Startsida

Villkor för samtycke – skydda ditt fastighetsintresse

Villkor för samtycke – skydda ditt fastighetsintresse

18 NOVEMBER 2025

Många fastighetsägare och bostadsrättsföreningar kämpar med att förstå när de behöver samtycke för att behandla personuppgifter. GDPR kräver att samtycke ska vara frivilligt och den registrerade måste ha full kontroll över sina uppgifter.

Den här artikeln visar dig exakt vilka villkor som gäller för giltigt samtycke och hur du skyddar både ditt fastighetsintresse och andras integritet. Rätt kunskap kan rädda dig från dyra juridiska problem.

Sammanfattning

  • Samtycke måste vara frivilligt, aktivt och otvetydigt – förifyllda kryssrutor eller automatisk medgivande fungerar inte enligt GDPR.
  • Du kan återkalla ditt samtycke när som helst, och processen ska vara lika enkel som att ge samtycket.
  • Barn under 13 år kan inte ge giltigt samtycke – vårdnadshavare måste istället lämna samtycke för digitala tjänster.
  • Samtycke blir ogiltigt vid ojämlika maktförhållanden, som mellan hyresvärd och hyresgäst eller myndighet och medborgare.
  • Du har rätt till dataportabilitet och att bli bortglömd – organisationer måste radera dina uppgifter inom 30 dagar.

Vad betyder samtycke inom fastighetsförvaltning?

Samtycke inom fastighetsförvaltning betyder att du som person uttryckligt godkänner behandling av personuppgifter. Detta godkännande fungerar som en rättslig grund för fastighetsförvaltare att hantera din information.

Samtycke står vid sidan av andra rättsliga grunder som avtal, rättslig förpliktelse och berättigat intresse. Aktivt samtycke krävs alltid, vilket innebär att du medvetet måste kryssa i en ruta eller tydligt säga ja.

Fastighetsförvaltare använder samtycke vid registrering och intresseanmälan för bostäder. Kreditupplysningar kräver också ditt uttryckliga godkännande. Insamling av adresser till nyhetsbrev bygger på samtycke från mottagarna.

Förifyllda kryssrutor är inte tillåtna enligt gällande regler. Syftet med personuppgiftsbehandling måste alltid tydliggöras och dokumenteras ordentligt. Du kan ge samtycke skriftligt, muntligt eller elektroniskt beroende på situationen.

Samtycke måste vara aktivt och otvetydigt för att vara giltigt enligt dataskyddsförordningen.

Villkor för giltigt samtycke

Giltigt samtycke bygger på tre grundpelare som alla måste vara på plats för att dina personuppgifter ska behandlas lagligt. Utan dessa villkor riskerar du att förlora kontrollen över din integritet, vilket kan få allvarliga konsekvenser för ditt fastighetsintresse.

Hur säkerställs att samtycket är frivilligt?

Frivilligt samtycke kräver att den registrerade kan välja fritt utan påtryckningar eller negativa konsekvenser. GDPR förbjuder att koppla samtycke till andra tjänster som ett paket.

Du får inte kräva samtycke som villkor för att få hyresavtal eller andra tjänster, om det inte är nödvändigt för tjänstens funktion. Verklig valfrihet betyder att du kan säga nej utan att det påverkar dina möjligheter att få den tjänst du söker.

Samtycke måste vara ett aktivt val från den registrerade. Förifyllda kryssrutor eller automatisk medgivande fungerar inte enligt dataskyddsförordningen. Om återkallelse av samtycke leder till negativa konsekvenser blir hela samtycket ogiltigt.

Samtyckesformulär ska vara tydliga och enkla att förstå. Personuppgifter får bara behandlas när samtycket verkligen är frivilligt givet, utan press eller hot om sämre behandling.

Hur kan registrerade dra tillbaka sitt samtycke?

Registrerade kan dra tillbaka sitt samtycke när som helst. Processen ska vara lika enkel som när samtycket gavs från början. Organisationen måste tydligt informera om hur samtycke återkallas.

GDPR kräver att återkallelse inte får vara svårare än att ge samtycket. Negativa konsekvenser får inte uppstå för den registrerade efter återkallelse.

Om återkallelse är svårt att genomföra anses samtycket ogiltigt enligt GDPR.

Särskilt viktigt blir återkallelse vid barns samtycke, där extra försiktighet krävs. Efter återkallelse får personuppgifter inte längre användas för det syfte samtycket gällde.

Behandling av uppgifterna måste upphöra omedelbart. Personuppgifter ska raderas, om inte lag kräver fortsatt behandling. Organisationen ansvarar för att informera tydligt om återkallelseprocessen redan från början.

Vilka är kraven på jämlika maktförhållanden?

