Ett samtycke är en uttrycklig handling genom vilken en person (den registrerade) aktivt godkänner att en personuppgiftsansvarig uppgift om det registrerade. Ett samtycke till behandling av personuppgift kan behövas när känsliga personuppgifter samlas in och/eller när insamlade personuppgifter kommer att behandlas för ett ändamål som den registrerade inte rimligen kan förvänta sig.

Med känsliga personuppgifter menas bl.a. uppgifter om personens hälsa, etnicitet, sexuella läggning, politiska åsikter och religiösa övertygelser. Med behandling menas alla åtgärder som vidtas med personuppgifterna, exempelvis insamling, lagring, bearbetning eller reklamutskick.

Behandling av personuppgifter för ett ändamål som den registrerade rimligen kan förvänta sig, som exempelvis när den registrerade anger personuppgifter för registrering av konto i en mobilapplikation, krävs det normalt inte samtycke. Men om uppgifterna senare används för profileringar av olika slag, och som egentligen inte behövs för tillhandahållande av själva mobilapplikationen, kan samtycke krävas. Den registrerade kan i exemplet rimligen förvänta sig att denne erhåller att konto, inte att uppgifterna används för profilering för olika typer av profileringar som inte är direkt kopplade till användning av mobilapplikationen. 

Sammanfattningsvis kan sägas att om ditt företag samlar in eller behandlar känsliga personuppgifter eller om ni använder personuppgifter på ett sätt som den registrerade inte rimligen kan förvänta sig måste ni sannolikt inhämta samtycke. Om du istället samlar in e-postadresser och telefonnummer från kunder för att kunna fullgöra din leverans eller ge kunder viktig information eller service som en del av din verksamhet kommer du inte behöva samtycke.