Personuppgifter får behandlas om den enskilde samtycker till att sådan behandling sker.
För att det ska vara lämpligt att stödja en behandling på samtycke så måste samtycket vara frivilligt. Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Den registrerade får exempelvis inte drabbas av negativa konsekvenser om den inte lämnar sitt samtycke.
För att samtycke ska kunna användas som rättslig grund måste maktförhållandet mellan den personuppgiftsansvarige och den registrerade också vara jämlikt. Tänk på att maktförhållandet ofta är ojämlikt i relationen mellan myndighet och medborgare, och mellan arbetsgivare och arbetstagare. Om det råder ett ojämlikt maktförhållande kan vi inte stödja oss på samtycke.
Integritetsskyddsmyndigheten ger följande exempel på situationer då en myndighet respektive arbetsgivare ändå kan använda sig av samtycke som rättslig grund:
Exempel 1: En kommunal nämnd planerar vägarbeten. Nämnden erbjuder invånarna möjlighet att anmäla sig för att få uppdateringar via e-post. Nämnden är tydlig med att det är frivilligt att anmäla sig och inhämtar samtycke för att använda e-postadresserna för endast detta ändamål. Invånare som inte vill delta har inte gått miste om någon grundläggande service från myndigheten. Informationen finns även publikt på kommunens hemsida.
Exempel 2: En arbetsgivare vill filma på delar av kontoret. Arbetsgivaren frågar alla medarbetare som sitter på den berörda delen av kontoret efter deras samtycke, eftersom de kan synas i bakgrunden på filmen. De som inte vill bli filmade ska inte drabbas av några negativa konsekvenser, utan får istället likvärdiga arbetsplatser någon annanstans i byggnaden under den tid som filminspelningen pågår.
Att tänka på när samtycke används som rättslig grund är att den registrerade alltid har rätt att när som helst återkalla sitt samtycke. All behandling av den registrerades personuppgifter för det syfte som samtycket omfattat måste därmed upphöra. Återkallandet av samtycket påverkar dock inte lagligheten av den behandling av personuppgifterna som skett innan återkallelsen skedde.
På grund av ovanstående är det i många fall inte lämpligt eller kanske inte ens möjligt för oss att stödja oss på den registrerades samtycke som rättslig grund för en behandling. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.
Väljer man ändå att utföra en personuppgiftsbehandling som stödjer sig på samtycke som rättslig grund så ska man komma ihåg att det är personuppgiftsansvarig som ansvarar för att ett giltigt samtycke har inhämtas. Personuppgiftsansvarig behöver också kunna visa både att den registrerade har fått relevant information och att samtycket uppfyller uppställda krav. Följande måste därför alltid dokumenteras:
- Hur samtycket inhämtades.
- När samtycket inhämtades.
- Vilken information den registrerade fått.
Observera att din kommentar blir en allmän handling som kan komma att läsas av andra.