GDPR ställer nya krav på behandling av personuppgifter

Om man hanterar personuppgifter ligger bevisbördan på den som är personuppgiftsansvarig. För att organisationer ska få behandla personuppgifter ska det finnas en eller flera lagliga grunder att stödja sig på. För de flesta verksamheter är avtal, berättigat intresse och samtycke de vanligaste lagliga grunderna för behandling av personuppgifter.


Situationer där samtycke krävs för behandling av personuppgifter

  • 1. När bilder publiceras på webbsidor, sociala medier eller andra plattformar
  • 2. Vid utskick av nyhetsbrev
  • 3. När barn och ungdomars personuppgifter behandlas
  • 4. När CV sparas för framtida bruk (längre än 24 månader)
  • 5. Vid behandling av känsliga uppgifter så som hälsotillstånd, religion och etnicitet
  • Utöver dessa finns det fler situationer när samtycke för behandling av personuppgifter
    behövs.

 


Kort om samtycken

Ett samtycke är en frivillig, specifik och otvetydig viljeyttring där den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det är viktigt att varje specifikt samtycke registreras och sparas.
När organisationen behöver samla in personuppgifter där behandlingen inte stöds av någon av de andra lagliga grunderna. Detta är en bedömning som ska göras från fall till fall.
Företag som behöver behandla personuppgifter som inte kan stödja sin personuppgiftsbehandling i någon av de andra lagliga grunderna.
Följande kriterier gäller för giltiga samtycken.
- Personuppgiftslämnaren måste göra ett aktivt val för att godkänna ett samtycke, det får exempelvis inte finnas några förmarkerade fält i formulär.
- Behandling av personuppgifter som rör barn och ungdomar är tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för personuppgiftslämnaren.
- Det ska finnas ett separat samtycke för varje syfte.
- Giltiga samtycken får inte vara dolda i till exempel en avtalstext.
- Samtycket ska vara tydligt formulerat och måste vara frivilligt lämnat.
- Samtycket ska kunna återkallas.
- Organisationen som behandlar personuppgifter måste kunna bevisa för vad att ett samtycke blivit lämnat och av vem.


Hämta information