Intresseavvägning i GDPR

När får företag spara och använda personuppgifter?

 

Har du någon gång tänkt “vi vågar knappt spara något längre” – då är du inte ensam.
Många tror att GDPR alltid betyder samtycke, men det finns fler lagliga grunder än så.

Här förklarar jag intresseavvägning på ett enkelt sätt: när den fungerar, vad du kan spara i praktiken och vilka frågor du behöver kunna svara på.
Du får också tydliga exempel och länkar till myndighetsstöd, så att du kan känna er trygga i era rutiner, oavsett om det handlar om kundmejl, offertförfrågningar, CRM eller säljdokumentation.

Letar du ett speciellt avsnitt?
Här finns det snabblänkar till dem olika avnitten i artikeln

Vad är intresseavvägning
(berättigat intresse)?

Intresseavvägning är en laglig grund i GDPR där ni får behandla personuppgifter när ert behov vägs mot personens rätt till privatliv. Det handlar alltså inte om “vi vill”, utan om att ni kan visa att behandlingen är rimlig, nödvändig och inte för integritetskänslig i sammanhanget.

När är den ofta aktuell?

I många företagssituationer dyker intresseavvägning upp, till exempel när ni behöver:

  • hantera kundrelationer (kunddialog, support, uppföljning)
  • jobba med B2B-leads (kontaktpersoner, anteckningar från möten, offertförfrågningar)
  • stärka säkerheten (t.ex. åtkomstkontroll, incidenthantering)
  • förebygga bedrägerier eller missbruk av tjänster

Viktigt: det är inte “fritt fram”.

Intresseavvägning betyder inte att ni kan spara vad som helst hur länge som helst. Ni behöver fortfarande följa grundprinciperna i GDPR: samla in så lite som möjligt, ha ett tydligt syfte och gallra när det inte längre behövs.

Så hur vet du om intresseavvägning faktiskt håller i just ert fall?

Det räcker inte att “det känns rimligt”, ni behöver kunna förklara varför ni gör det, varför det behövs och hur ni har tänkt kring integriteten. Därför är det smart att använda ett enkelt 3-stegstest, som gör beslutet tydligt (både internt och om någon frågar).

3-stegstestet: så avgör du om intresseavvägning fungerar

Ett bra sätt att tänka är att du gör en snabb “rimlighetskontroll” i tre steg. Den här metoden används också i vägledning från tillsynsmyndigheter och kallas ofta purpose test, necessity test och balancing test.

Finns ett berättigat intresse?

Först behöver du kunna berätta varför ni vill behandla uppgifterna – och att det faktiskt är ett legitimt behov (inte bara “bra att ha”).

Exempel på legitima intressen kan vara:

  • Hantera kundrelationer: svara på förfrågningar, support, uppföljning
  • B2B-sälj: dokumentera dialog med kontaktpersoner, mötesanteckningar, offertarbete
  • Säkerhet: förebygga intrång, skydda system, incidenthantering
  • Förebygga bedrägerier/missbruk av tjänster eller system

Är behandlingen nödvändig?

Här är frågan: behöver ni göra det här för att nå målet – eller finns ett annat sätt som är mindre integritetskänsligt?

Fråga dig själv:

  • Kan vi uppnå samma sak med mindre data?
  • Kan vi spara under en kortare tid?
  • Kan vi använda anonymisering/pseudonymisering?
  • Finns ett alternativt arbetssätt som funkar nästan lika bra?

Väger intresset tyngre än individens rättigheter?

Nu kommer själva avvägningen: hur påverkar det här personen och är det rimligt i sammanhanget? EDPB betonar att det är en bedömning från fall till fall och att ni ska kunna visa att ni gjort den ordentligt.

