Publicerad 10 oktober 2022

Samtycke och modellavtal

Använd samtyckesmallen som ett arbetsdokument och vägledningen beskriver hur du anpassar mallen.

Denna mall kan du använda för samtycke vid bildpublicering. Dock måste mallen anpassas. I vägledningen står det vad du bör tänka på kring samtycke och bildpublicering samt hur du bör anpassa mallen.

Mall för samtycke (Word) Word, 20 kB.

Exempel – SKR:s samtyckesmall för bildpublicering

Utifrån vägledningen nedan har SKR skapat en samtyckesmall för bildpublicering. Se gärna denna mall som ett exempel på hur ditt samtycke för bildpublicering kan se ut men använd din organisations logotyp samt anpassa syfte och kanal utifrån ändamålet med bilden/bilderna.

SKR:s samtyckesmall för bildpublicering, (PDF) Pdf, 288 kB.

Vägledning för att använda samtyckesmallen

Personuppgifter får behandlas om man har en rättslig grund. Samtycke är en av de sex olika rättsliga grunderna som återfinns i Dataskyddsförordningen (”GDPR”). SKR:s samtyckestextmall kan fungera som exempel på hur ett samtycke kan formuleras. SKR rekommenderar dock att samtyckestextens slutliga utformning alltid granskas av jurist eller motsvarande för att säkerställa att texten uppfyller GDPR:s krav i det enskilda fallet.

Den här vägledningen ska användas tillsammans med SKR:s samtyckestextmall. De gråa raderna i mallen indikerar att du ska fylla i anpassad information för den enskilda situationen. De punkter som mallen hänvisar till finner ni i denna vägledning under rubriken ”Vägledande punkter vid ifyllandet av SKR:s samtyckestextmall”. Nedan finns även grundläggande information i form av en checklista som ni bör läsa igenom innan ni fyller i mallen.

Samtyckets formkrav

GDPR uppställer krav för hur ett samtycke ska utformas och användas för att vara giltigt.

Frivilligt

  • Frivillighetskravet innebär att den som ska ge sitt samtycke har en faktisk möjlighet att tacka nej utan att påverkas negativt. En person ska utan problem kunna välja att inte samtycka samt kunna ta tillbaka sitt lämnade samtycke. Uppfylls inte frivillighetskravet bör ni fundera på om någon annan rättslig grund är tillämplig.
  • Om det föreligger obalans i maktförhållanden mellan den som ska samtycka och personuppgiftsansvarig (”PuA”) kan det innebära att det inte är ett frivilligt samtycke. Sådan obalans kan föreligga till exempel vid anställningsförhållanden eller i förhållanden mellan enskild och myndighet. Om ni vill läsa mer om frivillighetskravet har den så kallade Artikel 29-gruppen tagit fram en vägledning om samtycke enligt dataskyddsförordningen.

Vägledning om samtycke, Integritetsskyddsmyndigheten

  • Tjänster eller avtal som är beroende av samtycket kan i vissa fall inte anses uppfylla kravet på frivillighet.

Informativt

  • Att ett samtycke ska vara informativt innebär att innan en person lämnar sitt samtycke ska denne ha fått tillgång till tillräcklig information avseende vad det är personen samtycker till.
  • Tillräcklig information innebär att ni måste informera om vilka personuppgifter ni behandlar, vad ni har för ändamål/syfte med behandlingen, samtyckets giltighetslängd, information om hur personen kommer i kontakt med personuppgiftsansvarig, att personen har rätt att när som helst återkalla sitt samtycke samt rätt att begära rättelse, dataportabilitet, radering eller begränsning av de personuppgifter ni behandlar.
  • SKR:s samtyckestextmall kan fungera som exempel på hur informationskravet uppfylls.

Vara en aktiv handling (otvetydigt):

  • Det innebär att den som ska samtycka till en behandling aktivt måste samtycka till en behandling. Att låta det finnas en redan ikryssad box och texten ”jag samtycker”, eller att låta boxen för ”ja” redan vara ifylld är inte att betrakta som ett otvetydigt samtycke. Personen i fråga måste själv, aktivt, klicka i boxen. Därmed inte sagt att kryssbara boxar är den enda typen av aktivitet som utgör ett giltigt samtycke – boxarna är endast ett exempel på när samtycket är aktivt.

Är den som ska samtycka till personuppgiftsbehandling underårig?

  • Den som lämnar ett samtycke ska ha möjlighet att förstå innebörden av samtycket. När det gäller informationssamhällets tjänster till barn (till exempel söktjänster, onlineaktiviteter, olika tjänster på internet) måste den underåriga vara 13 år för att kunna samtycka till behandling av sina egna personuppgifter. Är personen under 13 år krävs samtycke från den som har föräldraansvaret över den underåriga.
  • För personuppgiftsbehandling som sker i annat fall (det vill säga inte för informationssamhällets tjänster till barn) krävs en bedömning av den underåriges förmåga att förstå handlingen. En sådan bedömning måste göras i varje enskilt fall.

Proposition om ny dataskyddslag, Regeringen

  • Vid osäkerhet bör ni rådfråga en jurist eller motsvarande.

Återkallande och er bevisbörda

Om ni anser att samtycke är den rättsliga grund som är aktuell måste ni ha i åtanke att:

  • Den registrerade har rätt att återkalla sitt samtycke. Tänk på att om ni anser att den registrerade inte kan återkalla samtycket bör ni fundera på om frivillighetskravet verkligen är uppfyllt. Ett återkallande innebär dock inte att den behandling ni har utfört fram till återkallandet är olaglig. Det är endast framtida behandling som blir olaglig.
  • Det är ni som har bevisbördan för huruvida ett giltigt samtycke finns eller inte. Det är därför bra om ni har interna rutiner/system som gör det möjligt för er att dokumentera att ett sådant samtycke finns. Att använda SKR:s samtyckesmall och ha interna system som möjliggör lagring av texten och den samtyckandes aktiva handling kan vara ett sätt att visa att ett samtycke finns.

