt avtal en mer lämplig rättslig grund. Är inte uppgifterna nödvändiga men samtycke fordras är samtycket inte frivilligt och därmed ogiltigt.

Bedömer ni som personuppgiftsansvariga att vissa personuppgifter är nödvändiga att behandla för att verksamheten eller tjänsten ska fungera bör ni använda avtal som rättslig grund, alternativt annan rättslig grund men inte samtycke. Ingår ni ett avtal med den registrerade får ni behandla de personuppgifter som är nödvändiga för att uppfylla ändamålet med avtalet. Intresseavvägning kan också vara ett alternativ.

För den som lämnar samtycke ska det tydligt framgå att den godkänner att personuppgifterna används. Det ska också framgå hur personuppgifterna ska behandlas. Samtycket kan ges genom ett uttalande eller en entydigt bekräftande handling, till exempel med en kryssruta på en webbplats. Observera att det inte är tillåtet att använda förifyllda kryssrutor.

Uttryckligt samtycke - Vid behandling av känsliga personuppgifter (facklig tillhörighet, sexuell läggning, sjukdomsdiagnoser med mera) ska den registrerade lämna uttryckligt samtycke. Ett dokument om att den personuppgiftsansvarige får rätt att behandla känslig personuppgift ska skrivas under eller godkännas med digital signatur. Det ska oftast förenas med andra rättsliga grunder.

Exempel från Integritetsskyddsmyndigheten (IMY)

Uppdateringar via e-post
En kommunal nämnd planerar vägarbeten. Nämnden erbjuder invånarna möjlighet att anmäla sig för att få uppdateringar via e-post. Nämnden är tydlig med att det är frivilligt att anmäla sig och inhämtar samtycke för att använda e-postadresserna för endast detta ändamål. Invånare som inte vill delta har inte gått miste om någon grundläggande service från myndigheten. Informationen finns även publikt på kommunens hemsida.

App som använder GPS
I en mobilapp för fotoredigering blir användaren ombedd att ge appen tillgång till GPS-lokalisering. Enligt appen kommer de inhämtade personuppgifterna att användas för beteendebaserad marknadsföring. Varken GPS-lokalisering eller beteendebaserad marknadsföring är nödvändiga för appens ändamål, och behövs alltså inte för att leverera den huvudsakliga tjänsten. Eftersom användaren inte kan använda appen utan att samtycka är samtycket inte frivilligt. Därmed är samtycke inte en lämplig rättslig grund.

Dataskyddsförordningen innehåller en så kallad ändamålsbegränsning som en grundläggande princip. Ändamålet, själva syftet varför ni behöver behandla personuppgifter, måste vara tydliggjort för de registrerade och sätter ramarna för vad som får och inte får göras med personuppgifterna. Exempelvis vilka personuppgifter som får behandlas och hur länge de får lagras. När ändamålet är uppfyllt ska samtliga personuppgifter raderas. Undantaget de personuppgifter som enligt rättslig förpliktelse måste lagras. För att ändamålet inte gradvis ska vidgas och för att undvika otydlig gränsdragning mellan olika ändamål så måste ändamålet vara tydligt specificerat.

Den som ska lämna samtycke ska enkelt förstå ändamålet och kunna förstå vilka konsekvenser olika val kan få. Bevisbördan på att ett samtycke har lämnats åligger personuppgiftsansvarig, dvs den som inhämtar samtycket. Se till att dokumentera samtycket, med ändamål angett, så att det kan visas upp för tillsynsmyndighet.

Ett samtycke ska utformas så att den registrerade förstår att den när som helst kan ta tillbaka sitt samtycke. Det kan vara digitalt eller i pappersform. Den registrerade ska också meddelas om att personuppgifterna behandlas under den tid som uppgiften är aktuell. Sen måste uppgiften raderas. Om det t ex är en lista med prenumerationer kan man spara så länge samtycket finns och så länge prenumerationen gäller. Då kan företaget meddela den registrerade en gång om året om att personuppgifterna hanteras på företaget.

Ett samtycke kan exempelvis inhämtas för att den registrerades foto ska få användas på företagets hemsida eller att en registrerad godkänt att förekomma på en sändlista.

Det måsta vara tydligt för den registrerade

• vem som begär samtycket,
• vilken typ av behandling som avses,
• tydliga och avgränsade ändamål,
• vilka personuppgifter som kommer att behandlas och
• hur länge de kommer att lagras.

