Fråga om samtycke enligt GDPR

Hej!

Tack för att du vänder dig till Lawline med din fråga!

Den nya personuppgiftslagen, GDPR, kommer ställa högre krav på att det har skett ett samtycke mellan den som behandlar personuppgifterna och den enskilde. I ditt fall har du som företagare ett större ansvar än tidigare gentemot din kund.

Eftersom GDPR inte införts än råder det fortfarande vissa oklarheter i hur lagen kommer tillämpas i verkligheten och vilka krav som faktiskt ställs men jag har tolkat situationen på följande sätt:

För att du som företagare ska kunna säkerställa att kunden är införstådd är mitt tips att du ger kunden ett skriftligt avtal att läsa igenom där det tydligt står vad ni ska använda personuppgifterna till. Syftet med varför ni tar in personuppgiften ska fastställas innan ni beslutar er för att ta in uppgifterna. Detta syfte ska även vara oförändligt under behandlingen av personuppgifterna.

Om det är uppenbart att kunden t.ex. inte förstår svenska är det en god idé att minst ha ett annat alternativ, exempelvis på engelska. Om kunden sedan nickar instämmande och väljer att skriva på avtalet, så har du gjort det du ska för att säkerställa att kunden vet vad personuppgifterna ska användas till. Att en kund inte gör det tydligt att hen inte förstår innebörden, eller att hen ändå väljer att skriva på utan att nämna något för dig, bör inte kunna göra dig skyldig till något brott mot GDPR.

GDPR innebär även att kunden kan ta tillbaka sitt samtycke i ett senare skede om hen skulle vilja det. Den nya lagen säger att det är du som företagare och personuppgiftsansvarig som ska bevisa att det föreligger ett samtycke, och genom att visa upp ett påskrivet avtal som är skrivet på ett språk som bör vara förståeligt för kunden så bör du ha bevisat att du hade skäl att tro att det fanns ett samtycke.

Mitt råd är även att hålla utkik på dataskyddsinspektionen hemsida när GDPR förklaras mer ingående.

Hoppas det var svar på din fråga.