GDPR-verktyg

Kraftfullt & lättanvänt

Kom igång snabbt & enkelt

♥ Onboarding ingår

♥ Personlig uppföljning

♥ Dokumentmallar

Se hur verktyget kan hjälpa er

Utbildning

Investera i er själva

Utbildningsformat för alla behov

Klassrumsutbildning
Digital liveutbildning
E-learning med quiz!
Läs mer om våra utbildningar

Rådgivning

Spetskompetens & personligt

Lång erfarenhet, flexibla upplägg & enkel prissättning

Hjälp med GDPR-frågor

Dataskyddsombudstjänst

Incidenthantering

Läs mer om våra utbildningar

Webinarie

Nytt avsnitt varje månad!

Kolla in nästa webinarie

Blogg

Sök eller bläddra bland 100-tals kostnadsfria GDPR-artiklar om aktuella frågor!

Bläddra runt i vår blogg

GDPR-projektplan

Låt vår roadmap guida dig under din GDPR-resa – smart och detaljerad!

Gratis roadmap
Ordlista
Lagtext
Vanliga frågor
Artikel 30-register
Behandlingar

Vanliga frågor

Vanliga frågor

♥ Över 1000 nöjda kunder

♥ 4,5 av 5 i kundnöjdhet

♥ 9 av 10 fortsätter år efter år

♥ Bli en GDPR-hjälte du också!

Boka möte

Team

Mack
Medarbetare

Kundcase

Vi gör juridiken lätt för dig

Våra kunder berättar
Samarbetspartners
Historia
Behandlingar

Tillbaka till bloggens startsida

Så gör du en intresseavvägning enligt GDPR – steg för steg

Publicerad: 24 juni 2025
Senast uppdaterad: 4 juli 2025

Guide för intresseavvägning enligt GDPR – illustration med robot, diagram och personer som reflekterar.

All behandling av personuppgifter måste baseras på en giltig rättslig grund. Intresseavvägning eller berättigat intresse enligt artikel 6.1 f GDPR – är en av sex rättsliga grunder som en organisation kan stödja sig på för att behandla personuppgifter. Men det krävs en noggrann bedömning för att avgöra om denna grund verkligen är tillämplig. Enligt vägledning från Europeiska dataskyddsstyrelsen (EDPB) ska detta göras i en strukturerad trestegsbedömning, vilket vi kommer att gå igenom i det här blogginlägget, steg för steg.

 

Vad är en intresseavvägning?

Den rättsliga grunden berättigat intresse kallas ibland även för intresseavvägning – vilket syftar på den bedömning som ligger till grund för att en organisation kan stödja sig på denna grund.

I vissa fall saknas annan tillämplig rättslig grund. Då kan organisationen ändå ha möjlighet att behandla uppgifterna – om det finns ett berättigat intresse. För att avgöra detta krävs att en intresseavvägning genomförs.[1] En intresseavvägning består av tre olika bedömningssteg, som vi går igenom nedan.

Syftet är att väga organisationens intresse mot risken för intrång i den registrerades rätt till integritet. I ett tidigare blogginlägg förklarar vi närmare vad en intresseavvägning är och när den kan användas som rättslig grund.

 

Bedömningsstegen i intresseavvägningen

Tänk även på att ni bara får samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Det är därför viktigt att ni har klart för er varför ni ska behandla personuppgifterna.

Steg 1: Finns det ett berättigat intresse?

Ni behöver definiera vilket intresse ni vill uppnå med personuppgiftsbehandlingen, för att kunna bedöma om intresset är berättigat, alltså rimligt och godtagbart.

Frågorna att ta med i bedömningen:

  • Vad är det för intresse vi vill uppnå?
  • Är det ett rimligt och godtagbart intresse?

Det berättigade intresset ska vara tydligt och precist formulerat. Några exempel på intressen är:

  • Säkerhet
  • Kundservice
  • Kommersiella intressen
  • Produktutveckling
  • Garantera säkerheten för anställda
  • Interna administrativa syften
  • Förhindra bedrägerier[2]

 

Steg 2: Är behandlingen av personuppgifterna nödvändig?

Nästa steg i bedömningen är att undersöka om behandlingen är nödvändig, med andra ord ska ni bedöma om ert intresse kan uppnås på andra sätt som är mindre ingripande i den enskildes grundläggande fri- och rättigheter.[3]

Ni bör endast utföra behandlingen i den utsträckning som är nödvändig för att kunna uppnå det berättigade intresset. När ni gör bedömningen ska ni se till att uppgifterna har tydlig koppling till ändamålet och att ni bara samlar in den information som verkligen behövs för att uppnå ert syfte (uppgiftsminimering, artikel 5.1 c GDPR). Om det är möjligt att nå samma resultat på ett sätt som är mindre integritetskänsligt kan ni inte stödja er personuppgiftsbehandling på berättigat intresse.

 

Steg 3: Hur påverkas de registrerade?