Den registrerade ska alltså vara införstådd med vad som ska göras med personuppgifterna och som alltid ska Artikel 5 beaktas vid behandling av personuppgifter:

1. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
2. De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Automatiserat beslutsfattande är när ett system i sig fattar beslut automatiskt utifrån dina uppgifter. Det kan vara ett avslag på en kreditansökan via internet som sker automatiskt eller ett avslag i en rekrytering via internet där sökande inte lever upp till kraven. Används ett så kallat automatiserat individuellt beslutsfattande och profilering behöver ni informera de registrerade om det.

Det kan vara tillåtet med automatiserat beslutsfattande när det är nödvändigt för att kunna ingå eller fullgöra ett avtal med den registrerade alternativt när den registrerade har gett ett uttryckligt samtycke.

Utgångspunkten är att personuppgifter inte får föras ut till länder som inte omfattas av ett minst lika starkt skydd som dataskyddsförordningen. Det fordrar att landet är godkänt av EU. En situation där en sådan överföring kan vara tillåten är om den registrerade har gett sitt uttryckliga samtycke efter att ha blivit informerad om riskerna som är förknippade med tredjelandsöverföringen.

Personuppgiftsansvarig ansvarar för att ett giltigt samtycke har inhämtats och behöver kunna visa både att den registrerade har fått relevant information och att arbetssättet uppfyller kraven.

Tänk därför på att dokumentera:

• samtycket
• hur samtycket inhämtades
• när samtycket inhämtades
• vilken information ni gav den registrerade
• vilka personuppgifter som inhämtades
• hur personuppgifterna hanteras

• Samtycke till behandling och lagring av personuppgifter 2025
  Ladda ner

Enligt dataskyddsförordningen ska barn skyddas särskilt. Därför måste information som riktar sig till barn vara skriven på ett sätt som barnet förstår. Personuppgiftsansvariga behöver kunna kontrollera personers ålder. Om personuppgifter till barn under 13 år behandlas ska samtycke inhämtas från den som har föräldraansvar/är vårdnadshavare. De höga kraven som ställs på den som vill ha ett samtycke gäller ännu mer i förhållande till barn. I förarbetena till dataskyddslagstiftningen framförs att barns rätt till självbestämmande, yttrandefrihet och informationsfrihet väger tungt.

När det gäller rådgivande tjänster till barn krävs inte samtycke från vårdnadshavare. Det är för att barn ska kunna söka råd eller stöd hos exempelvis Bris, utan att föräldrarna känner till det.

Det är tillåtet att erbjuda kommersiella internettjänster, så kallade informationssamhällets tjänster, direkt till barn som har fyllt 13 år och bor i Sverige. Då får personuppgifter behandlas med stöd av barnets eget samtycke. Det rör sig om sociala medier, bloggar, internetforum, webbplatser för videoklipp, chatprogram, sociala nätverk, onlinespel, appar med spel eller annat innehåll. Är barnet yngre än 13 år måste vårdnadshavarnas samtycke inhämtas. Barn under 13 år kan alltså inte själva samtycka till att deras personuppgifter samlas in och behandlas.

Personuppgiftsansvarig ska så långt som möjligt kontrollera att samtycket verkligen har lämnats av rätt person.

13 år kan tyckas som en låg ålder. Tidigare gällde Datainspektionens tumregel att barn under 15 år generellt inte har tillräcklig mognad för att ge ett giltigt samtycke. Informationen måste bedömas från fall till fall med utgångspunkt i den enskilda individens mognad och förmåga. När barnet eller ungdomen inte själv kan tillgodogöra sig informationen så kan inte heller ett rättsligt giltigt samtycke lämnas. Då ska samtycket inhämtas från vårdnadshavare.

När personuppgifter behandlas med stöd av samtycke eller avtal har den registrerade rätt att få ut sina personuppgifter och att få dem överförda till annan personuppgiftsansvarig. Det vill säga rätten till dataportabilitet.

Samtycke är en rättslig grund som innebär att personer verkligen frivilligt väljer och har kontroll över hur deras personuppgifter får användas. Ett äkta samtycke ger individer kontroll och bidrar till en förtroendefull relation som bygger på integritet. Kontrollera kontinuerligt era rutiner för hantering av samtycke och se till att de uppfyller kraven i dataskyddsförordningen. Nedan följer en checklista från Integritetsskyddsmyndigheten.

