3. Dataskyddsförordningen
3.5 Samtycke till behandling av personuppgifter
3.5.1 Generellt
Som tidigare nämns krävs det en rättslig grund för att få behandla personuppgifter. I dataskyddsförordningen finns sex rättsliga grunder för behandling av personuppgifter varav samtycke är den intressantaste och antagligen den mest komplicerade. Samtycke när det ges av den registrerade definieras i artikel 4 punkt 11.
"varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,
Det ligger i samtyckets natur att det ska vara genuint. Ett verkligt val måste alltså ges den registrerade, annars finns det risk att samtycket blir en chimär.82 Själva samtycket i sig består i dataskyddsförordningen av några grundläggande rekvisit. Samtycket ska vara frivilligt, specifikt, informerat och en otvetydig viljeyttring. Rekvisiten entydig bekräftade handling och för ett specifikt ändamål finns också utöver de som återfinns i definitionen av samtycke. Rekvisiten kan sägas gå in i varandra i många fall.
81 Dataskyddsförordningen art. 9.
82 Article 29 working party, Guidelines on consent under regulation 2016/679, sid. 3 och 6.
21 3.5.2 Frivilligt
För att ett samtycke ska vara giltigt enligt dataskyddsförordningen måste det ha givits frivilligt. Det innebär att ett fritt val måste ha givits den registrerade vilket inkluderar en rätt och möjlighet att säga nej. Frivilligheten förtydligas i artikel 7 punkt 4 i dataskydds-förordningen.
"4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet."
Denna bestämmelse ger uttryck för ett förbud att koppla ihop orelaterade samtycken som ett villkor att få använda sig av produkten.83 Exempelvis är det inte tillåtet för exempelvis en app med huvudfunktionen att redigera foton att samla in platsdata med syftet att förbättra tjänsten. Detta eftersom det inte finns någon logisk koppling mellan att behöva samla in platsdata och att erbjuda grundtjänsten, redigering av foton. Ett samtycke till insamling av platsdata kan därmed inte anses vara frivilligt om det inte är möjligt att använda produkten utan samtycket.84
Om det hade istället rört sig om en kartapp som begärde platsinformation för att kunna placera en ikon vid användarens nuvarande plats hade det funnits en logisk koppling mellan datainsamlingen och tjänsten. Hade emellertid appen inte fungerat om användaren inte samtyckt till att dela sin platsinformation hade samtycket inte kunnat anses vara frivilligt, användare ska inte bli "straffade" då de inte tillhandahåller sitt samtycke.
Samtycke får alltså aldrig vara ett villkor om det inte finns en objektiv länk mellan den databehandling användaren samtycker till och funktionaliteten användaren erbjuds. Det finns också ett krav på att användaren ska kunna samtycka till olika delar av tjänsten.
Det är alltså inte tillåtet att samla in gemensamma samtycken för exempelvis marknadsföring och för användning av en specifik tjänst utan användaren ska ges möjlighet att välja vad hen samtycker till.85
83 Se Michael Holtz, Den nya allmänna dataskyddsförordningen – några anmärkningar, SvJT 2018, sid.
250.
84 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 6.
85 Dataskyddsförordningen skäl 32.
22
Brist på maktbalans kan också göra ett samtycke ogiltigt. I skäl 43 i dataskyddsförordningen nämns exempelvis att offentliga myndigheter endast i undantagsfall kan använda sig av samtycke, och ett uteblivet samtycke får absolut inte påverka rätten att ta del av myndighetens service och funktion.86 Exempel på en situation där myndigheter kan använda sig av samtycke är när de boende erbjuds att ta del av information om byggarbeten genom ett nyhetsbrev på e-post, samtycket gäller då att behandla e-postadresserna för att möjliggöra utskicket. Förutsatt att informationen också finns tillgänglig på exempelvis en hemsida får en offentlig myndighet använda sig av samtycke i ett sådant fall.87 Det utgör dock ett undantag och i de allra flesta fall är myndigheters användning av samtycke olämpligt.
Användning av samtycke är också problematiskt i anställningsförhållanden. Det är naturligt att en anställd kommer att säga ja till en behandling av personuppgifter för att inte bli sedd som exempelvis besvärlig. En anställd är beroende av sin arbetsgivare för sin försörjning. Situationerna när en arbetsgivare kan använda sig av samtycke är alltså därför väldigt begränsade.88
3.5.3 Specifikt
Ett ytterligare krav på samtycke är att det ska vara specifikt, det hänger nära ihop med att samtycket ska göras med en otvetydig viljeyttring. Rent konkret innebär specificeringskravet bland annat att samtycket ska vara skiljt och presenteras separat från de allmänna villkoren, både med syftet att samtycket ska vara frivilligt och att samtycket ska vara specifikt.89 Samtycket ska också presenteras på ett sätt som gör det möjligt att på ett enkelt sätt samtycka till delar av behandlingen, exempelvis genom olika rutor som kan klickas i. Samma personuppgifter kan naturligtvis användas för flera olika syften, huvudsaken är att användarna får ett genuint val angående vad de vill göra med sin data.90
Användaren ska alltså ha möjlighet att välja vilka behandlingar de samtycker till. Det kan alltså bli nödvändigt för en personuppgiftsansvarig att dela upp sin tjänst i olika delar, exempelvis att separera chattfunktionalitet med annan funktionalitet.91
86 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 8.