Maktbalans spelar en avgörande roll för att samtycke ska vara giltigt. Samtycke blir ogiltigt vid ojämlika maktförhållanden, till exempel mellan myndighet och medborgare eller arbetsgivare och anställd.

Hyresvärd gentemot hyresgäst skapar också problematisk ojämlikhet, särskilt om det påverkar tillgång till boende. Organisationen måste bevisa att samtycke gavs frivilligt utan påtryckning eller beroendeställning.

Jämlikhet kräver att registrerade kan säga nej utan rädsla för repressalier eller förlust av tjänst. Frivillighet försvinner om personen känner sig tvungen att samtycka på grund av sin situation.

Maktförhållandet måste vara jämlikt för att samtycke ska fungera som rättslig grund. Finns ojämnt maktförhållande ska annan rättslig grund användas istället. Giltighet förutsätter att båda parter står på lika villkor utan risk för negativa konsekvenser.

Låt oss nu titta på när samtycke faktiskt är lämpligt att använda i olika situationer.

När är samtycke lämpligt att använda?

Att veta när samtycke är rätt verktyg för din bostadsrättsförening kan vara skillnaden mellan juridisk trygghet och potentiella problem – läs vidare för att upptäck de avgörande situationerna där samtycke faktiskt fungerar som ditt starkaste skydd.

När ska samtycke ges vid registrering och intresseanmälan?

Samtycke krävs vid registrering av intresse för bostad hos HFAB. Du måste ge ditt godkännande innan företaget samlar in dina personuppgifter. Detta gäller namn, personnummer, adress, telefonnummer och e-postadress.

Kreditupplysning kräver också ditt samtycke före genomförandet. Företaget informerar dig om syftet vid insamling av personuppgifter för intresseanmälan.

Kontaktuppgifter används vid erbjudande om lägenhet och vid flytt efter ditt samtycke. Personuppgifter skickas till kreditupplysningsföretag vid ansökan om hyresavtal. Bankkontonummer samlas in efter samtycke vid autogirohantering.

Samtycke dokumenteras vid varje registrering och intresseanmälan för att skydda dina rättigheter. Personuppgifter sparas så länge registrering eller avtal gäller, max 2 år efter avslut om inte lag kräver längre lagring.

Hur används samtycke vid uppdateringar via e-post?

Kommunala nämnder kan erbjuda e-postprenumeration baserat på frivilligt samtycke. Den registrerade anger sin e-postadress aktivt och kryssar i en ruta för nyhetsbrev. Förifyllda rutor är inte tillåtna vid e-postprenumeration.

Frivillighet står i centrum för all behandling av personuppgifter via e-post.

Syftet med informationsutskick ska vara tydligt specificerat vid samtyckesinsamling. Namn och e-postadress samlas in för nyhetsbrev eller informationsutskick. Avregistrering ska vara enkel och tillgänglig när som helst.

Ändrat syfte kräver nytt samtycke och information till mottagaren. Tydlighet och sekretess säkerställer korrekt behandling av uppgifter.

När krävs samtycke för kamerabevakning?

E-postuppdateringar kräver ofta samtycke, men kamerabevakning följer andra regler. Samtycke för kamerabevakning krävs bara i specifika situationer, inte för all övervakning.

HFAB hanterar kamerabevakning i fastigheter utan samtycke eftersom syftet är brottsförebyggande. Skyltar informerar om kamerabevakning i de aktuella fastigheterna. Kameraupptagningar hanteras endast av HFAB:s anställda och delas endast vid lagkrav.

Samtycke krävs dock om kamerabevakningen sker för andra syften än brottsförebyggande, eller vid frivillig övervakning. Personuppgifter från kamerabevakning lagras enligt lag och endast så länge det finns ett behov.

Registrerade informeras om kamerabevakningens syfte och omfattning vid insamling.

När är samtycke inte lämpligt?

Samtycke fungerar inte alltid som rättslig grund för behandling av personuppgifter. Ibland skapar det obalans mellan dig och fastighetsförvaltaren, vilket gör andra rättsliga grunder mer lämpliga.

Varför är samtycke olämpligt vid krav på app med GPS?

Mobilapplikationer som kräver GPS-tillgång för marknadsföringssyfte bryter mot GDPR:s regler om frivilligt samtycke. GPS-data för marknadsföring är inte nödvändigt för appens huvudfunktion.

Användaren hamnar i en omöjlig situation, de måste välja mellan att dela sin position eller förlora tillgången till tjänsten helt. Detta skapar ett tvingande val som gör samtycket ogiltigt enligt dataskyddsförordningen.

Äkta frivilligt samtycke kräver att användaren kan neka utan påföljder. Appens tjänstefunktioner måste fungera fullt ut även om användaren säger nej till GPS-spårning för marknadsföring.

