Samtycke

Samtycke är inte förstahandsvalet

Den rättsliga grunden samtycke innebär att den registrerade har sagt ja till behandlingen av personuppgifter, innan behandlingen börjar. Samtycke kan vara en lämplig rättslig grund i vissa fall, till exempel inom forskning, men i många fall är det inte lämpligt eller ens möjligt att stödja sig på samtycke. Om behandlingen av personuppgifter kan ske med stöd av någon av de andra rättsliga grunderna får dessutom inte samtycke användas. Överväg därför alltid om det är möjligt att stödja behandlingen på någon av de andra rättsliga grunderna i första hand (myndighetsutövning / allmänt intresse, rättslig förpliktelse, avtal).

Samtycket ska vara frivilligt

För att ett samtycke ska vara giltigt krävs det att samtycket är frivilligt. Det innebär att den registrerade ska ha ett genuint fritt val, och kunna vägra att lämna samtycke eller ta tillbaka ett samtycke utan att riskera att drabbas av några negativa konsekvenser.

Ett samtycke kan inte lämnas frivilligt om det finns en tydlig obalans mellan den personuppgiftsansvarige (normalt högskolan) och den registrerade. Som utgångspunkt anses det finnas en sådan obalans mellan å ena sidan högskolan, i egenskap av myndighet och arbetsgivare, och å andra sidan anställda och studenter. Samtycke kan därför endast användas i undantagsfall i förhållande till anställda och studenter. Beroende på omständigheterna kan det även råda obalans mellan högskolan och andra.

Om det råder en obalans går det inte att stödja sig på samtycke.

Samtycket ska vara specifikt

För att ett samtycke ska vara giltigt krävs det också att samtycket är specifikt, det vill säga att samtycket lämnas för ett specifikt ändamål. Om behandlingen av personuppgifter har flera ändamål ska det vara möjligt att lämna separata samtycken för respektive ändamål. Var därför specifik och ge tydliga alternativ för olika ändamål. Vaga eller allmänna samtycken är inte giltiga.

Efter att den registrerade har samtyckt till behandlingen av personuppgifter får personuppgifterna behandlas för de ändamål och på de övriga villkor som samtycket lämnades för. Om du vill använda uppgifterna till något annat betyder det att ändamålet ändras, och du måste då be om ett nytt samtycke till det nya ändamålet innan behandlingen börjar. Detsamma gäller om personuppgiftsbehandlingen ändras på något annat väsentligt sätt under tiden.

Samtycket ska vara informerat

För att ett samtycke ska vara giltigt ska samtycket vara informerat. Det betyder att den registrerade måste få enkel och tydlig information om personuppgiftsbehandlingen innan behandlingen börjar, för att kunna ta ställning till personuppgiftsbehandlingen. Informationen ska innehålla:

  • Namn och kontaktuppgifter till den personuppgiftsansvarige (högskolan), den som ansvarar för den aktuella personuppgiftsbehandlingen vid högskolan, och högskolans dataskyddsombud (Åsa Dryselius).  
  • Förklara vilka personuppgifter som behandlas, vad de används till (ändamål) och den rättsliga grunden för personuppgiftsbehandlingen. Under förutsättning att inga känsliga personuppgifter samlas in är den rättsliga grunden i det här fallet samtycke (artikel 6.1 (a) i dataskyddsförordningen).
  • Klargör vilka som kommer att ta del av personuppgifterna och namnge eventuell tredje part som kommer att förlita sig på samtycket. Förklara att personuppgifterna i regel är allmänna handlingar som kan komma att lämnas ut i det fall någon begär det i enlighet med offentlighetsprincipen. Utlova inte att personuppgifterna kommer att hanteras konfidentiellt, om du inte är säker på det.
  • Klargör ifall personuppgifterna kommer att lagras eller föras över till ett land utanför EU/EES och i så fall vilket undantag från förbudet mot sådan överföring som är tillämpligt. Tänk på att i det fall personuppgifterna lagras i högskolans molntjänster som Box eller OneDrive innebär det att personuppgifterna överförs till länder utanför EU/EES.
  • Förklara hur länge personuppgifterna kommer att lagras. Tänk på att lagringstiden ska vara förenlig med arkivlagstiftningen och högskolans informationshanteringsplan, och förklara att högskolan enligt lag kan vara förhindrad att radera personuppgifterna innan den tiden har löpt ut.
  • Klargör att den registrerade kan vägra att samtycka och att han eller hon när som helst kan ta tillbaka ett samtycke utan att drabbas av negativa konsekvenser. Förklara hur man gör för att ta tillbaka ett samtycke. Det ska vara lika lätt att ta tillbaka som att lämna samtycke.
  • Klargör att den registrerade har rätt enligt dataskyddsförordningen att begära att få tillgång till de personuppgifter som behandlas och få information om behandlingen, få sina personuppgifter rättade eller raderade, begära att behandlingen begränsas, dataportabilitet i vissa fall, och klaga på behandlingen till Datainspektionen.
  • Förklara ifall personuppgifterna kommer att användas till automatiserat beslutsfattande, det vill säga beslut som fattas utan mänsklig inblandning, inklusive profilering

Samtycket ska vara otvetydigt

För att ett samtycke ska vara giltigt ska det vara otvetydigt. Det innebär att samtycket ska lämnas genom en aktiv handling, till exempel namnunderskrift eller kryssruta, och tydligt framgå att den registrerade godkänner behandlingen av personuppgifter.

Tänk på att barn och ungdomar inte själva kan lämna samtycke utan att det är den eller de som har föräldraansvar för barnet som ska lämna samtycke.

Ordning och reda

Dataskyddsförordningen ställer krav på att den som hämtar in samtycke ska kunna visa att  ett giltigt samtycke har inhämtats. Dokumentera därför alltid vem som har lämnat samtycke, när och hur samtycke lämnades, och vilken information som lämnades till den registrerade. Normalt bör detta ske genom att en kopia av ett skriftligt samtycke bevaras. Samråd med arkivarie om hur samtycken bör bevaras och hållas ordnade, och dokumentera vad ni kommer fram till.

I händelse av att den registrerade tar tillbaka sitt samtycke, ska personuppgiftsbehandlingen upphöra. Det ställer krav på god ordning, särskilt om personuppgifterna delas med andra. Dokumentera därför alltid hur du ska göra för att säkerställa att personuppgiftsbehandlingen faktiskt upphör, så att du vet när det blir aktuellt.

Personuppgiftsbehandling som redan har skett och eventuella resultat av den påverkas inte av ett återkallat samtycke. Ett återkallat samtycke hindrar inte heller att personuppgifterna lagras om det krävs enligt arkivlagstiftningen, men tänk på att informera om detta i så fall i samband med att samtycke hämtas in.

Mallar

Ska du fråga om samtycke? Använd då gärna högskolans mallar.