87 A.a. sid. 6.
88 A.a. sid. 7.
89 A.a. sid 12
90 A.a. sid. 7.
91 Dataskyddsförordningen skäl 43.
23 3.5.4 Informerat
I dataskyddsförordningen är det tydligt att ett samtycke måste vara tillräckligt informerat. Det finns ett krav på transparens på vilket sätt och med vilka syften personuppgifter ska behandlas. Användaren måste alltså vara tillräckligt informerad för att kunna ta ställning till om denne vill tillåta databehandlingen. Den registrerade måste också informeras om dennes rätt att återkalla samtycket.92
Det finns inget krav i dataskyddsförordningen på hur en användare ska informeras, det kan ske på vilket sätt som helst. Det ligger dock i den personuppgiftsansvariges intresse att det dokumenteras, exempelvis genom röstinspelning, digitalt eller i skrift.
Personuppgiftsansvarig har nämligen att visa att de erhållit samtycke93 i linje med ansvarighetsprincipen.
När informationen ges ska den personuppgiftsansvarige använda ett klart och enkelt språk och inte använda sig av onödigt komplicerat juridiskt språk.94 Personuppgiftsansvariga måste också förstå sin målgrupp. I Sverige är exempelvis ålder för att samtycka till databehandling 13 år.95 Det ställer stora krav på personuppgiftsansvariga när de ska informera användarna på ett språk de förstår. Hur höga krav som helst kan inte ställas på personuppgiftsansvariga, för att utreda om informationen är tillräckligt tydlig kan exempelvis olika undersökningar användas, exempelvis testgrupper. Att en enskild användare missförstår är dock inte tillräckligt för att informationen ska anses otillräckligt.96
3.5.5 Otvetydig viljeyttring
En viktig förutsättning är att samtycke ska ske med en otvetydig viljeyttring, det tolkas som att det måste ske en aktiv handling för samtycke. Det är alltså inte tillåtet med förkryssade rutor på hemsidor eller rutor som kräver att användaren kryssar i en ruta för att inte samtycka till personuppgiftsbehandling, så kallade opt-out lösningar. Samtycket måste separeras på ett klart och tydligt sätt från andra samtycken och inte som tidigare när både allmänna villkor och dataskydd har kunnat godkännas i samma handling, exempelvis kryssa i en ruta.
92 Dataskyddsförordningen art. 7 punkt 2.
93 Dataskyddsförordningen art. 7 punkt 1.
94 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 14.
95 Kompletteringslagen 2 kap. 4 §.
96 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 15.
24
Samtycke kan dock som sagt samlas in på andra sätt under förutsättning att det rör sig om en aktiv handling från den registrerade. Företagen har frihet att utveckla den modell för insamling av samtycke som passar dem bäst, samtycke kan till exempel samlas in genom fysiska rörelser, under förutsättning att användaren förstår det.97
För känsliga personuppgifter behövs ett uttryckligt samtycke.98 På ett sådant samtycke ställ alltså högre krav än ett ”vanligt” samtycke. Det krävs istället ett uttryckligt godkännande eller en godkännande handling. Det innebär i praktiken att det inte räcker med en ruta på en webbsida utan istället bör en signatur eller helst en egenskriven mening insamlas av de registrerade.99
3.5.6 Specifikt ändamål
Dataskyddsförordningen kräver att samtycke lämnas för ett eller flera specifika ändamål, detta gäller också de andra rättsliga grunderna. Observera att detta inte rör sig om samma rekvisit som att samtycket ska vara specifikt, även om de naturligtvis går in i varandra. Rekvisitet är nära sammanlänkat med kravet på att samtycket ska vara informerat och måste tolkas tillsammans med de andra rekvisiten. För att kunna ge ett informerat samtycke måste användaren veta till vilket syfte användaren samtycker. Om uppgifterna ska användas för något annat syfte måste ett nytt samtycke inhämtas, en annan rättslig grund går inte att använda eftersom den rättsliga grunden ska vara klar från början innan behandlingen påbörjas. Om det finns flera specifika samtycken måste den registrerade ha möjlighet att välja vilka syften denne samtycker till. Exempelvis behandling för att analysera användningen av en applikation.100
3.5.7 Återtagande av samtycke
Dataskyddsförordningen ställer också krav på att möjliggöra för ett effektivt återtagande av samtycke. Samtycket ska kunna återkallas när som helst för vilken anledning som helst och det ska vara lika lätt att återkalla sitt samtycke som att lämna det. Det är alltså inte tillåtet att göra det svårare att dra tillbaka samtycket än att ge det, exempelvis genom att referera till en kundservice för att dra tillbaka samtycket när samtycket lämnades genom att kryssa i en ruta på en hemsida.101 En alltför strikt tolkning kan emellertid inte göras, och det är rimligtvis tillåtet att lägga tillbakadragandet av
97 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 17.
98 Dataskyddsförordningen art. 9 punkt 2 a.
99 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 19.
100 A.a. sid. 11.
101 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 22.
25
samtycke i exempelvis inställningar när själva samtycket lämnas vid den första aktiveringen av tjänsten.
Återtagandet av samtycket innebär att alla åtgärder som utfördes med stöd av samtycket måste upphöra och alla personuppgifter som behandlas med stöd av samtycket ska raderas. Det är inte tillåtet för den personuppgiftsansvarige att behålla personuppgifter och hänvisa till en annan rättslig grund, istället får i så fall personuppgifterna samlas in på nytt. Det finns dock situationer där samtycke ges till flera olika behandlingar, om samtycket då dras tillbaka i en del får fortfarande personuppgifterna behandlas för ett annat syfte om samtycket för det andra syftet finns kvar då.102
3.5.8 Tidigare givna samtycken
Det är generellt sätt inte nödvändigt att inhämta nya samtycken i och med dataskyddsförordningen. De gamla samtyckena som inhämtas enligt PUL är därför giltiga.103 Den registrerade bör dock få tillgång till information från den personuppgiftsansvarige om dennes rättigheter, i enlighet med dataskyddsförordningen.