Förifyllda kryssrutor eller automatiska val räknas inte som giltigt samtycke. Syftet med GPS-data måste vara specifikt och separat från andra syften, vilket innebär att marknadsföring och appfunktioner måste behandlas som olika ändamål vid behandling av personuppgifter.

Vad händer om registrerade inte kan neka utan påföljder?

Samtycke blir ogiltigt enligt GDPR om registrerade inte kan neka utan negativa konsekvenser. Påtryckningar eller sanktioner vid vägran gör samtycket värdelöst från början. Den registrerade ska aldrig drabbas av försämrade villkor eller förlora tjänster när de säger nej till dataskydd-förfrågningar.

Organisationen måste säkerställa att ingen negativ behandling sker vid avslag på samtycke. Paketering av samtycke med andra tjänster bryter mot reglerna. Avtal får inte kräva samtycke om det inte är nödvändigt för avtalets genomförande.

Rättigheter för registrerade inkluderar frihet att välja utan rädsla för sanktioner eller försämrad service.

Hur skyddas personuppgifter med samtycke?

Personuppgifter kräver stark skydd när du använder samtycke som rättslig grund för behandling. Tydlig information om syftet, korrekt dokumentation och begränsad åtkomst bildar grundpelarna i ett effektivt dataskydd.

Vilken information måste ges om syftet med behandlingen?

Syftet med personuppgiftsbehandling måste tydliggöras och dokumenteras vid insamling. Du som personuppgiftsansvarig ska vara kristallklar med varför du samlar in uppgifterna. Otydliga syften duger inte, separata samtycken krävs för olika ändamål.

Registrerade ska informeras om sina rättigheter, vilken part som samlar in uppgifterna, typ av personuppgifter, syftet och möjligheten att återkalla samtycket.

Vid ändrat syfte krävs nytt samtycke och information till den registrerade. Automatiserat beslutsfattande eller profilering kräver särskild information och uttryckligt samtycke.

Kontaktuppgifter till din organisation och dataskyddsombud måste också lämnas. Överföring av personuppgifter utanför EU/EES kräver särskilt stöd och tydlig dokumentation av samtycket.

Hur dokumenteras samtycket korrekt?

Dokumentation av samtycke kräver noggrann registrering av hur, när och vilken information som gavs till den registrerade. Organisationen måste bevisa att samtycke var giltigt och informerat vid begäran från tillsynsmyndigheter.

Samtyckesformulär ska innehålla tydlig information om syftet med behandlingen och hållas separerade från övriga avtalsvillkor. Förifyllda kryssrutor eller tystnad räknas aldrig som giltigt samtycke enligt GDPR.

Dokumentationen ska visa att samtycke gavs frivilligt, aktivt och för ett specifikt syfte. Vid barns samtycke krävs extra dokumentation av ålderskontroll och förälders medgivande när det behövs.

Metoder för samtyckesinsamling måste granskas och uppdateras kontinuerligt för att säkerställa transparens. EDPB:s riktlinjer 05/2020 om samtycke ger vägledning för korrekt dokumentation och personuppgiftsskydd.

Hur begränsas åtkomsten till personuppgifter?

Endast behörig personal får hantera personuppgifter enligt interna rutiner. Huge vidtar tekniska och organisatoriska skyddsåtgärder mot obehörig åtkomst, spridning eller förlust.

Åtkomst till bildbanker och personuppgiftsregister är begränsad och skyddad. Kameraupptagningar hanteras endast av HFAB:s anställda och delas endast vid lagkrav.

Personuppgiftsbiträdesavtal reglerar åtkomst vid delning med tredje part. Personuppgifter får endast delas med felavhjälpsföretag eller säkerhetsleverantörer om det är nödvändigt.

Utlämning till tredjeland sker endast till länder med adekvat skyddsnivå enligt EU. Personuppgifter blockeras för vissa syften om radering inte är möjlig på grund av lag.

Samtycke för barn och särskilda krav

Barn under 13 år kan inte ge giltigt samtycke för behandling av personuppgifter. Vårdnadshavare måste istället lämna samtycke för alla digitala tjänster som samlar in barnets information.

Vilka krav ställs på barns samtycke?

Informationssamhällets tjänster som sociala medier, spel och appar får ges direkt till barn över 13 år i Sverige. Dessa barn kan själva ge sitt samtycke för personuppgiftsbehandling.

Vid behandling av barn under 13 år krävs föräldrars samtycke för personuppgiftsbehandling. Organisationen ska kontrollera att samtycke ges av rätt person med föräldraansvar.

GDPR ställer stränga krav på informationens utformning för giltigt samtycke från barn.