Använd rätt rättslig grund

Den rättsliga grunden samtycke kan exempelvis användas av företag som samlar in adresser för att skicka ut nyhetsbrev. Samtycke är dock ofta en olämplig rättslig grund för myndigheter, eftersom samtycket måste vara frivilligt och jämlikt.

Den registrerade ska lämna sitt samtycke frivilligt

Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Samtycket blir därför ogiltigt om någon har utsatts för påverkan. Den registrerade får inte heller drabbas av negativa konsekvenser om hen inte ger sitt samtycke.

Jämlika maktförhållanden

För att ni ska kunna använda samtycke måste maktförhållandet vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, mellan arbetsgivare och arbetstagare och i andra situationer.

Onlinetjänster direkt till barn

Sök endast samtycke om ni kan verifiera åldern på barnen. Gäller det yngre barn krävs det dessutom metoder för att inhämta målsmans samtycke.

Nedan följer ännu en checklista från Integritetsskyddsmyndigheten. Den ger vägledning till inhämtande av samtycke.

Tänk på detta innan du börjar

• Kontrollera att samtycke är den mest lämpliga rättsliga grunden för behandling av personuppgifter
• Säkerställ att begäran om samtycke framgår tydligt och är åtskilda från övriga villkor
• Undvik att göra samtycke till en förutsättning för en tjänst

Informera mottagaren

• Namn på er organisation
• Namn på ert dataskyddsombud, om ni har ett
• Gör det lätt att dra tillbaka sitt samtycke och berätta hur det går till
• Klargör att man kan vägra att samtycka utan att drabbas av negativa konsekvenser

Kommunicera tydligt

• Använd inte förvalt samtycke, exempelvis genom förmarkerade rutor – samtycke ska vara ett aktivt val
• Använd tydligt och enkelt språk som är lätt att förstå
• Förklara varför ni vill ha uppgifterna och vad ni ska göra med dem
• Var specifik och ge tydliga alternativ för olika ändamål, så att ni får separata medgivanden för separata personuppgiftsbehandlingar. Vagt eller allmänt samtycke är inte tillräckligt

Ordning och reda i rutinerna

• Dokumentera era bevis för samtycket: vem, när, hur och vilken information som gavs
• Granska kontinuerligt er metod för att inhämta samtycke och uppdatera om något ändras
• Håll era samtyckesförfrågningar separerade från era övriga villkor

Norge: Smartere Utdanning uppmanas ändra lösning för inhämtande av samtycke

Publicerad: 2021-06-04
Den norska dataskyddsmyndigheten Datatilsynet har uppmanat Smartere Utdanning AS att förbättra den lösning de har för att hämta in ett samtycke, så att det uppfyller kraven i data-skyddsförordningen (“GDPR”).

Bakgrunden till ärendet är ett klagomål från en individ, som reagerat på att hon fått reklam från Smartere Utdanning på Facebook och e-post. Den klagande, som tidigare köpt en kurs från företaget, ansåg att reklamen skickades utan att hon lämnat sitt samtycke till detta. Marknadsföringen fortsatte trots att klaganden upprepade gånger bett Smartere Utdanning att radera hennes personuppgifter.

Smartere Utdanning har anfört att alla som köpt företagets tjänster automatiskt samtyckt till marknadsföring på Facebook och via e-post. Enligt Smartere Utdanning har klaganden därför samtyckt till marknadsföringen i samband med att hon köpte en kurs, något som angetts i företagets integritetspolicy.

Enligt Datatilsynet marknadsför Smartere Utdanning sig på e-post och på Facebook via så kallade “målgrupper” (Facebook Custom Audiences). Genom att ladda upp kundlistor till Facebook kan den sociala plattformen matcha listorna mot befintliga Facebook-profiler och rikta annonser direkt till dem.

Enligt Datatilsynet bryter det mot gällande lagstiftning att hämta in ett samtycke på detta sätt då GDPR kräver att ett samtycke är frivilligt och specifikt till behandling av personuppgifter (jfr artikel 4.11 GDPR). En registrerad måste således kunna välja om marknadsföring godkänns eller inte när denne köper en tjänst. Enligt Datatilsynt bör till exempel en registrerad ha möjlighet att samtycka till en typ av marknadsföring via e-post, utan att samtidigt behöva samtycka till marknadsföring på Facebook.

