Hoppa till innehåll
CompliantHQ

Samtycke i formulär — förikryssade rutor, buntade ja och vad GDPR kräver

En förikryssad ruta för nyhetsbrevet. Ett enda kryss som godkänner både villkoren och marknadsföringen. En rad ovanför skicka-knappen om att inskicket "även innebär samtycke till utskick". Tre vanliga formulärmönster — och inget av dem samlar in giltigt samtycke. GDPR ställer konkreta krav på hur ett ja i ett formulär får se ut, och de flesta bristerna är enkla att åtgärda när man väl ser dem.

GDPR art. 4.11 · 7GDPR art. 13

Vad säger lagen?

GDPR definierar samtycke som en frivillig, specifik, informerad och otvetydig viljeyttring, genom ett uttalande eller en entydig bekräftande handling (artikel 4.11). Varje ord gör jobb: frivillig betyder ett verkligt val, specifik betyder ja till en avgränsad sak, och otvetydig bekräftande handling betyder att besökaren själv måste göra något aktivt.

Det är den sista delen som fäller den förikryssade rutan. EU-domstolen slog fast i Planet49-domen (C-673/17, 2019) att en ruta som redan är ikryssad inte är en bekräftande handling — att låta ett kryss stå kvar är inte att göra någonting. Samtycket är ogiltigt, oavsett hur tydlig texten bredvid rutan är.

Frivilligheten har en egen regel: enligt artikel 7.4 ska största hänsyn tas till om ett avtal eller en tjänst villkorats av samtycke som inte behövs för tjänsten. Buntar du ihop "jag godkänner villkoren" med "jag vill ha nyhetsbrevet" i samma kryss tvingas två olika ja ihop — den som vill skicka formuläret måste tacka ja till utskicken, och då är samtycket till nyhetsbrevet inte längre frivilligt.

"Genom att skicka godkänner du…" — underförstått samtycke

En besläktad variant är texten vid skicka-knappen: "genom att skicka formuläret godkänner du även marknadsföringsutskick". Att trycka på skicka betyder "leverera mitt ärende" — texten bredvid kan inte omtolka samma knapptryck till att också betyda ja till något annat. Det är inget aktivt, specifikt val, och därmed inget giltigt samtycke.

Notera skillnaden mot ett rent nyhetsbrevsformulär: där är själva anmälan samtycket till nyhetsbrevet — det är precis det besökaren ber om. Problemet uppstår först när inskicket görs till samtycke för något utöver formulärets eget syfte.

Information när uppgifterna samlas in

GDPR kräver också att informationen om behandlingen lämnas när uppgifterna samlas in (artikel 12 och 13) — inte i efterhand, och inte bara på en policysida tre klick bort. För ett webbformulär betyder det i praktiken en länk till integritetspolicyn i formulärets närhet, så att besökaren kan läsa innan hen skickar in.

Syftet med insamlingen bör dessutom framgå redan vid formuläret. För många formulär säger sammanhanget allt — ett kontaktformulär finns för att du ska få svar. Men när syftet inte är självklart, till exempel ett fält för personnummer utan förklaring, behövs en kort mening vid formuläret. Och varje formulärs insamling ska ha ett motsvarande ändamål beskrivet i policyn — inte bara de uppgifter som var aktuella när policyn skrevs.

Vanliga brister vi ser

  • Nyhetsbrevsrutan är förikryssad — besökaren måste aktivt kryssa ur för att slippa, vilket är precis det mönster Planet49-domen underkände.
  • Ett enda kryss täcker både villkorsgodkännande och nyhetsbrev — den som vill komma vidare tvingas tacka ja till utskicken.
  • Text vid skicka-knappen i stil med "genom att skicka godkänner du även att vi kontaktar dig med erbjudanden" — inskicket omtolkas till ett samtycke besökaren aldrig gett.
  • Formuläret samlar in namn och e-post men saknar länk till integritetspolicyn i sin närhet.
  • Uppgifter samlas in för ett syfte som varken framgår vid formuläret eller finns beskrivet i policyn.

