Samtykke etter GDPR – hva er gyldig, og hvordan dokumenterer du det?

Å be om samtykke kan virke enkelt: Du spør, noen sier ja – og så behandler du personopplysningene. Men GDPR stiller strenge krav. Mange virksomheter bruker samtykke uten å forstå hva det faktisk innebærer. Konsekvensen? Ulovlig behandling, krav om sletting, tilsyn – eller i verste fall sanksjoner og erstatningskrav.

I denne artikkelen forklarer vi hva som kreves for at samtykke skal være gyldig, hvordan du innhenter det på riktig måte – og hvordan du dokumenterer det, slik at du står trygt ved et eventuelt tilsyn fra Datatilsynet.

Hva må til for at et samtykke skal være gyldig?

For at samtykke skal være gyldig etter GDPR, må det:

• Være helt frivillig og uten noen form for press
  
  
• Gjelder tydelige og spesifikke formål
  
  
• Basere seg på klar og forståelig informasjon
  
  
• Gis gjennom en aktiv handling (ikke stilltiende)
  
  
• Være mulig å dokumentere
  
  
• Enkelt kunne trekkes tilbake

Hvor lenge et samtykke gjelder, avhenger av hva det ble gitt for. Det er derfor smart å være tydelig på varigheten fra start – og å minne brukeren jevnlig på at de har gitt samtykke, og at de når som helst kan trekke det tilbake.

Frivillighet handler om mer enn å si “ja”

Det holder ikke at noen klikker “jeg godkjenner”. Samtykket må være reelt frivillig. Hvis det finnes et avhengighetsforhold, en skjev maktbalanse eller opplevd press, er samtykket ugyldig.

Eksempel: En bruker skal ikke måtte godta markedsføring for å få tilgang til en tjeneste. Hvis det ikke finnes et reelt alternativ, er ikke samtykket gyldig.

Dette er spesielt viktig for offentlige virksomheter og arbeidsgivere, hvor det ofte er en naturlig ubalanse i forholdet til brukeren eller den ansatte.

Ett formål = ett samtykke

Brukeren skal vite nøyaktig hva de sier ja til. Derfor holder det ikke med én felles avkrysningsboks for alt. Skal du bruke opplysningene både til nyhetsbrev og til profilering? Da må du innhente to separate samtykker.

Du kan heller ikke bruke et samtykke til et nytt formål senere. Hvis du endrer behandlingen, må du be om et nytt samtykke.

Informasjonen må være tydelig og enkel å forstå

For at samtykket skal være gyldig, må informasjonen være:

• Lett å forstå
  
  
• Tilpasset målgruppen
  
  
• Tydelig adskilt fra annen informasjon
  
  

Du må informere om:

• Hvem som er behandlingsansvarlig (inkludert kontaktinfo)
  
  
• Hvilken behandling samtykket gjelder
  
  
• Hvilke opplysninger som samles inn
  
  
• At samtykket kan trekkes tilbake
  
  
• Om det brukes automatiserte avgjørelser
  
  
• Om opplysningene overføres utenfor EU/EØS, og hvilke risikoer det medfører

Denne informasjonen skal gis i tillegg til det som kreves etter artikkel 13 i GDPR – og må ikke skjules i lange brukervilkår eller generelle avtaler.

Samtykke krever aktiv handling

Samtykke må alltid gis gjennom en aktiv bekreftelse. Det holder ikke at en forhåndsutfylt avkrysningsboks blir stående uten at brukeren gjør noe.

Gyldig samtykke kan for eksempel gis ved å:

• Krysse av i en tom boks
  
  
• Klikke på en tydelig “godkjenn”-knapp
  
  
• Signere et skjema

Samtykke må aldri blandes sammen med andre vilkår – det skal være adskilt og tydelig.

Brukervennlighet gjelder også for samtykke

Å be om samtykke skal ikke ødelegge brukeropplevelsen. Et vanlig problem er at brukeren må godta mer enn nødvendig for å få tilgang til tjenesten. I så fall er samtykket ugyldig.

Det finnes ingen krav til form – samtykke kan gis muntlig, skriftlig eller digitalt. Det viktigste er at du kan dokumentere det i etterkant.