På grundval av detta har Datatilsynet beordrat Smartere Utdanning att ändra hur de hämtar in ett samtycke, så att detta görs i enlighet med kraven i GDPR. Företaget uppmanas också att radera samtliga personuppgifter om den klagande.

Norge: Tracking och profilering av webbplatsanvändare kräver ett samtycke

Publicerad: 2021-05-06
Den norska dataskyddsmyndigheten Datatilsynet har nyligen meddelat företaget Disqus om sanktionsavgifter på 25 miljoner kronor för brott mot principen om ansvarsskyldighet, kravet på en rättslig grund och brist på information till de registrerade enligt dataskyddsförordningen (GDPR”).

Tracking och profilering av webbanvändare (som ofta kallas för ”webbanalys”) är omdiskuterat även i Sverige. Det förekommer regelbundet att webbplatsinnehavare hävdar att sådana metoder kan användas utan att ett samtycke hämtas in från webbplatsanvändarna och att webbplatsanvändarna inte behöver informeras om att sådana metoder används. Det är inte heller ovanligt att webbplatsinnehavare påstår att det inte krävs ett samtycke för att dela personuppgifter som samlas in eller skapas i samband med tracking och profilering med tredje parter.

Datatilsynets beslut understryker åter en gång att tracking och profilering av webbplatsanvändare kräver ett samtycke enligt GDPR. Detsamma gäller för delning av webbplatsanvändares personuppgifter med tredje parter. Utrymmet att stödja användningen av dessa metoder på en intresseavvägning är ytterst begränsat. Vidare krävs att webbplatsanvändarna informeras om att de trackas och profileras. För att undvika sanktionsavgifter bör webbplatsinnehavare därför se över vilka insticksprogram som används på deras webbplatser och vidta lämpliga åtgärder för regelefterlevnad.

Spanien: HazteOir.Org bötfälls med 5 000 euro för behandling av personuppgifter utan samtycke

Publicerad: 2021-04-28
Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt HazteOir.Org med 5 000 euro för brott mot artikel 6.1 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att HazteOir.Org publicerat en broschyr om sexundervisning i skolor som olagligt innehöll bilder och namn på tre registrerade som inte hade gett sitt samtycke. Haz-teOir.Org har därigenom överträtt artikel 6.1 GDPR genom att behandla de registrerades personuppgifter utan rättslig grund.

Det utdömda bötesbeloppet på 5 000 euro sänktes till 4 000 euro då HazteOir.Org erkänt sitt misstag och omgående betalat avgiften.

Belgien: 10 000 euro i böter för brott mot samtyckeskraven i GDPR

Publicerad: 2021-04-27
Den belgiska dataskyddsmyndigheten, Gegevensbeschermingsautoriteit (“GBA”), har bötfällt en icke namngiven svarande med 10 000 euro för brott mot artiklarna 6.1, 21.1 (j) och 12.3 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att en registrerad inkommit med ett klagomål om att den icke namngivne svarande publicerat den registrerades för- och efternamn på svarandes Facebook Fan Page utan ett samtycke. Efter att GBA utrett ärendet fann myndigheten att svaranden brutit mot artikel 6.1 GDPR då man behandlat den registrerades personuppgifter utan rättslig grund. Vidare ansåg GBA att svaranden, genom att inte agera på den registrerades rätt att invända eller vidta tillräckliga åtgärder för att säkerställa kommunikationen med den registrerade efter utövandet av dennes rättigheter, även brutit mot artiklarna 21.1 (j) och 12.3 GDPR. Mot bakgrund av detta beslutade GBA att svarande skulle betala 10 000 euro i sanktionsavgifter.

Norge: Dejtingappen Grindr meddelas om 100 miljoner norska kronor i böter för brott mot samtyckeskraven i GDPR

Publicerad: 2021-01-26
Den norska dataskyddsmyndigheten Datatilsynet har meddelat dejtingappen Grindr om sanktionsavgifter på 100 miljoner kronor för brott mot samtyckeskraven i dataskyddsförordningen (“GDPR”) genom att Grindr lämnat ut personuppgifter om sina användare till ett antal tredje parter utan rättslig grund.