Åtgärder som brukar avgöra:

  • Rimliga förväntningar: skulle personen bli förvånad över att ni sparar detta?
  • Relation: kund, prospekt, anställd (olika känslighet)
  • Typ av uppgifter: vanliga uppgifter jämfört med känsliga/extra integritetskänsliga uppgifter
  • Lagringstid & åtkomst: hur länge sparas det och vem kan se det?
  • Spridning & skydd: delas det externt? finns behörigheter, loggning, rutiner?

Tips: Många dokumenterar detta som en LIA (Legitimate Interests Assessment). Poängen är enkel: ni ska kunna visa hur ni tänkt och vilka skydd ni har på plats – och spara den internt ifall någon frågar.

Vilka personuppgifter får man spara i praktiken?

“Okej… men vad innebär det här i verkligheten?” Och här är en viktig sak: GDPR handlar sällan om ett “ja eller nej”, utan mer om syfte, rimlighet och hur länge.

Här är några vanliga mini-scenarion (tänk “typfall”, inte juridisk rådgivning):

Kundsupport / ärende

Ofta rimligt att spara: namn, kontaktuppgifter och själva konversationen (mejl/chatt/ärendehistorik) för att kunna hantera, följa upp och dokumentera vad som hänt.

Tänk på: spara inte mer än ni behöver (t.ex. onödiga bilagor), begränsa åtkomst och sätt en gallringstid så att ärenden inte ligger kvar “för alltid”. Det är helt i linje med GDPR:s grundprinciper om dataminimering och lagringsbegränsning. 

B2B-prospekt / leads

Ofta rimligt att spara: företagsmail, roll/titel, anteckningar från dialog och uppföljning under en rimlig tid för att kunna återkoppla och hålla ordning i säljprocessen.

Tänk på: håll anteckningar sakliga, undvik “värderande”/onödigt privata noteringar, och bestäm vad “rimlig tid” betyder hos er (t.ex. 6–12 månader beroende på säljcykel).

Fakturering / avtal

Här är det vanligt att intresseavvägning inte ens är huvudspåret, eftersom mycket styrs av avtal och/eller rättslig förpliktelse (t.ex. krav kopplade till bokföring). IMY lyfter att vissa handlingar behöver sparas även efter att ni slutat använda dem, men att de då bör lagras mer “avskilt” från den dagliga verksamheten. 

Nyhetsbrev / marknadsföring

Här behöver man vara lite extra försiktig och tänka: GDPR är inte den enda regeln.
IMY nämner att behandling för direktmarknadsföring kan ses som ett berättigat intresse, men då måste ni bl.a. vara transparenta och respektera invändningar (personen kan säga nej).

Samtidigt är poängen från ICO (bra tumregel även här): om andra regler kräver samtycke för elektronisk marknadsföring, kan man inte “undvika” det genom att välja intresseavvägning.

Praktiskt: nyhetsbrev bygger ofta på samtycke, medan viss marknadsföring i en befintlig kundrelation ibland kan hanteras annorlunda, men det behöver bedömas utifrån målgrupp, kanal och regelverk.

Känsliga personuppgifter

Här gäller: extra restriktivt. IMY är tydliga med att känsliga personuppgifter som utgångspunkt är förbjudna att behandla och att ni måste hitta ett särskilt undantag som passar just er behandling (utöver att ni måste uppfylla GDPR-kraven i övrigt).

Praktiskt: om ni inte måste samla in sådant – låt bli. Och om ni måste: höj skyddsnivån rejält (åtkomst, loggning, minimera, kortare lagring).

Enkel regel:

Spara bara det ni kan förklara varför ni behöver, och bara så länge ni kan motivera det.

Om ni inte kan säga syftet högt i en mening (och peka på en rimlig lagringstid) är det ofta en signal att ni behöver skala ner, gallra eller välja en annan laglig grund.

Och det är precis därför nästa del är så viktig: dokumentationen. Det behöver inte vara krångligt, men ni vill kunna visa hur ni tänkt, särskilt om någon frågar.

Dokumentation av intresseavvägning:
vad behöver finnas på plats?

