Dataskydd

Rättslig grund GDPR: välj rätt grund enligt artikel 6

Rättslig grund enligt GDPR: de sex grunderna i art. 6 med svenska exempel, hur du dokumenterar valet i registerförteckningen och varför du inte får byta grund.

Also available in:English·Français·Deutsch

All behandling av personuppgifter kräver en rättslig grund enligt artikel 6 i dataskyddsförordningen – utan en giltig grund är behandlingen olaglig, oavsett hur bra dina säkerhetsåtgärder är. Det finns sex grunder att välja mellan, och valet ska göras innan behandlingen börjar och dokumenteras i registerförteckningen. Den här guiden går igenom de sex grunderna med svenska exempel, förklarar hur du väljer och dokumenterar rätt grund och varför du inte får byta grund mitt i en behandling.

Viktigaste punkterna

  • Artikel 6.1 anger sex rättsliga grunder – minst en måste vara uppfylld för all behandling.
  • Grunden ska väljas före behandlingen och dokumenteras i registerförteckningen.
  • Du får inte byta grund i efterhand för att rädda en behandling som visat sig sakna stöd.
  • Samtycke och berättigat intresse är sällan rätt grund för svenska myndigheters behandling – där gäller ofta rättslig förpliktelse eller allmänt intresse.

De sex rättsliga grunderna

Artikel 6.1 räknar upp sex grunder. Behandlingen är laglig om minst en är tillämplig:

Grund (art. 6.1) Kort beskrivning Svenskt exempel
a) Samtycke Den registrerade har lämnat ett giltigt samtycke Nyhetsbrev, frivillig personalfoto
b) Avtal Behandling nödvändig för ett avtal med den registrerade Leverans av en beställd vara
c) Rättslig förpliktelse Krävs enligt lag Bokföring, skatteredovisning
d) Skydd av grundläggande intressen Skyddar liv eller hälsa Akut vård av medvetslös patient
e) Allmänt intresse / myndighetsutövning Uppgift av allmänt intresse eller myndighetsutövning Kommunal skolverksamhet
f) Berättigat intresse Nödvändigt för ett berättigat intresse som väger tyngre Bedrägeribekämpning, viss direktmarknadsföring

De tre vanligaste i privat sektor är avtal, rättslig förpliktelse och berättigat intresse. Samtycke används oftare än det borde – se den separata guiden om krav för giltigt samtycke för varför det ofta är fel val.

Så väljer du rätt grund

Frågan är inte “vilken grund är enklast?” utan “vilken grund beskriver bäst varför vi behandlar uppgiften?”. Ställ dig tre frågor:

  1. Är behandlingen nödvändig för att fullgöra ett avtal med personen? Då är avtal (art. 6.1 b) grunden – inte samtycke.
  2. Är vi skyldiga enligt lag att behandla uppgiften? Då är rättslig förpliktelse (art. 6.1 c) grunden.
  3. Har vi ett eget berättigat intresse och behandlingen väger tyngre än personens integritet? Då kan berättigat intresse (art. 6.1 f) vara grunden – efter en dokumenterad intresseavvägning.

Först om inget av detta stämmer och personen har ett fritt val blir samtycke aktuellt. Notera att berättigat intresse inte kan användas av myndigheter när de utför sina uppgifter (art. 6.1 sista stycket) – för dem gäller i stället allmänt intresse eller rättslig förpliktelse.

Den svenska kompletteringen

Dataskyddslagen (2018:218) förtydligar grunderna c och e för svenska förhållanden. Enligt lagens 2 kap. får personuppgifter behandlas med stöd av rättslig förpliktelse om skyldigheten följer av lag, förordning eller kollektivavtal, och med stöd av allmänt intresse eller myndighetsutövning om det följer av lag eller beslut. Detta är särskilt viktigt för offentlig sektor: en kommun som behandlar elevuppgifter gör det normalt med stöd av allmänt intresse, inte samtycke. För svenska myndigheter är det alltså sällan rätt att fråga om samtycke – det skulle felaktigt antyda att medborgaren kan säga nej till en behandling som myndigheten är skyldig att utföra.

Dokumentation i registerförteckningen

Artikel 30 kräver att du för en förteckning över behandlingar, och den rättsliga grunden ska framgå för varje behandling. Detta är inte en formalitet: vid en tillsyn är det första IMY frågar varför ni behandlar en viss uppgift, och svaret ska finnas dokumenterat i förväg. En registerförteckning utan angivna rättsliga grunder är i praktiken ofullständig. För behandlingar som bygger på berättigat intresse ska även själva intresseavvägningen kunna visas upp. Ansvaret för att detta hålls aktuellt övervakas av dataskyddsombudet där ett sådant finns.