Så testar CompliantHQ det här

Skannern kontrollerar deterministiskt två saker: att inga samtyckesrutor i formulären är förikryssade vid sidladdning, och att formulär som samlar in personuppgifter har en länk till integritetspolicyn i sin närhet. Båda flaggas direkt om de brister.

Ovanpå det läser vår compliance-AI formulären och policyn tillsammans och bedömer det en ren kodgranskning inte ser: om ett kryss buntar ihop flera olika ja, om text vid formuläret gör inskicket till samtycke för något annat, om varje formulärs insamling har ett motsvarande förklarat ändamål i policyn, och om syftet framgår redan vid formuläret när sammanhanget inte gör det självklart. AI-bedömningarna redovisas alltid som just bedömningar — aldrig som konstaterade överträdelser — så att du själv stämmer av mot ditt formulär innan du agerar.

Samtliga kontroller ingår redan i provperioden.

Så åtgärdar du

  • Låt alla samtyckesrutor vara tomma som standard — besökaren kryssar i själv.
  • En ruta per ja: villkorsgodkännande för sig, nyhetsbrev för sig, eventuell delning med tredje part för sig.
  • Ta bort formuleringar om att inskicket "även innebär" samtycke till något annat — ersätt med en egen, oikryssad kryssruta för det ändamålet.
  • Lägg en länk till integritetspolicyn intill varje formulär som samlar in personuppgifter.
  • Förklara syftet vid formuläret när det inte är självklart av sammanhanget, och se till att policyn beskriver ändamålet för varje formulärs insamling.

Det här ingår i granskningen

  • Att samtyckesrutor i formulär (nyhetsbrev, marknadsföring) inte är förikryssade — ett förikryssat samtycke är ogiltigt.
  • Att formulär som samlar personuppgifter har en länk till integritetspolicyn i sin närhet.
  • AI:n granskar att en kryssruta inte tvingar ihop flera olika ja — till exempel ett enda kryss för både villkoren och nyhetsbrevet.
  • AI:n granskar text vid formulär som påstår att inskicket samtidigt är samtycke till annat — "genom att skicka godkänner du även utskick" är inte giltigt samtycke.
  • AI:n kontrollerar att varje formulär som samlar personuppgifter har ett motsvarande förklarat syfte i policyn.
  • AI:n bedömer om det framgår varför uppgifterna samlas in redan vid formuläret — inte bara djupt inne i policyn.

Vanliga frågor

Är en förikryssad samtyckesruta giltig enligt GDPR?

Nej. EU-domstolen slog fast i Planet49-domen (C-673/17) att en förikryssad ruta inte är en bekräftande handling — samtycke kräver att besökaren själv aktivt kryssar i rutan.

Får jag bunta villkorsgodkännande och nyhetsbrev i samma kryssruta?

Nej. Villkoren behövs för tjänsten, nyhetsbrevet gör det inte — buntas de ihop tvingas besökaren tacka ja till utskicken för att alls komma vidare, och då är samtycket till nyhetsbrevet inte frivilligt (artikel 7.4).

Räcker texten "genom att skicka formuläret godkänner du marknadsföring"?

Nej. Att trycka på skicka betyder att leverera ärendet — det är inte ett aktivt, specifikt ja till något annat. Vill du ha samtycke till marknadsföring behövs en egen, oikryssad ruta för just det.

Måste varje formulär länka till integritetspolicyn?

Informationen om behandlingen ska vara lättillgänglig när uppgifterna samlas in (artikel 12 och 13). Det enklaste sättet att uppfylla det för ett webbformulär är en policylänk i formulärets närhet — det är också vad vår skanner letar efter.

Vill du se vad vi hittar på din webbplats?

Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.

Starta gratis skanningSe priser

Fler fördjupningar