Uten dokumentasjon – ingen gyldighet

Hvis du skal basere deg på samtykke som behandlingsgrunnlag, må du kunne vise til:

• At samtykke faktisk ble gitt
  
  
• Hvilken informasjon som ble presentert
  
  
• Hva formålet var
  
  
• At samtykket ble gitt frivillig og aktivt

I digitale systemer holder det ofte med teknisk logging – så lenge du ikke samler inn mer informasjon enn nødvendig. Du kan for eksempel ikke kreve at brukeren logger inn bare for å kunne logge et samtykke.

Det skal være enkelt å trekke samtykke tilbake

GDPR krever at brukeren når som helst skal kunne trekke tilbake samtykket, og det skal være minst like enkelt å gjøre som å gi det.

Tilbakekall bør helst skje via samme kanal som samtykket ble gitt. Når det skjer, må du stanse behandlingen umiddelbart – og i de fleste tilfeller slette opplysningene, med mindre du har et annet gyldig behandlingsgrunnlag.

Du kan ikke bytte grunnlag i ettertid

Dersom samtykket trekkes tilbake eller viser seg å være ugyldig, kan du ikke plutselig vise til for eksempel berettiget interesse. Det bryter med GDPRs krav om åpenhet og forutsigbarhet.

Eksempel: Når samtykke ikke holder

En nettbutikk ønsker å bruke kundenes kjøpshistorikk til målrettet markedsføring. Under kjøpsprosessen er det en forhåndsutfylt boks som kunden lar stå, og kjøpet fullføres.

Dette er ikke et gyldig samtykke, fordi:

• Informasjonen var uklar
  
  
• Det ble ikke gitt aktivt
  
  
• Det var en del av et avtaleforhold

Dersom nettbutikken bruker dataene til markedsføring likevel, bryter de GDPR.

Når stilles det ekstra krav til samtykke?

I noen situasjoner må samtykke gis på en mer formell måte, for eksempel når du:

• Behandler sensitive personopplysninger
  
  
• Bruker automatisert beslutningstaking
  
  
• Overfører data til land utenfor EU/EØS

Da kan det være nødvendig med sterkere bekreftelse, som signatur eller innlogging med e-ID.

Samtykke til forskning – egne regler gjelder

Innen forskning er det ikke alltid mulig å definere formålet helt presist på forhånd. Derfor åpner GDPR for bredere samtykker – så lenge formålet er tydelig beskrevet.

Jo mer sensitive opplysninger som behandles, desto høyere krav stilles til informasjon og tiltak. Eksempler på gode praksiser:

• Jevnlig informasjon underveis i prosjektet
  
  
• Samtykke i flere trinn
  
  
• Deling av forskningsplaner med deltakerne

Også i forskningsprosjekter kan deltakere når som helst trekke tilbake sitt samtykke. Da skal opplysningene enten slettes eller anonymiseres.

Samtykke fra barn krever foreldres godkjenning

Hvis du tilbyr en digital tjeneste til barn under 13 år, må samtykket komme fra en foresatt. Du må ha rutiner som gjør det mulig å sikre at det faktisk er en forelder som gir samtykket.

Husk også at aldersgrensen varierer mellom ulike EU/EØS-land. Dersom du opererer i flere land, må du følge lokal lovgivning.

Gjør samtykkearbeidet enklere – og styrk personvernet

Å oppfylle samtykkekravene i GDPR handler ikke bare om tekniske løsninger – det handler også om tydelige rutiner, struktur og ansvar.

En vanlig årsak til feil er kunnskapsmangel hos systemeiere og andre nøkkelpersoner internt. Mange som har ansvar for systemer og databehandling mangler innsikt i hva GDPR faktisk krever. Det gjør det vanskelig å dokumentere og vurdere samtykke på en korrekt måte – og kan føre til de feilene vi har beskrevet tidligere i artikkelen.

Med Privacy as a Service får dere:

• Et brukervennlig system for samtykke og dokumentasjon
  
  
• Juridisk støtte når dere trenger det
  
  
• Struktur og oversikt gjennom hele prosessen

Vil du se hvordan det fungerer i praksis?

Book en demo.