Kravet på att ange grunden hänger ihop med informationsplikten i artiklarna 13 och 14: du ska upplysa de registrerade om den rättsliga grunden redan när uppgifterna samlas in, exempelvis i integritetspolicyn. Grunden du dokumenterar internt och den du kommunicerar externt måste alltså vara densamma. IMY:s vägledning understryker att den rättsliga grunden ska vara bestämd innan behandlingen påbörjas – att fylla i den i efterhand, när en granskning väl inletts, uppfyller inte kravet. En genomtänkt kartläggning av grund per behandling är därför både en efterlevnadsfråga och en förutsättning för en korrekt integritetspolicy.

Du får inte byta grund i efterhand

En central princip: du binder dig vid den grund du valt. Om du samlat in uppgifter med stöd av samtycke och personen sedan återkallar det, får du inte byta till berättigat intresse för att fortsätta behandla samma uppgifter för samma ändamål. Att byta grund i efterhand undergräver förutsägbarheten och de registrerades rättigheter – vilken grund som gäller avgör nämligen vilka rättigheter personen har (rätten att invända gäller till exempel bara vid berättigat intresse och allmänt intresse). Välj därför rätt grund från början, och dokumentera den. Vill du ändra ändamål helt är det en ny behandling som kräver en egen bedömning.

Konsekvenserna av valet

Grunden styr mer än lagligheten – den avgör vilka rättigheter den registrerade har:

  • Rätt till radering är starkast vid samtycke och svagast vid rättslig förpliktelse.
  • Rätt att invända finns bara vid berättigat intresse och allmänt intresse.
  • Rätt till dataportabilitet gäller bara vid samtycke och avtal.

Att kartlägga vilken grund som gäller för varje behandling är därför grunden för att alls kunna hantera de registrerades rättigheter korrekt. Plattformar som Legiscope kopplar den rättsliga grunden till varje behandling i registret, så att rätt rättigheter och rätt lagringstid följer automatiskt. När behandlingen sker via en leverantör ska ansvaret regleras i personuppgiftsbiträdesavtalet.

Vanliga frågor

Kan en behandling ha flera rättsliga grunder samtidigt?

En enskild behandling för ett bestämt ändamål ska ha en tydlig grund. Däremot kan samma uppgift behandlas för flera ändamål, och då kan olika ändamål ha olika grunder – till exempel kunddata som behandlas för avtal (leverans) och för bokföring (rättslig förpliktelse). Ange grunden per ändamål, inte per uppgift.

Är samtycke den säkraste rättsliga grunden?

Nej, ofta tvärtom. Samtycke kan återkallas när som helst, kräver bevis och faller vid obalans mellan parterna. För avtalsnödvändig behandling eller lagkrav är avtal respektive rättslig förpliktelse mycket stabilare grunder.

Vilken grund gäller för direktmarknadsföring?

Marknadsföring till befintliga kunder grundas ofta på berättigat intresse (art. 6.1 f) efter en intresseavvägning, medan marknadsföring som kräver samtycke enligt marknadsföringslagen och reglerna om elektronisk kommunikation behöver samtycke. Den registrerade har alltid rätt att invända mot direktmarknadsföring.

Vad händer om vi saknar rättslig grund?

Behandling utan rättslig grund är olaglig enligt artikel 6 och kan medföra sanktionsavgift enligt artikel 83.5 – upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen. Uppgifter som behandlats olagligt ska dessutom som regel raderas.

Slutsats

Den rättsliga grunden är fundamentet för all personuppgiftsbehandling. Sex grunder finns, valet ska göras före behandlingen och dokumenteras, och det får inte bytas i efterhand. För svenska myndigheter är samtycke och berättigat intresse sällan rätt – där gäller allmänt intresse och rättslig förpliktelse. Väljer du grunden medvetet från början följer rätt rättigheter, rätt lagringstid och en behandling som håller vid en tillsyn. Det tar sällan mer än några minuter att avgöra rätt grund för en enskild behandling – men de minuterna avgör hela behandlingens laglighet. Gör kartläggningen behandling för behandling, dokumentera slutsatsen i registerförteckningen och bekräfta att grunden du kommunicerar externt stämmer med den du valt internt. Då har du inte bara en laglig behandling, utan också ett försvar som håller den dag IMY frågar.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →