Hej!

Tack för att ni vänder er till LegalBuddy med er fråga som berör hanteringen av personliga uppgifter. Enligt GDPR får behandling av personuppgifter endast ske med stöd av en rättslig grund. Samtycke är en av dessa grunder men i det här fallet är det inte lämpligt att stödja sig på eftersom det bland annat måste finnas ett jämbördigt förhållande mellan parterna och ett alternativ att inte samtycka. Visserligen kräver SMS-utskick som sker i marknadsföringssyfte samtycke, men i det här fallet rör det sig om en bekräftelse på att ett avtalsförhållande upphört, det vill säga att läkarbesöket avbokats.

En mer lämplig rättslig grund enligt GDPR är själva avtalet som vårdgivaren redan har med patienten. Enligt det avtalet behöver det framgå att vårdgivaren har en tredje part som är personuppgiftsbiträde och därmed agerar å vårdgivarens vägnar. Därutöver ska det finnas ett biträdesavtal mellan vårdgivaren och den tredje parten eftersom det finns en extern part som hanterar personuppgifter åt vårdgivaren.

Sammanfattningsvis är svaret på er fråga nej, avtalet är en tillräcklig grund för att skicka SMS-bekräftelsen. Den tredje parten bör inte be patienten om något samtycke vid avbokningen eftersom personuppgiftshanteringen sker med stöd av avtalet. Hoppas svaret gav er vägledning. Ni är välkomna att höra av er med ytterligare frågor till oss på LegalBuddy!