Samtycke enligt avtal – hur långt sträcker sig det?

Den kanske viktigaste principen i förordningen är att krävs uttalat samtycke för att en persons uppgifter ska kunna bli föremål för registrering (behandling). Lagtekniskt är det löst så att över huvud taget endast laglig registrering är tillåten (artikel 5 1.), där rekvisitet laglig (artikel 6) innefattar att den registrerade har gett sitt samtycke att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Ett särskilt samtycke krävs dock inte om behandlingen är nödvändig för att fullgöra en avtalsförpliktelse (art 6 1. b)

Om det föreligger en avtalad förpliktelse mellan parterna att en tjänst ska utföras, till exempel en försäkringstjänst, ligger det i saken natur att försäkringsbolaget får behandla nödvändiga personuppgifter för att fullfölja sina åtaganden. I det fallet kan samtycket i någon mening sägas vara underförstått. Vissa uppgifter krävs för att ena parten ska kunna utföra det som åligger dem enligt avtalet. En annan sak är hur långt det här underförstådda samtycket sträcker sig, vilka uppgifter och vilken behandling det täcker.

Här är förordningen mycket restriktiv och anger att det är endast nödvändig behandling (för att fullgöra avtalet) som täcks in, d.v.s. faller behandlingen inom det avtalade syftet. Olika typer av efterbearbetningar kommer därför i många fall at träffas av förbudet. Det här innebär att det kommer att krävas särskilt samtycke för till exempel statistikkörningar, profileringar, bearbetning i Business Intelligence-syfte, säljerbjudanden och liknande. Insamlad kunddata är i många fall grunden för nya och förfinade affärsmodeller, men det är det inte så självklart längre. En möjlig väg ut ur detta skulle kunna vara att det tydligt och klart framgår av avtalet att den avtalade tjänsten även innefattar sådan bearbetning. Förmodligen kommer det dock att krävas att särskilda samtycken hämtas in i de här fallen.