Om ni använder intresseavvägning vill ni kunna visa hur ni tänkte, inte bara vad ni “kände”. Det behöver inte bli en lång rapport, men en kort dokumentation gör att ni kan svara tryggt om någon frågar (kund, anställd eller tillsynsmyndighet).

Här är en enkel struktur du kan använda (som en “mini-LIA” internt):

Syfte: varför behandlar vi uppgifterna?

  • Vad är målet i klartext? (t.ex. hantera supportärenden, följa upp leads, stärka IT-säkerhet)
  • Är syftet tydligt nog att ni kan skriva det i en mening?

Vilka uppgifter? (minimera)

  • Exakt vilka uppgifter sparar ni, och vilka kan ni låta bli?
  • Behöver ni hela bilagan/hela konversationen, eller räcker en del?

Vem påverkas?

  • Är det kund, prospekt, anställd, eller någon extra skyddsvärd grupp (t.ex. barn)?
  • Finns det en relation som gör att personen rimligen kan förvänta sig behandlingen?

Risker för individen

  • Vad skulle kunna gå fel om uppgifterna läcker, misstolkas eller sparas för länge?
  • Kan behandlingen upplevas som “övervakande” eller oväntad?

Skydd: åtkomst, gallring, loggning med mera

  • Vem har åtkomst (behörigheter)?
  • Hur länge sparas det (gallring)?
  • Loggar ni åtkomst?
  • Kan ni pseudonymisera/anonymisera något, där det passar?

Slutsats + plan för uppföljning

  • Varför landar ni i att intresseavvägning funkar här?
  • När ska ni ompröva beslutet (t.ex. årligen eller när processen/systemet ändras)?

Tips: Det här kallas ofta en LIA (Legitimate Interests Assessment). Poängen är inte att fylla i en perfekt mall, utan att ni har en spårbar, rimlig bedömning att luta er mot.

Och om ni vill ha ett riktigt bra “stöd i strukturen”: IMY har mallar för dokumenterad intresseavvägning inom kamerabevakning. De är skrivna för just kamerabevakning, men upplägget och rubrikerna är användbara som inspiration även i andra fall.

Vanliga misstag vid intresseavvägning (som kan bli dyra)

Det här är de klassiska “snubbeltrådarna” för företag som använder intresseavvägning i praktiken, och varför de är värda att ta på allvar.

“Vi har alltid gjort så”

Det är lätt att hamna i rutinläge: ni sparar uppgifter för att ni alltid har gjort det. Problemet är att om någon frågar varför ni sparar något, behöver ni kunna visa hur ni resonerat (t.ex. en enkel LIA). Utan dokumentation blir det svårt att försvara behandlingen.

Gör istället följande: skriv ner 5–10 rader: syfte, vilka uppgifter, lagringstid, skydd, slutsats.

För bred insamling (dataminimering missas)

Många samlar in “allt som kan vara bra att ha”, extra fält i formulär, onödiga bilagor, anteckningar som spårar ur. GDPR bygger på att ni ska samla in så lite som möjligt för syftet.

Gör istället följande: fråga er: Hade vi klarat oss utan den här uppgiften? Om ja → plocka bort.

För lång lagringstid (ingen gallring)

“Vi sparar ifall det behövs någon gång” är en vanlig fälla. Intresseavvägning är inte en ursäkt för att spara för evigt, ni behöver en rimlig lagringstid och en rutin för gallring.

Gör istället följande: sätt standardtider (t.ex. för leads, supportärenden, mötesanteckningar) och bestäm vem som äger gallringen.

Otydlig information till den registrerade (transparens)

Även om ni har rätt laglig grund kan det bli fel om personen inte får veta vad ni gör och varför. Transparens är en grundbult i GDPR (t.ex. i er integritetspolicy och i relevanta touchpoints).