När ni har undersökt om det finns andra, mindre ingripande sätt att uppnå syftet med behandlingen, är nästa steg i bedömningen att genomföra ett så kallat balanstest. Syftet med balanstestet är att väga de två intressena:

  • Den registrerades grundläggande fri- och rättigheter
  • Ert berättigade intresse som personuppgiftsansvariga

Eftersom man inte kan veta varje individs exakta vilja eller preferenser, ska ni utgå från vad en typisk individ rimligen kan förvänta sig. Rätten till privatliv och skydd av personliga uppgifter är särskilt viktiga att ha i åtanke.

Några aspekter att ta hänsyn till:

1. De registrerades rimliga förväntningar

Om behandlingen sker på ett sätt som den registrerade inte kan förutse, finns det en större risk för att behandlingen kan vara otillåten. Osäkerhet kring behandlingen kan uppfattas av den registrerade som att denne förlorar kontroll över sina personuppgifter.

Frågor att inkludera i bedömningen:

  • Är behandlingen något den registrerade kan förvänta sig?
  • Har individen informerats på ett tydligt sätt?

 2. Påverkan på de registrerade

Om behandlingen ger nytta även för den registrerade, så kan det tala för att intresset kan vara berättigat. Men om behandlingen riskerar att skada den registrerade, kränka dennes integritet eller orsaka obehag så väger det tungt emot ett berättigat intresse.

Frågor att inkludera i bedömningen:

  • Finns det någon fördel för de registrerade?
  • Var kommer uppgifterna från – har individen själv lämnat dem?
  • Kan behandlingen orsaka skada eller obehag?

 

Gör en helhetsbedömning

För att komma fram till om ert intresse väger tyngre än den registrerades intressen och grundläggande fri- och rättigheter behöver ni göra en helhetsbedömning i varje enskilt fall efter att ni har gått igenom alla tre steg. Det är även viktigt att er bedömning är väldokumenterad och tydlig.

Artikel 15 GDPR ger personer rätt att få veta om och hur deras personuppgifter behandlas. Om ni använder berättigat intresse som rättlig grund måste ni därför kunna beskriva vilket intresse ni har, förklara varför ni får använda uppgifterna och beskriva hur det påverkar den registrerade.

 

Vad gör vi om intresseavvägningen inte håller?

Om era intressen är för otydliga eller spekulativa är de inte tillräckliga för att motivera en behandling av personuppgifter.[4]

Ni kan då:

  • Överväga en annan rättslig grund, till exempel samtycke eller avtal.
  • Omvärdera syftet med behandlingen – är det verkligen nödvändigt att behandla personuppgifter för att uppnå målet, eller finns det andra alternativ?
  • Avstå från behandlingen, om ni inte kan stödja den med någon av de rättsliga grunderna i GDPR

Att påbörja en behandling av personuppgifter utan en giltig rättslig grund är en överträdelse av reglerna i GDPR.[5]

 

Dokumentera alltid bedömningen

Det är viktigt att ni dokumenterar er intresseavvägning och hur bedömningen har gått till för att kunna visa att ni följer GDPR, innan behandlingen påbörjades, vilket följer av principen om ansvarsskyldighet i artikel 5.2 GDPR.

 

Sammanfattning och checklista

Ni har ett berättigat intresse om det finns ett legitimt intresse, behandlingen är nödvändig för att uppnå just det intresset, och den registrerades fri- och rättigheter inte väger tyngre än er organisations intresse.

Intresseavvägningen består av tre bedömningssteg:

  1. Finns ett berättigat intresse?
  2. Är behandlingen nödvändig?
  3. Överväger ert intresse den registrerades rättigheter?

 

Checklista: att tänka på vid genomförande av en intresseavvägning

Steg 1: Berättigat intresse

  • Har vi definierat ett tydligt och legitimt syfte med behandlingen?
  • Är syftet rimligt och godtagbart?

Steg 2: Nödvändighet

  • Är behandlingen nödvändig för att uppnå syftet?
  • Kan syftet uppnås med en metod som är mindre integritetskänslig?
  • Samlar vi endast in de personuppgifter som verkligen behövs för behandlingen?

Steg 3: Balanstest

  • Kan de registrerade rimligen förvänta sig behandlingen?
  • Har de registrerade blivit tydligt informerad om behandlingen?
  • Kan behandlingen orsaka skada, obehag eller annan negativ påverkan?

 

[1] https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_sv#example

[2] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig-grund/intresseavvagning/ samt https://www.edpb.europa.eu/system/files/2024-10/edpb_summary_202401_legitimateinterest_en.pdf, s. 7-8.

[3] https://www.edpb.europa.eu/system/files/2024-10/edpb_summary_202401_legitimateinterest_en.pdf, s.14-15

[4] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig-grund/intresseavvagning/

[5] https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf s. 32

Julianne Ahlesten

Medförfattare Celina Palm

info@gdprhero.se

 

Innehållet i denna blogg är avsett för allmän information och ska inte betraktas som juridisk rådgivning.

Har du frågor om dataskydd och compliance? 

Boka kostnadsfritt möte

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Prenumerera på bloggnotis
Vi behandlar endast din e-postadress för att skicka notiser. Integritetspolicy.
Loading...