Grindr är en platsbaserad dejtingapp för homosexuella och bisexuella män, transpersoner och queerfolk. År 2020 klagade konsumentrådet till norska dataskyddsmyndigheten eftersom Grindr delade information om GPS-positionering, information från användarprofilerna och om en person är en Grindr-användare eller inte till flera tredje parter i marknadsföringssyfte. De tredje parterna har därefter haft möjlighet att dela dessa uppgifter vidare.

Datatilsynets preliminära slutsats är att Grindr behöver ett samtycke för att dela dessa personuppgifter och att de samtycken som Grindr hämtat in inte var giltiga. Dessutom anser Datatilsynet att informationen om någon är en Grindr-användare eller inte är en känslig personuppgift eftersom det säger något om personens sexuella läggning.

Enligt Datatilsynet fick användarna inte utöva verklig kontroll över utlämnandet av sina egna personuppgifter. Affärsmodeller som tvingar användaren att samtycka till något, och utan att noggrant förklara vad de går med på, anser Datatilsynet inte ligga i linje med lagen.

Vidare utgår Datatilsynet från att spårning på webbplatser, tjänster eller enheter för marknadsföringsändamål normalt kräver ett samtycke. Detsamma gäller om kommersiella appar ska dela information om användarnas sexuella läggning.

Avseende Grindr var användarna tvungna att acceptera sekretesspolicyn fullt ut för att använda appen, och de tillfrågades inte specifikt om de samtyckte till utlämnande av personuppgifter till tredje part. Dessutom var informationen om utlämnande av personuppgifter inte tillräckligt tydlig eller tillgänglig för användarna, något som strider mot kraven på samtycke i GDPR.

Enligt Datatilsynet upplever många människor Grindr som en säker miljö för dating, och myndigheten vet att användarna väljer att inte ange sitt riktiga namn eller ladda upp foton så att de kan vara diskreta. Trots det har Grindr vidarebefordrat identifierbar information till ett okänt antal företag enligt Datatilsynet.

Sanktionsavgifter ska enligt Datatilsynet vara effektiva, stå i ett rimligt förhållande till överträdelsen och verka avskräckande. I det här fallet meddelas höga böter eftersom Datatilsy-nets preliminära slutsats är att kränkningarna är mycket allvarliga. Grindr har 13,7 miljoner aktiva användare, varav tusentals i Norge. Dessa personer har fått sina personuppgifter delade med många tredje parter utan stöd i lag. En del av syftet med GDPR är också att konsumenter inte ska mötas av följande alternativ: Samtyck till våra villkor i sin helhet, eller använd inte vår tjänst. Datatilsynet anser att det är viktigt att sådan praxis upphör.

Datatilsynet har antagit att Grindr har en årlig omsättning på minst US $ 100 miljoner. Detta innebär att myndigheten meddelar sanktionsavgifter på cirka 10 % av företagets omsättning.

Datatilsynet har koncentrerat sig på perioden från att GDPR började gälla fram till april 2020, då Grindr ändrade hur företaget hämtade in ett samtycke. Datatilsynet har inte tagit hänsyn till Grindrs nya samtyckeslösning. Datatilsynet har gett Grindr till den 15 februari 2021 att inkomma med eventuella synpunkter. Ett slutgiltigt beslut fattas efter att Datatilsynet har övervägt eventuella synpunkter från Grindr. Datatilsynets meddelande gäller endast den kostnadsfria versionen av appen.

Spanien: CaixaBank bötfälls med 6 miljoner euro för olagliga samtycken

Publicerad: 2021-01-14
Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt CaixaBank S.A. med 6 miljoner euro för brott mot artiklarna 6, 13 och 14 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att CaixaBank ombett sina kunder att samtycka till en ny integritetspolicy som gjort det möjligt för banken att överföra kundernas personuppgifter till alla bolag inom CaixaBank-koncernen. De kunder som inte ville samtycka till den nya personuppgiftsbehandlingen skulle enligt CaixaBank skicka ett meddelande till varje enskilt bolag i företagsgruppen.

