Vad utgör giltigt samtycke? - Personlig integritet på internet : Webbkakor och risken för kränk

5.3.1 Rekvisiten enligt lag och förordning

Kravet på leverantör eller tredjepart att inhämta användarens samtycke innan denne hämtar eller behandlar personuppgifter framgår av 6 kapitel 18 § LEK, och även i e-dataskyddsdirektivet, men vad som utgör giltigt samtycke är inte vidare definierat i lagtext. Av förarbeten till omarbetningen i enlighet med änd- ringsdirektivet framgår det att samtycke ska förstås som ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken abonnenten eller användaren, ef- ter att ha fått information, godtar behandlingen av uppgifterna”.132 I dataskydds-

förordningen är kravet på giltigt samtycke likartat definierad i artikel 4.11 som ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken [användaren] antingen genom ett uttalande eller genom en entydig bekräf- tande handling, godtar behandling av personuppgifter”. Vidare framgår det i artikel 7 dataskyddsförordningen att för att ett samtycke ska anses vara giltigt ska det gå att återkalla. Definitionen av samtycke är så pass snarlik i LEK och data- skyddsförordningen att regelverken därför måste tolkas tillsammans och som en sammanhängande enhet.133 De element som återfinns i dessa två regelverk för att

ett samtycke ska anses vara giltigt är omfattande och bör därför gås igenom var och en.

5.3.2 Frivilligt

För att ett samtycke ska anses vara giltigt ska det för det första vara frivilligt. Detta krav innebär enligt dataskyddsförordningen att samtycke inte anses kunna föreligga om det finns betydande ojämlikheter i maktförhållandet mellan använ- daren och den personuppgiftsansvarige.134 En bedömning om samtycket är frivil-

ligt får ske i det enskilda fallet, men anses t.ex. inte kunna föreligga mellan en arbetsgivare och arbetstagare eller mellan en person och en statlig myndighet.135 132_{Prop. 2010/11:115, s. 183.}

133_{Stöd för denna slutsats återfinns i det faktum att LEK utgör en implementering av e-dataskydds-}

direktivet, att de olika EU-rättsliga direktiven och förordningarna ska tolkas som en enhet utan diskrepanser. Jfr även att kommande e-dataskyddsförordning direkt hänvisar till dataskyddsförord- ningens definition av samtycke i artikel 9, utan att någon ändring av begreppet samtycke har avsetts, jfr s. 10 i förslaget.

134_{Skäl 43 i dataskyddsförordningen, se även Frydlinger m.fl., s. 147.} 135_Ibid.

Ett sådant maktförhållande bör inte finnas mellan en leverantör eller tredjepart och användare som per automatik förhindrar förekomsten av frivillighet, dock måste det beaktas att kravet på frivillighet även innebär att leverantör inte kan kräva samtycke till behandling för ett visst ändamål för att fullgöra ett avtal. Ex- empel på detta i förhållande till webbkakor kan vara en begränsning av tillgång till leverantörens hemsida och tjänst om användaren inte samtycker till mark- nadsföringswebbkakor. I sådana fall kan samtycket inte anses vara frivilligt i or- dets rätta bemärkelse.

5.3.3 Specifikt och informerat

Kravet på att samtycket ska vara specifikt innebär att samtycke ska lämnas för varje personuppgift som behandlas och ändamålet för behandlingen, samt att information om det specifika ändamålet har lämnats till användaren på ett tydligt och koncist sätt.136 Exempel på detta kan vara att ett samtycke inhämtas för att

spara användarens språkinställningar på hemsidan. Då får samtycket inte också användas för att kunna placera webbkakor i syfte att skicka riktad reklam via tredjepart på leverantörens hemsida, samtycket omfattar enbart insamlandet och användandet av uppgifterna för att kunna återskapa språkvalet för användaren vid ett senare tillfälle.

För att samtycket ska anses vara informerat krävs det att användaren har kun- skap om åtminstone vem det är som behandlar uppgifterna och vad som är syftet med behandlingen av personuppgifter.137 Vidare har användaren rätt att få in-

formation om hur denne återkallar sitt samtycke, vilket följer av artikel 7.3 data- skyddsförordningen. Utöver det bör det inom kravet på informerat samtycke kunna ställas krav på att informationen lämnas på ett sådant sätt och språk som ger användaren möjlighet att tillgodogöra sig informationen på ett fullgott sätt.138

Av denna anledning finns det särskilda regler gällande barns samtycke, se exempelvis artikel 8 samt skäl 38 och 58 i dataskyddsförordningen, eftersom barn inte kan förväntas kunna ta till sig information på samma sätt som en vuxen när informationen är riktad till en vuxen. Är informationen omöjlig att förstå ska an- vändaren inte kunna anses vara informerad.

