Den registrerade ska ge er ett informerat samtycke. Det betyder att den enskilde först ska få information som är tillräckligt tydlig för att denne ska förstå vad er behandling innebär för just honom eller henne.
Situationer där samtycke behövs
Det är svårt att generellt ange i vilka situationer det behövs ett samtycke och även i vilka situationer det absolut krävs ett samtycke. Anledningen är att sådan personuppgiftsbehandling som visserligen skulle kunna vara laglig efter ett samtycke ofta också kan vara laglig på någon annan grund eller för att den omfattas av någon av de undantag till förbud mot behandling som finns. Exempelvis kan behandling av känsliga personuppgifter vara laglig efter samtycke, men behandling av känsliga personuppgifter kan också vara laglig för att den omfattas av ett av alla de undantag det finns till förbudet mot behandling av känsliga personuppgifter. Behandlingen av känsliga personuppgifter inom exempelvis skolan eller ett religiöst samfund kan vara laglig eftersom den omfattas av olika regler som gör den laglig. Sådana regler finns förutom i GDPR även i bland annat Dataskyddslagen vilket är en till GDPR kompletterande lagstiftning. Det finns och kommer finnas en rad andra lagar som berör personuppgiftsbehandling inom särskilda sektorer, exempelvis inom skola eller social omsorg.
Olika sätt att ge samtycke
Ett samtycke kan ges både muntligt och skriftligt, varav skriftliga samtycken är att föredra. Oavsett om det sker muntligt eller skriftligt ska det röra sig om ett godkännande genom en entydig och bekräftande handling. För att det inte ska råda något tvivel om att samtycke föreligger måste godkännandet vara frivilligt, specifikt, otvetydigt och grundas på tydlig information från er. Samtycket måste alltså inte vara skriftligt, men ansvaret ligger på er, som personuppgiftsansvarig, att bevisa att samtycket är inhämtat på ett korrekt sätt varför det i de flesta fallen är bäst med någon form av aktivitet från den registrerades sida så att det inte enbart sker muntligt.
Det är viktigt att ha i åtanke att samtycket måste uttryckas genom en aktiv handling och ni kan inte utgå från att godkännandet är underförstått. Om samtycket inhämtas via ett digitalt formulär, en banner eller liknande, är det inte tillåtet att ha förkryssade boxar, utan den registrerade måste själv kryssa i och fatta beslutet. I de fall ni använder samtycke som laglig grund för behandling av känsliga personuppgifter är det extra viktigt att användaren fattar ett aktivt och informerat beslut.
Som ovan nämnt måste samtycket vara specifikt och det betyder att ni måste beskriva varje särskilt ändamål med behandlingen. Den registrerade ska inte samtycka till ”all typ av behandling”, utan ni måste specificera varje behandling för sig. Exempelvis kanske den registrerade godkänner att en viss medlemsorganisation behandlar personuppgifterna, men inte att ni överför dem till någon annan. Med detta sagt innebär det inte att man inte får överföra personuppgifter till en annan organisation men i de fall där behandling hos en viss organisation är grundad på den registrerades samtycke kan också ett samtycke krävas för att föra över personuppgifterna.
Användaren ska när som helst kunna ångra sitt samtycke och regleringen innebär inte bara att uppgifterna ska sluta behandlas utan de ska dessutom raderas.
Situationer där samtycke ej behövs
Även om samtycke är en stark laglig grund för behandling av personuppgifter är ni inte alltid tvungna att inhämta ett samtycke. I flertalet fall finns det andra lagliga grunder att basera er behandling på, till exempel om det är nödvändigt för att fullgöra avtal eller en rättslig förpliktelse. Samtycke är inte heller nödvändigt om ni har gjort en noggrann intresseavvägning och kommit fram till att ni har ett berättigat intresse för behandlingen som väger tyngre än den registrerades rätt att inte bli behandlad. Ni kan också ha flera olika lagliga grunder för samma eller olika behandlingar.
Det ska också tilläggas att även om samtycke är en stark laglig grund för behandling av personuppgifter är det inte alltid den lämpligaste att ha ensamt, det vill säga utan någon annan laglig grund. Detta beror på att ett samtycke ska kunna återkallas och att behandlingen därefter måste upphöra. Om den personuppgiftsansvarige fortfarande måste behandla personuppgifterna, exempelvis inom ett anställningsförhållande, är det lämpligare att ha en annan laglig grund, exempelvis att behandlingen är nödvändig för att fullgöra ett avtal (avtalsgrunden).