Vägledande punkter vid ifyllandet av SKR:s samtyckestextmall

  1. Beskriv vilka personuppgifter det är som omfattas av den behandling ni ska göra. Ange även i vilka syften ni kommer att använda uppgifterna. Den som samtycker ska enkelt kunna förstå vad det är denne samtycker till. Exempel på formuleringar är ”Vi behöver ditt samtycke för att kunna xx.. , ”För att kunna xx behöver vi ditt samtycke att behandla xx”, eller motsvarande.
  2. Beskriv vem det är som samlar in personuppgifterna - dvs. kommer uppgifterna från personen som ska samtycka eller kommer de från något offentligt register, t.ex. Skatteverket.
  3. Ange den personuppgiftsansvariges information (namn och adress samt i tillämpliga fall organisationsnummer).
  4. Finns det någon tredje part som får tillgång till personuppgifterna? Det räcker att ni anger kategorier av mottagare, ill exempel ”företag inom samma koncern”, ”nämnder inom kommunen x”, eller ”Skatteverket”. Om ni inte delar personuppgifterna med någon annan skriver ni det istället det, till exempel genom formuleringen ”Vi delar inte dina personuppgifter med tredjepart” eller motsvarande. Har ni något personuppgiftsbiträde (”PuB”) som får del av informationen? I sådana fall bör ni skriva dit detta, till exempel genom formuleringen ”Även vårt personuppgiftsbiträde xxx har tillgång till dina uppgifter” eller motsvarande.
  5. Ange hur länge samtycket är giltigt - tillsvidare eller tidsbestämt (xx-xx-20xx).
  6. Ange kontaktuppgifter (e-postadress och/eller telefonnummer) till den som ska ta emot återkallanden.
  7. Ange dataskyddsombudets kontaktuppgifter (e-postadress och/eller telefonnummer).
  8. Det är inte obligatoriskt att ha kryssbara boxar. Detta är endast ett exempel på hur ett samtycke kan se ut i praktiken. Det viktiga är att samtycket utgör en aktiv handling och att ni på något sätt kan spara samtycket.
  9. Detta gäller endast om uppgifter överförs till tredje land, till exempel genom att CRM-systemet har server i land utanför EU/ESS. Om ingen tredjelandsöverföring kommer att ske kan ni ta bort detta stycke.
  • Om tredjelandsöverföring är aktuellt i ert fall bör ni informera om detta, till exempel genom att skriva ”vi överför dina personuppgifter till x land”, ”vårt CRM system har server i land utanför EU/EES, det innebär att dina uppgifter överförs till tredje land”, eller motsvarande.
  • Ni bör även informera om huruvida ett beslut från EU-kommissionen om, adekvat skyddsnivå finns eller saknas.

Information om adekvat skyddsnivå, Integritetsmyndigheten

  • Om ett beslut om adekvat skyddsnivå saknas bör ni informera om huruvida ni har vidtagit lämpliga säkerhetsåtgärder, till exempel genom bindande företagsbestämmelser till skydd för behandlingen.

Lämpliga skyddsåtgärder, Integritetsmyndigheten

  • Om ingetdera av ovan finns krävs som huvudregel samtycke för att kunna överföra uppgifter till land utanför EU/EES. Ett sådant samtycke ska särskiljas från övriga samtycken så att den registrerade enkelt och tydligt förstår vilka olika behandlingar denne samtycker till.

Modellavtal

Det är viktigt att använda mallen som ett arbetsdokument och du kommer att behöva anpassa mallen. Läs mer om modellavtal under frågor och svar.

Mall för modellavtal (Word, nytt fönster) Word, 25 kB.

Frågor och svar

  • När bör modellavtal användas i stället för samtycke?

    Fråga

    1. Vad är skillnaden på modellavtal och samtycke och när använder man vad?
    2. Om man har samtyckt till att vara med i en tryckt publikation. Kan man sedan, när publikationen är tryckt, ta tillbaka sitt samtycke? Är det i dessa fall bättre att skriva avtal?

    Svar

    1. Ett modellavtal används för någon som ställer upp som modell
      (används ofta av en professionell fotograf mot betalning). Grunden är att det
      ska finnas ett tecknat modellavtal, det vill säga ett affärsmässigt avtal att hänvisa till.
    2. I dessa fall kan ni använda ett modellavtal istället för samtycke.

    Modellavtal är ett avtal där modellen får betalt för att bilden tas och att modellen går med på att bilden får användas för publicering på de sätt och i de kanaler anges i avtalet. Det är det som ersättningen avser.

    Om det inte utgår någon ersättning så är det inte ett avtal utan då handlar det om samtycke enligt PuL/GDPR. Handlar det om användning bara i grundlagsskyddade medier, (t ex publicering i en bok eller tidning som utges) så faller hela hanteringen under undantaget som gäller grundlagsskyddade medier. Se art 85 GDPR samt 1 kap 4 § förslaget till dataskyddslag.

    Att kommunen/regionen publicerar bilden på sin webbplats är det är en del av verkställigheten av modellavtalet, om det har skrivits på rätt sätt.

Läs vidare

Frågor och svar om GDPR för kommunikatörer

Informationsansvarig

  • Pål Resare
    Förbundsjurist

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.

Så hanteras ditt ärende