Rättslig grund enligt GDPR – kravet på dokumentation

Se som Markdown
3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 10 september 2025
  1. Så dokumenterar du rättslig grund – praktiska krav enligt GDPR

För att personuppgiftsbehandling ska vara laglig krävs stöd i en av sex rättsliga grunder. Men det räcker inte att känna till vilken grund som gäller – den måste också dokumenteras på ett sätt som håller vid tillsyn.

För många organisationer kan det vara en utmaning att hålla de rättsliga grunderna uppdaterade i takt med att nya tjänster, system eller samarbeten tillkommer. Därför är det klokt att bygga in en rutin för att löpande kontrollera att dokumentationen stämmer med verkligheten. Små förändringar i en process kan annars göra att den rättsliga grunden blir föråldrad – vilket kan ge problem vid en granskning.

Regelbunden översyn gör det enklare att upptäcka och åtgärda sådana avvikelser i tid.

En annan viktig aspekt är att säkerställa att alla berörda i organisationen förstår vilken rättslig grund som gäller för deras del av databehandlingen. Det stärker både praktisk efterlevnad och kvaliteten i kommunikationen med registrerade. En genomtänkt dokumentation fungerar som en tydlig karta över hur personuppgifter hanteras och är ett viktigt verktyg när frågor från kunder, partners eller myndigheter dyker upp.

Så dokumenterar du rättslig grund – praktiska krav enligt GDPR

Enligt artikel 5.2 i dataskyddsförordningen måste personuppgiftsansvariga kunna visa att behandlingen följer principerna i GDPR. Det innebär att valet av rättslig grund inte bara ska vara korrekt – det ska också dokumenteras skriftligt.

Vid en tillsyn från IMY förväntas dokumentation som visar:

  • Vilken rättslig grund som har valts för varje ändamål.
  • Hur bedömningen har gjorts.
  • Varför andra grunder har valts bort kan vid gränsfall stärka valet av rättslig grund.

För grunden berättigat intresse krävs dessutom att intresseavvägningen är nedtecknad och uppdaterad. Grunden får inte användas slentrianmässigt – dokumentationen måste visa att företagets legitima intresse väger tyngre än den registrerades intresse.

Det är också viktigt att ändamål och rättslig grund inte ändras i efterhand. Behandlingen ska vila på en tydligt definierad grund från början. Vid revision eller granskning duger det inte att ”uppge” rättslig grund i efterhand – det ska finnas i integritetspolicyn och i den interna registerförteckningen (art. 30-registret). En tydlig dokumentation minskar även risken för fel vid informationsgivning till registrerade och underlättar intern efterlevnadskontroll.

På Morling Consulting hjälper våra GDPR-jurister företag att strukturera och dokumentera sin behandling av personuppgifter – så att värdering av rättslig grund inte bara görs rätt, utan också dokumenteras.

Senaste inlägg

Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer
Kvinnlig jurist i kostym granskar dokument med visuella diagram för riskbedömning vid ett skrivbord i modern kontorsmiljö, illustrerar det riskbaserade förhållningssättet inom AML-regelverk.

13 januari 2026

Undantag i AMLR för spel och fotbollsklubbar – så fungerar det riskbaserade förhållningssättet
Läs mer
En illustration som visar fyra yrkespersoner – jurist, projektledare och IT-specialist – som står i en cirkel runt en lysande dataplattform. I mitten står en kvinna som symboliserar DPO:n som central möjliggörare. Tunna linjer i orange och rött binder samman gruppen och understryker samarbete och värdeskapande.

12 januari 2026

DPO-rollens utveckling i ett nytt tekniskt och regulatoriskt landskap
Läs mer