5.3.4 Otvetydig eller uttrycklig viljeyttring

Samtycke ska, för att vara giltigt, vara otvetydigt enligt LEK och dataskyddsför- ordningens artikel 4.11. EU-domstolen poängterade i ett mål från 2019 att kravet på en viljeyttring kräver att den registrerade på ett aktivt sätt visar sitt samtycke,

136_{Jfr Datainspektionen, Samtycke, hämtat den 21 oktober 2020.} 137_{Frydlinger m.fl., s. 147.}

138_{Till stöd för denna tolkning kan artikel 7.2 dataskyddsförordningen läsas, som stipulerar att}

begäran om samtycke ska ” läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk.”, samt skäl 58 om öppenhetsprincipen.

det räcker inte med ett passivt beteende.139 Kravet på en otvetydig viljeyttring är

därmed avhängig om användaren de facto aktivt visat att denne samtycker till behandlingen av personuppgifter.140 Det är därmed fastställt att för att det ska

vara en otvetydig viljeyttring det inte räcker med samtycke genom exempelvis på förhand ikryssade rutor, eftersom det genom ett sådant samtycke inte går att utesluta att användaren inte läst informationen i rutan eller ens noterat att rutan dykt upp.141 Det ska därför gå att utesluta att användaren inte har samtyckt till behand-

lingen för att viljeyttringen ska klassas som otvetydig.142

I artikel 9 i dataskyddsförordningen ställs det, istället för kravet på ett otvetydigt samtycke, krav på att samtycket ska vara uttryckligt. Kravet på uttryckligt samtycke måste anses vara mer omfattande än kravet på en otvetydig viljeförkla- ring, eftersom det tar sikte på att ge ett än mer omfattande integritetsskydd när uppgifterna som behandlas är integritetskänsliga.143 Begreppet uttryckligt sam-

tycke tar därför sikte på hur användaren lämnar samtycke, snarare än att det är aktivt, eftersom kravet på aktivt samtycke är ett eget rekvisit.144 Ett uttryckligt

samtycke kan inhämtas genom en uttrycklig viljeförklaring som sker skriftligen, exempelvis genom att underteckna viljeförklaringen. Det är dock inte enda sättet, även samtycke som är skriftliga via elektroniska formulär, skannade dokument med underskrift eller e-post bör duga. Muntliga samtycken anses också uppfylla kravet på uttrycklighet.145 En lösning för att försäkra sig om uttryckligt samtycke

är att lämna information om behandlingen genom ett medel, exempelvis muntli- gen, och sedan begära att samtycket lämnas på annat sätt, t.ex. genom ett digitalt formulär.146

5.3.5 Återkalleligt

Slutligen krävs det att samtycket är möjligt att återkalla. Detta framgår inte av ordalydelsen av bestämmelsen i 6 kapitel 18 § LEK eller av definitionen i artikel 4.11 dataskyddsförordningen, istället framgår det i artikel 7 dataskyddsförord- ningen som rör villkor för samtycke. Återkallelsen av samtycke ska även vara lika enkel att genomföra som det var att lämna samtycket.147 Det är på grund av detta

krav på att samtycke ska gå att återkalla som gör samtycke till en i regel olämplig

139_{C-673/17, p. 52.}

140_{EDPB 05/2020, s. 18. Se även WP 259, s. 16.} 141_{C-673/17, p. 55, samt EDPB 05/2020, s. 18 f.} 142_{Jfr Frydlinger m.fl., s. 148.}

143_{EDPB 05/2020, s. 20. En jämförelse kan göras med systematiken här, där kravet på otvetydigt}

samtycke som det formuleras i artikel 4.11 dataskyddsförordningen gäller för alla behandlingar av personuppgifter medan kravet på uttryckligt samtycke i artikel 9 dataskyddsförordningen är ett komplement till det förstärkta skyddet för integritetskänsliga personuppgifter.

144_{EDPB 05/2020, s. 20.}

145_{EDPB 05/2020, s. 20 f. Muntliga samtycken är dock svåra att bevisa, se nedan om ansvar för}

inhämtande av samtycke.

146_{Se t.ex. EDPB 05/2020, s. 21.}

grund för behandling av personuppgifter.148 Som ovan nämnt finns det, trots ut-

talanden om olämplighet att använda samtycke, inte någon möjligt alternativ be- handlingsgrund när det gäller webbkakor på grund av bestämmelsen i LEK och LEK:s företräde.

In document Personlig integritet på internet : Webbkakor och risken för kränkning av användares personliga integritet (Page 47-50)