Videre til indhold
Lønmodtager
Selvstændig
Studerende
Asbjørn MØD
Søg
Bliv medlem
Bliv medlem

Samtykke som behandlingsgrundlag

Der er flere situationer, hvor det kan være nødvendigt at indhente et samtykke for, at du gyldigt kan behandle personoplysninger. Men hvornår er et samtykke gyldigt, og hvilke konsekvenser har det, hvis et samtykke bliver trukket tilbage? Det kan du læse mere om i denne artikel, hvor der sættes fokus på, hvornår der foreligger et gyldigt samtykke, og hvad retsvirkningerne er, hvis et samtykke efterfølgende trækkes tilbage. 

Publiceret: 08. december 2025

Kravene til et samtykke 

Det fremgår af databeskyttelsesforordningens artikel 7, at et samtykke alene anses for gyldigt, hvis det er: 

  • frivilligt,
  • specifikt,
  • informeret og
  • er en utvetydig viljetilkendegivelse fra den registrerede. 

Er der tale om behandling af blandt andet følsomme oplysninger efter artikel 9, gælder der yderligere skærpende krav om, at samtykket skal være udtrykkeligt.
 

Tidspunkt for indhentning af samtykke 

Den registreredes samtykke skal være på plads, inden du som dataansvarlig påbegynder behandling af de oplysninger, som samtykket angår.
 

Særskilt samtykke, hvis en databehandling af personoplysninger tjener flere formål 

Hvis du som dataansvarlig ønsker at behandle personoplysninger til flere formål, skal de registrerede frit kunne vælge, hvilke formål de samtykker til. Kravet om opdelt samtykke er tæt forbundet med både kravet om, at et samtykke skal være specifikt og frivilligt. 

Et samtykke betragtes ikke som afgivet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger og dermed tvinges til at samtykke til samtlige formål. Samtykket skal altså opdeles. 

Hvis en behandling af oplysninger tjener flere formål, skal du indhente et særskilt samtykke for hvert enkelt formål, som skal behandles på grundlag af den registreredes samtykke. 

Du skal derfor tilbyde den registrerede mulighed for at samtykke til et formål, men undlade at samtykke til andre formål. Rent praktisk kan dette ske f.eks. i form af en samlet erklæring, hvor den registrerede kan markere, hvilke formål vedkommende vil acceptere, at der behandles oplysninger til. 

Minimumskrav til indhold af samtykke 

Selve informationen, der gives til den registrerede i forbindelse med indhentelse af samtykke, skal som minimum bestå af oplysninger om: 

  • den dataansvarliges identitet,
  • formålet med den påtænkte behandling,
  • hvilke oplysninger der behandles, og
  • retten til at trække samtykket tilbage. 

Vær opmærksom på, at kravet om information ved afgivelse af samtykke falder sammen med din almindelige – og mere omfattende – oplysningsforpligtigelse som dataansvarlig. 

 

Retten til at trække samtykket tilbage 

Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage. Det er din opgave som dataansvarlig at sikre, at de registrerede kan trække deres samtykke tilbage på en enkel og lettilgængelig måde. Det skal være lige så let at trække sit samtykke tilbage som at give det, men det er ikke et krav, at tilbagekaldelse skal ske på samme måde, som samtykket oprindeligt er givet. 

Hvis et samtykke f.eks. indhentes ved et enkelt museklik, bør den registrerede kunne tilbagekalde sit samtykke på tilsvarende enkel måde. 

 

Er samtykke rette behandlingsgrundlag? 

Det er afgørende, at du som dataansvarlig gør dig klart, om samtykke vil være det mest passende behandlingsgrundlag, eller om det vil være mere hensigtsmæssigt at støtte behandlingen af den registreredes oplysninger på et andet grundlag. Du bør bl.a. overveje, om det reelt vil være muligt for den registrerede at trække sit samtykke tilbage, og hvilke konsekvenser det vil have. 

Hvis f.eks. samtykke anvendes i den forkerte situation, kan det nemlig få den registrerede til at tro, at de kan tilbagekalde samtykket og dermed undgå behandlingen, hvilket jo ikke vil være tilfældet, hvis behandlingen i stedet for støttes på, at den dataansvarlige har en juridisk forpligtelse til at behandle oplysninger. Et klassisk eksempel herpå kunne være, hvis du som selvstændig indhenter samtykke til at kunne behandle medarbejderes personnumre til håndtering af lønudbetaling. Selvom behandlingen af personnumre oftest kun kan ske efter indhentelse af samtykke, vil det ikke være tilfældet her, da du rent faktisk er forpligtet til at indhente og anvende medarbejderes personnummer ved den skattemæssige håndtering af lønudbetalingen. Det vil derfor være forkert at anvende et samtykke som grundlag i et sådant tilfælde.  

Datatilsynet har udarbejdet en vejledning om samtykke. Derudover indeholder vejledningen en tjekliste, som du kan bruge som rettesnor for, om et samtykke opfylder kravene efter databeskyttelsesforordningen eller ej.

Læs Datatilsynets vejledning om samtykke

I Datatilsynets vejledning indgår i øvrigt en tjekliste, som du med fordel kan bruge som rettesnor for, om et samtykke er gyldigt efter gældende regler og dermed kan anvendes som grundlag for behandling af personoplysninger. 

 

Artiklen er udarbejdet af vores samarbejdspartner Selskabsadvokaterne.

Hjælp os til at blive bedre

Fandt du det, du søgte?