Gör istället följande: se till att det går att förstå på vanlig svenska: vilka uppgifter, syfte, laglig grund, lagringstid, rättigheter (inkl. invändning). Här kan in läsa mer om intregritetspolicy: Vad är intigritetspolicy?

Använder intresseavvägning när annan grund passar bättre

Ibland väljer företag intresseavvägning av vana, när det egentligen är avtal (leverera tjänst) eller rättslig förpliktelse (t.ex. bokföring) som är mest korrekt. Det kan skapa onödigt krångel när ni ska förklara er. (IMY om rättsliga grunder.)

Gör istället följande: börja alltid med frågan: Varför behandlar vi detta? Ofta pekar det tydligt mot rätt grund.

När ska man välja en annan rättslig grund?

En bra regel är att välja den lagliga grund som bäst beskriver varför ni måste behandla uppgifterna, inte den som känns enklast. IMY listar de rättsliga grunderna och betonar att behandling utan rättslig grund inte är laglig.

Avtal (för att leverera tjänst)

Välj avtal när uppgifterna behövs för att ingå eller fullgöra ett avtal med personen. Typiskt:

  • leverera en tjänst/produkt
  • hantera kundkonto, support kopplat till leveransen
  • ta betalt enligt överenskommelse

Tänk: Om ni inte kan leverera utan uppgifterna är avtal ofta mer logiska än intresseavvägning.

Rättslig förpliktelse (bokföring m.m.)

Välj rättslig förpliktelse när ni måste behandla uppgifter för att följa en lag eller ett krav i svensk/EU-rätt (t.ex. bokföringskrav).

Här är det extra viktigt att ni inte använder uppgifterna till andra syften och gärna “avskiljer” dem från den dagliga verksamheten när de bara behöver sparas för lagen.

Samtycke (när det faktiskt krävs)

Välj samtycke när lagen kräver det, eller när ni vill ge personen full kontroll och det är realistiskt att hantera återkallelser. IMY är tydliga med att samtycke måste vara frivilligt och äkta.

Och en viktig påminnelse i marknadsföring: vid direktmarknadsföring till konsumenter via e-post/sms är huvudregeln att det krävs föregående samtycke enligt reglerna som IMY hänvisar till.

Intresseavvägning (när det är rimligt och balanserat)

Välj intresseavvägning när ni har ett berättigat behov (t.ex B2B-kundrelation, säkerhet, bedrägeriförebyggande), behandlingen är nödvändig och ni kan visa att ni tar hänsyn till individens integritet.

Snabb hjälpfråga att ställa internt:

  • “Måste vi göra detta för att leverera (avtal)?”
  • “Måste vi göra detta för att lagen kräver det (rättslig förpliktelse)?”
  • Om nej: “Är det rimligt, nödvändigt och balanserat (intresseavvägning) – eller behöver vi samtycke?”

Och här brukar det landa i de där praktiska frågorna som alla ställer sig:
“Så… måste vi ha samtycke här?”, “hur länge får vi spara?”, “vad händer om någon säger nej?”
För att göra det enkelt har jag samlat och summerat de vanligaste frågorna och svaren här nedanför.

FAQ: vanliga frågor om intresseavvägning i GDPR

 

Måste vi alltid ha samtycke?

Nej. Samtycke är bara en av flera lagliga grunder. I många vardagliga situationer kan ni i stället stödja er på t.ex. avtal, rättslig förpliktelse eller intresseavvägning – beroende på varför ni behandlar uppgifterna.

På integritetsskyddsmyndigheten's (IMY) webbsida kan ni läsa mer om: Rättslig grund för behandling av personuppgifter

Hur vet vi om intresseavvägning passar?

Om ni kan svara ja på de här tre frågorna:

  1. ni har ett berättigat intresse,
  2. behandlingen är nödvändig,
  3. ni har vägt in integriteten och kan visa att det är rimligt.
    Det är precis det 3-stegstestet hjälper er att göra.
Får vi spara kundmejl och konversationer?

