GDPR för advokatbyråer handlar om att förena två skyddsintressen: dataskyddsförordningen och den advokatspecifika tystnadsplikten. En advokatbyrå behandlar personuppgifter i varje ärende – ofta av mest känsliga slag – samtidigt som advokatsekretessen enligt rättegångsbalken och Advokatsamfundets vägledande regler lägger en egen tystnadsplikt ovanpå. De två regelverken drar i huvudsak åt samma håll, men på en punkt uppstår spänning: den registrerades rätt till insyn kan behöva vika för sekretessen. Den här guiden reder ut hur en byrå ska hantera detta.
Viktigaste punkterna
- Advokatbyrån är personuppgiftsansvarig för klient- och motpartsuppgifter i sina ärenden.
- Advokatsekretessen (8 kap. rättegångsbalken och Advokatsamfundets regler) gäller parallellt med GDPR och skärper skyddet.
- Klientärenden innehåller ofta känsliga uppgifter (art. 9) och uppgifter om lagöverträdelser (art. 10).
- Rätten till registerutdrag kan begränsas när tystnadsplikt eller tredje mans rättigheter hindrar utlämnande.
- Ärendehanteringssystem och molntjänster kräver biträdesavtal och kontroll av var uppgifterna behandlas.
Rättslig grund för klientdata
En advokatbyrås behandling vilar på flera grunder. Själva uppdraget behandlas på avtal (art. 6.1 b) med klienten. Byråns skyldigheter enligt penningtvättslagen och bokföringslagen ger rättslig förpliktelse (art. 6.1 c). Uppgifter om motparter, vittnen och tredje man behandlas oftast på berättigat intresse (art. 6.1 f), eftersom byrån behöver dem för att driva ärendet men saknar avtal med dem. Att välja rätt rättslig grund per kategori är särskilt viktigt på en byrå, eftersom ärenden regelmässigt rör personer som inte är klienter. En motpart har till exempel inte lämnat sina uppgifter frivilligt, men byrån behöver ändå behandla dem för att driva klientens sak – och grunden blir då berättigat intresse, inte samtycke eller avtal. Att dokumentera denna åtskillnad redan i registret gör att byrån kan förklara varje behandling om frågan ställs.
Känsliga uppgifter och lagöverträdelser
Advokatärenden är bland de mest uppgiftskänsliga som finns. Ett brottmål rör uppgifter om lagöverträdelser (art. 10), en vårdnadstvist kan innehålla hälsouppgifter och uppgifter om barn, ett arbetsrättsligt ärende uppgifter om facklig tillhörighet. Sådana uppgifter omfattas av det principiella förbudet i artikel 9 respektive de särskilda begränsningarna i artikel 10, och får bara behandlas med stöd av undantag – för advokatverksamhet typiskt att behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk (art. 9.2 f). Konsekvensen är att åtkomsten till ärenden måste vara strikt behovsstyrd internt: alla på byrån ska inte kunna öppna alla ärenden.
Advokatsekretessen ovanpå GDPR
Advokatsekretessen är en självständig tystnadsplikt som gäller oavsett GDPR. Den innebär att advokaten inte får röja vad klienten anförtrott, och den skyddar även uppgifternas existens. I förhållande till dataskyddet får detta två effekter:
- Skyddet skärps. Advokatsekretessen förstärker kraven på konfidentialitet och åtkomstbegränsning utöver vad GDPR ensamt kräver.
- Insynsrätten begränsas. En begäran om registerutdrag från till exempel en motpart kan inte besvaras om det skulle röja klientens skyddade uppgifter eller kränka tredje mans rättigheter. Artikel 15.4 och de svenska undantagen ger stöd för att neka eller begränsa utlämnande i sådana fall.
Poängen är att en byrå inte reflexmässigt kan lämna ut allt vid en begäran om registerutdrag – den måste först pröva om sekretessen eller tredje mans rätt hindrar det. Denna prövning bör dokumenteras.
Det är samtidigt viktigt att skilja på olika typer av begäranden. En klient har rätt till information om sina egna uppgifter, och byrån ska normalt kunna tillmötesgå en sådan begäran. Det är när begäran kommer från någon annan – en motpart, ett vittne, en tredje man som förekommer i ett ärende – som sekretessen och andras rättigheter ställer krav på återhållsamhet. Byrån får då inte lämna ut uppgifter som skulle avslöja klientens förhållanden eller strategin i ärendet. Att ha en fastställd rutin för hur begäranden om registerutdrag hanteras, med en tydlig bedömningsordning, gör att byrån kan agera konsekvent och snabbt utan att riskera vare sig sekretessbrott eller överträdelse av insynsrätten. Rutinen bör också ange den lagstadgade svarstiden på en månad och hur den räknas.