All information till barn ska vara tydlig, enkel och anpassad till barnets ålder. Kontroll av ålder och inhämtning av samtycke dokumenteras särskilt vid barns behandling. Rådgivningstjänster till barn kräver inget föräldrasamtycke.

Detta respekterar barns rätt till självbestämmande, yttrande- och informationsfrihet. Föräldraansvar spelar en central roll i skyddet av yngre barns personuppgifter.

Hur fungerar rådgivande tjänster till barn?

Rådgivande tjänster till barn fungerar enligt särskilda regler som skyddar barnets integritet och självbestämmande. Barn kan själva kontakta organisationer som Bris utan att behöva föräldrarnas samtycke först.

Dessa tjänster omfattar stöd, hjälp och information som riktar sig direkt till barn och unga som behöver rådgivning.

Organisationer som erbjuder rådgivning måste ge tydlig och begriplig information om hur de behandlar personuppgifter. Barns ålder och mognad spelar en viktig roll när tjänsterna utformas och information samlas in.

Sekretess och integritetsregler gäller extra starkt för dessa verksamheter, vilket betyder att barnets personuppgifter får extra skydd. Barn har rätt att förstå exakt hur deras uppgifter används, och organisationen måste anpassa sin kommunikation så att varje barn kan förstå informationen.

Dina rättigheter som registrerad

Du har starka rättigheter när det gäller dina personuppgifter inom fastighetsförvaltning. Dessa rättigheter ger dig kontroll över hur dina uppgifter behandlas, och du kan använda dem för att skydda ditt fastighetsintresse.

Hur återkallar du ditt samtycke?

Att återkalla ditt samtycke är enklare än många tror. Processen ska vara lika enkel och tydlig som att lämna samtycke från början. Organisationen måste informera dig om hur återkallelse går till vid insamling av samtycke.

Ingen negativ konsekvens får uppstå för dig som registrerad. Information om återkallelsemöjlighet ska alltid finnas tillgänglig.

Efter återkallelse används dina personuppgifter inte längre för det syfte samtycket gällde. Uppgifterna måste raderas eller blockeras, såvida inte lag kräver fortsatt behandling.

Samtycke kan när som helst återkallas av dig som registrerad. Organisationen ska säkerställa att återkallelsen är lätt att genomföra för alla registrerade.

Vad innebär rätten att bli bortglömd?

Rätten att bli bortglömd ger dig makten att begära radering av dina personuppgifter från register. Du kan kräva att organisationer tar bort alla uppgifter om dig när syftet med behandlingen upphört, du återkallat ditt samtycke, eller gjort invändning mot behandlingen.

Radering gäller även bilder och filmer där du är identifierbar. Organisationen måste hantera din begäran inom 30 dagar och informera dig om processen för borttagning.

Vissa uppgifter kan dock inte raderas om lagen kräver fortsatt behandling, men då blockeras de för andra syften. Dataskydd innebär att dina rättigheter respekteras även efter att du lämnat en tjänst eller dragit tillbaka ditt samtycke.

Begäran om radering gäller också vid invändning mot behandling som baseras på berättigat intresse. Denna rättighet stärker din kontroll över hur organisationer hanterar dina personuppgifter.

Hur fungerar rätten till dataportabilitet?

Dataportabilitet ger dig som registrerad rätt att få ut dina personuppgifter i ett strukturerat, maskinläsbart format. Du kan begära att få dina digitala uppgifter överförda direkt till en annan personuppgiftsansvarig om det är tekniskt möjligt.

Denna rättighet gäller bara för uppgifter som du lämnat med samtycke eller genom ett avtal. Elektroniska register och digitala uppgifter omfattas av dataportabilitet, medan uppgifter med annan rättslig grund inte gör det.

Organisationen måste informera dig om möjligheten till dataportabilitet redan vid insamling av personuppgifter. Du kan använda din rätt utan att betala något. Begäran om överföring ska hanteras inom 30 dagar enligt dataskyddsförordningen.

Fastighetsbolag ska därför ha rutiner för att hantera sådana förfrågningar snabbt och effektivt. Nu ska vi titta på hur du faktiskt återkallar ditt samtycke.

Slutsats

Samtycke fungerar som din digitala säkerhetsbälte i fastighetsvärlden. Du har makten att bestämma vad som händer med dina personuppgifter, precis som du styr över din egen bostad.

GDPR ger dig verktyg att skydda ditt fastighetsintresse genom tydliga regler för behandling av känsliga uppgifter. Bostadsrättsföreningar måste respektera dina val, och du kan alltid ändra dig om omständigheterna förändras.

Ditt skydd börjar med att förstå dina rättigheter, så använd dem klokt.