Ofta ja – om ni behöver dem för att hantera ärenden, följa upp och kunna visa vad som överenskommits. Men ni ska ändå minimera, begränsa åtkomst och sätta en rimlig gallringstid.

Får vi spara uppgifter om B2B-leads i CRM?

Ofta ja, i rimlig omfattning och under rimlig tid – särskilt om det handlar om företagskontakt i en säljprocess. Men håll anteckningar sakliga, samla inte in mer än ni behöver och bestäm när uppgifterna ska gallras om det inte blir affär.

Hur länge får vi spara personuppgifter?

Det finns sällan en exakt “GDPR-tidsgräns”. Grundregeln är att ni bara får spara så länge det behövs för syftet – och sedan ska ni gallra eller anonymisera.

Måste vi dokumentera intresseavvägningen?

Det finns inget krav på en viss mall, men ni behöver kunna visa att ni följer GDPR (ansvarsskyldighet). Därför är det smart att dokumentera er bedömning, ofta som en kort LIA.

Vad händer om någon invänder?

Vid intresseavvägning kan personen ha rätt att invända mot behandlingen. Då behöver ni göra en ny bedömning: finns det skäl som väger tyngre, eller ska ni sluta behandla uppgifterna för just det syftet?

Kan vi använda intresseavvägning för marknadsföring?

I vissa fall kan marknadsföring ses som ett berättigat intresse, men det beror mycket på situationen och ni måste respektera invändningar. Samtidigt kan andra regler kräva samtycke i vissa kanaler (t.ex. e-post/sms till konsumenter), så här behöver man vara extra noggrann.

Vad är den vanligaste missen företag gör?

Att spara “för säkerhets skull” utan tydligt syfte, utan gallring och utan att kunna förklara varför. GDPR blir mycket enklare när ni kan säga: vad, varför, hur länge och vilka skydd ni har.

Länkförteckning

Vill du läsa mer (eller kunna peka på “officiellt stöd” internt)?
Här är de källor jag själv tycker är mest användbara:

IMY – Intresseavvägning som rättslig grund (översikt)
Bra startpunkt när du vill förstå när intresseavvägning kan användas och vad som krävs. Integritetsskyddsmyndigheten | IMY

IMY – Steg 6: Dokumentera intresseavvägningen (kamerabevakning)
Även om den är skriven för kamerabevakning är upplägget riktigt bra som inspiration för hur man dokumenterar resonemanget. 

Dokumentera intresseavvägningen | IMY

Mall för intresseavvägning vid kamerabevakning | IMY

EDPB – Guidelines 1/2024 om artikel 6(1)(f) (berättigat intresse)
EU-nivåns vägledning för den som vill gå djupare och förstå tolkningen bakom 3-stegstestet. Guidelines | EDPB

ICO – Praktisk vägledning + LIA-template (DOCX)

Väldigt hands-on, särskilt om ni vill se hur en LIA kan se ut i praktiken (även om det är brittisk myndighet). 

How do we apply legitimate interests in practice? | ICO

Legitimate interests | ICO

Relaterade länkar:

GDPR: Grundläggande principer enligt GDPR | IMY

Känsliga personuppgifter: När får ni behandla känsliga personuppgifter? | IMY

Integritetspolicy: Vad är en integritetspolicy?

Vill ni få ordning på era GDPR-rutiner?

Om ni känner att “vi borde ha bättre koll” – så är ni inte ensamma. Det vanligaste är inte att företag gör allt fel, utan att rutinerna saknar struktur: varför ni sparar uppgifter, hur länge, och hur ni kan visa att ni tänkt igenom det.

Vill du bolla ert upplägg? Hör av dig så tar vi en första genomgång och pekar ut de snabbaste förbättringarna att börja med.

Henrik Wahlstedt

070-511 18 00
henrik.wahlstedt@internetmedia.se
 
Upptäck hur vi kan hjälpa ditt företag att växa!
Henrik Wahlstedt