Det är vanligt att använda samtycke som rättslig grund när ett företag behandlar personuppgifter. Däremot kan det i många fall vara mer lämpligt att använda någon annan rättslig grund. Därför är det bra att analysera vilken rättslig grund som är lämpligast, innan företaget väljer samtycke som rättslig grund. Samtycke är nämligen inte den starkaste grunden. Dessutom måste giltiga samtycken vara utformade på mycket specifika sätt enligt bestämmelserna i GDPR.
Enligt GDPR, måste ett företag ha en rättslig grund för att få behandla personuppgifter och samtycke är en av dessa. De övriga rättsliga grunderna är myndighetsutövning och uppgifter av allmänt intresse, rättslig förpliktelse, intresseavvägning, grundläggande intresse och avtal.
Använda samtycke som rättslig grund
Det finns flera sätt att inhämta samtycke från en person. Exempelvis är det vanligt att ett företag gör det i samband med att personen blir en kund eller användare. Ett företag måste kunna styrka att ett samtycke har blivit inhämtat och det är den personuppgiftsansvarige som har det ansvaret. Med andra ord ligger bevisbördan på den personuppgiftsansvarige, men det kan vara bra att tillägga att styrelsen i ett aktiebolag också bär ansvar för att upprätta interna rutiner.
Ett tips är att inte använda samtycke om det finns någon annan rättslig grund. Dessutom anser IMY, som är tillsynsmyndighet i ärenden om GDPR, samma sak. Ett samtycke kan nämligen bli återkallat av den som lämnat samtycket, och då ska behandlingen genast upphöra. Samtycken ska även bli lämnade frivilligt och aktivt av personen ifråga, efter att personen har fått information om behandlingen och vad samtycket avser. Det är inte tillåtet att anta att en person lämnat sitt samtycke genom att vara passiv eller genom redan ikryssade rutor för samtycke.
Det är inte tillåtet av en arbetsgivare att begära ett samtycke från en anställd, vilket också kan vara bra att tänka på eftersom det råder ojämlikhet mellan parterna.
Inhämta samtycke genom lojalitetsprogram
Många företag väljer att inhämta samtycke för direktmarknadsföring, genom att skapa ett lojalitetsprogram som kunder ansluter sig till. Ett exempel är att kunden får ett medlemskort och därigenom blir kunden erbjuden olika rabatter och får poäng när denne handlar. Genom att inhämta data, kan företaget veta vilka produkter eller tjänster som säljer bäst eller/och kunna rikta mer anpassade erbjudanden utifrån kundens behov och köpbeteende.