Enligt AEPD har CaixaBank, genom sitt handlande, brutit mot sina informationsskyldigheter enligt artiklarna 13 och 14 i GDPR då informationen som tillhandahölls kunderna enligt integritetspolicyn inte var konsekvent, innehöll ett oklart språk och inte gav tillräcklig information om vilken typ av personuppgifter som skulle behandlas. Vidare ansåg AEPD att informationen om de registrerades rättigheter och CaixaBanks kontaktinformation inte tillhandahölls på ett konsekvent sätt.

Av beslutet framgår även att AEPD konstaterat att CaixaBank behandlat sina kunders personuppgifter i strid med kundernas berättigade intressen, och att det samtycke som CaixaBank fått från sina kunder inte uppfyllde kraven på ett giltigt samtycke enligt GDPR. Vidare ansåg AEPD att brister i CaixaBanks rutiner gjort det möjligt för banken att inhämta samtycken från kunderna. Med dessa samtycken överförde CaixaBank personuppgifterna till de andra bolagen i CaixaBank-koncernen, vilket utgör ett brott mot artikel 6 i GDPR.

Spanien: 1 500 euro i böter för att skicka e-post utan ett samtycke

Publicerad: 2020-09-14
Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt det politiska partiet VOX España med 1 500 euro för brott mot artikel 6.1 (a) i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att VOX España fortsatt att skicka e-postmeddelanden till den registrerade mot dennes vilja. Den registrerade hade tidigare begärt att VOX España inte skulle skicka ytterligare meddelanden, vilket bekräftades genom ett e-postmeddelande som partiet skickat till den registrerade. Enligt AEPD finns det därmed bevis för att VOX España brutit mot artikel 6.1 (a) GDPR eftersom de fortsatt att behandla den registrerades uppgifter utan dennes samtycke.

EU: EU-domstolen beslutar att användningen av cookies kräver ett aktivt samtycke

Publicerad: 2019-10-02
EU-domstolen har i mål C-673/17 (Planet 49-målet) slagit fast att användning av cookies kräver ett aktivt samtycke från webbplatsbesökare. En på förhand ikryssad ruta är alltså inte tillräckligt. EU-domstolens beslut innebär att de flesta webbplatserna i Sverige måste se över hur de hämtar in webbplatsbesökares samtycke för cookies som används för analysverktyg, marknadsföring, reklamnätverk och andra ändamål.

Vad handlar domen om?
Den tyska sammanslutningen av konsumentskyddsorganisationer har invänt mot att det tyska bolaget Planet49 GmbH använder en på förhand ikryssad ruta genom vilken webbplatsbesökare som vill delta i en reklamtävling online ger sitt samtycke till lagringen av cookies. Dessa cookies syftar till att samla in information för reklamändamål för produkter som företagets samarbetspartners erbjuder.

Vad säger domstolen?
Domstolen slår nu fast att en på förhand ikryssad ruta som webbplatsbesökaren måste avmarkera för att inte lämna samtycke inte utgör ett giltigt samtycke till webbplatsens användning av cookies. En på förhand ikryssad ruta räcker alltså inte. Detta gäller oavsett om den information som hanteras av en cookie utgör personuppgifter eller inte.

Domstolen betonar att samtycket måste vara särskilt. Att en webbplatsbesökare trycker på en knapp för att delta i reklamtävlingen innebär inte att denna har lämnat ett giltigt samtycke till lagring av cookies.

Domstolen slår också fast att den information som tjänsteleverantören ska lämna till webbplatsbesökaren omfattar en cookies funktionstid, samt möjligheten för tredje part att få till-gång eller inte till dessa cookies.

Vad innebär domen för din verksamhet?
De flesta webbplatser använder i dagsläget analysverktyg som Google Analytics, Adobe Analytics, Matomo eller liknande. Enligt domstolens förtydligande kräver användning av sådana verktyg ett aktivt samtycke från besökaren på webbplatsen. Detta gäller även när analysverktyg endast använder sig av pseudonmyiserad eller avidentifierade data eftersom kraven även gäller när cookies inte hanterar personuppgifter.

Men samtyckeskraven gäller inte bara för cookies som användas för analysverktyg. De gäller för alla cookies som inte är nödvändiga för att tillhandahålla den tjänsten som webbplatsbesökaren efterfrågar.

Organisationer bör omgående kartlägga sin användning av cookies i alla digitala kanaler och anpassa sin samtyckeshantering.

Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.

d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7 Villkor för samtycke

1. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8 Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

2. Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3. Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.