Konfliktkontroll och ärendedatabaser
Advokatbyråer för konfliktdatabaser för att kontrollera jäv – vilket innebär att uppgifter om klienter och motparter behandlas över tid och över ärenden. Detta är en nödvändig behandling med tydligt ändamål, men den ska dokumenteras i registerförteckningen med egen rättslig grund och gallringsfrist. Konfliktdatabasen får inte bli ett obegränsat register där uppgifter ligger kvar för evigt; den ska gallras enligt en genomtänkt frist som balanserar behovet av jävskontroll mot lagringsminimeringen.
Ärendesystem, moln och biträdesavtal
Moderna byråer använder ärendehanteringssystem, dokumenthantering och e-post i molnet. Varje sådan leverantör som behandlar personuppgifter för byråns räkning är ett personuppgiftsbiträde, och det krävs ett personuppgiftsbiträdesavtal. För en advokatbyrå väger valet av molntjänst extra tungt av två skäl: dels för att uppgifterna är så känsliga, dels för att advokatsekretessen kräver att byrån behåller kontrollen över dem. Ligger leverantören eller ett underbiträde utanför EU/EES måste överföringen ha en giltig mekanism, och byrån bör försäkra sig om att sekretessen inte urholkas av utländsk myndighetsåtkomst. Advokatsamfundet har utfärdat vägledning om just molntjänster och dataskydd för byråer.
För en byrå med många ärenden och system blir det en utmaning att hålla ordning på behandlingar, biträden och gallringsfrister. En plattform som Legiscope kan strukturera registret och avtalen på ett ställe, vilket underlättar både den interna kontrollen och en eventuell tillsyn. Kärnfrågan förblir dock den advokatetiska: behåller byrån kontrollen över klientens uppgifter?
Gallring av avslutade ärenden
En återkommande fråga på byråer är hur länge klientakter får sparas efter att ett ärende avslutats. Här möts flera intressen. Advokaten kan ha ett berättigat intresse av att bevara akten en tid för att kunna försvara sig mot krav på advokatansvar och för att hantera återkommande klienter. Samtidigt kräver lagringsminimeringen att akten inte sparas längre än nödvändigt, och penningtvätts- och bokföringslagstiftningen ställer egna bevarandekrav på delar av materialet.
Praktiken är att sätta en definierad gallringsfrist per ärendetyp, kopplad till preskriptionstiden för advokatansvar och till eventuella lagkrav, och att gallra akten när fristen löpt ut. Byrån bör undvika ytterligheterna: att spara alla akter för evigt “för säkerhets skull” är oförenligt med GDPR, medan att gallra för tidigt kan lämna byrån utan underlag om ett ansvarskrav dyker upp. En dokumenterad gallringsrutin, differentierad efter ärendetyp och integrerad i ärendehanteringssystemet, är det som gör att byrån kan visa kontroll vid en tillsyn. Samma rutin bör omfatta kopior i e-post och lokala dokument, inte bara akten i huvudsystemet – annars gallras uppgifterna bara på ett ställe medan de lever kvar på andra.
Vanliga frågor
Måste en advokatbyrå lämna ut ett registerutdrag till en motpart?
Inte om det skulle röja klientens sekretesskyddade uppgifter eller kränka tredje mans rättigheter. Advokatsekretessen och undantagen i artikel 15 ger stöd för att neka eller begränsa utlämnandet. Byrån ska pröva varje begäran och dokumentera bedömningen.
Får byrån använda amerikanska molntjänster?
Ja, om överföringen har en giltig mekanism (till exempel EU–USA:s dataskyddsramverk eller standardavtalsklausuler) och byrån bedömt att advokatsekretessen inte urholkas. Med hänsyn till uppgifternas känslighet bör byrån vara särskilt noggrann med var data behandlas och vilka underbiträden som anlitas.
Behöver en advokatbyrå dataskyddsombud?
Inte automatiskt. Skyldigheten beror på om kärnverksamheten innebär storskalig behandling av känsliga uppgifter eller regelbunden och systematisk övervakning. Många byråer landar under tröskeln, men bör göra och dokumentera bedömningen – se när dataskyddsombud krävs.
Slutsats
GDPR för advokatbyråer handlar om att låta dataskyddet och advokatsekretessen samverka: sekretessen skärper konfidentialiteten och kan begränsa insynsrätten, medan GDPR kräver dokumenterad grund, åtkomstbegränsning och gallring. Klassificera ärendenas känsliga uppgifter rätt, pröva registerutdrag mot sekretessen, gallra konfliktdatabasen och säkra molntjänsterna med biträdesavtal. Grunden finns i dataskyddsförordningen, och Advokatsamfundet samt IMY ger den branschspecifika vägledningen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial