GDPR för advokatbyrå — klientdata, sekretess och ärenderegister
Advokatbyrå hanterar klientdata under advokatetisk sekretess och GDPR Art. 6. Lär dig hur regelverken samverkar och kontrollera er digitala compliance.
Advokatbyrå och juridiska konsulter befinner sig i ett unikt dataskyddsläge: de är bundna av advokatsekretessplikten under Rättegångsbalken 9 kap — en lagstadgad sekretess som skyddar klientkommunikation och ärendeuppgifter — och av GDPR:s krav på transparens och registrerades rättigheter.
Dessa regelverk samverkar men kolliderar ibland. GDPR:s princip om transparens (Art. 13–14) kräver att den personuppgiftsansvarige informerar den registrerade om hur deras uppgifter behandlas. Advokatsekretessplikten kan dock förhindra att en advokatbyrå lämnar information om ett ärende om detta röjer tredje mans uppgifter eller identiteten hos klient som klienten inte samtycker till att avslöja.
I praktiken hanterar advokatbyråer tre kategorier av personuppgifter med olika behandlingsgrunder: klientuppgifter (avtal), motståndarens uppgifter (berättigat intresse för att hantera ärendet), och bevispersoner eller vittnen (nödvändigt för rättsliga anspråk, Art. 6.1.f eller 9.2.f). Varje kategori kräver olika lawful basis och dokumentation.
Webbplatsen är ofta den del av advokatbyråns digitala infrastruktur som fått minst uppmärksamhet ur dataskyddsperspektiv — med analysverktyg, kontaktformulär och integritetspolicyer som inte anpassats till branschens specifika krav. En Northverify-skanning identifierar de digitala compliance-brister som är specifika för juridiska tjänsteföretag.
Kontrollera er compliance på några minuter
Kontrollera webbplatsens säkerhetskonfiguration och HTTPS gratis
Kör gratis skanningRB 9 kap sekretess och GDPR Art. 6 — en balansgång
Advokatsekretessplikten i Rättegångsbalken 9 kap är en av de starkaste sekretessformerna i svensk rätt. Den skyddar all kommunikation mellan advokat och klient, ärendeuppgifter, strategibedömningar och klientens identitet. Denna sekretess är ovillkorlig — den gäller mot myndigheter (inklusive IMY), mot domstolar (med undantag), och mot tredje man.
GDPR innehåller en specifik bestämmelse (Art. 90) som tillåter undantag från transparensplikten när behandlingen är nödvändig för att skydda yrkes- eller affärssekretess som är reglerad i lag. Advokatsekretessplikten är just ett sådant lagstadgat skydd — vilket innebär att advokatbyråer kan åberopa Art. 90 för att begränsa informationsskyldigheten när full transparens skulle röja skyddad klientinformation.
I praktiken: en advokatbyrå kan avböja en begäran om registerutdrag (GDPR Art. 15) från en motpart om utlämning av uppgifter i ärenderegistret skulle röja klientens identitet eller ärendesekretessen.
Ärenderegister och Art. 30-förteckning
GDPR Art. 30 kräver att alla organisationer som behandlar personuppgifter för icke-undantagna ändamål för ett register över behandlingsaktiviteter. För en advokatbyrå inkluderar detta:
- Klientregister med kontaktuppgifter och uppdragsbeskrivning
- Ärendehanteringssystem med processdata
- E-postarkiv med klientkommunikation
- Faktureringssystem med ekonomisk information om klienter
Art. 30-förteckningen för en advokatbyrå är komplex eftersom den måste reflektera behandlingens konfidentiella natur. Förteckningen är intern dokumentation och behöver inte lämnas ut, men måste kunna visas upp för IMY vid tillsyn.
Samtycke eller avtal som rättslig grund?
För behandling av klientuppgifter är rättslig grund vanligtvis avtal (GDPR Art. 6.1.b — behandling nödvändig för att fullgöra uppdragsavtalet) kombinerat med rättslig förpliktelse (Art. 6.1.c — bokföringsskyldighet, skattelag). Samtycke används sällan som rättslig grund i advokatförhållandet — dels för att det skapar problem med maktbalansen (klienten kan knappast fritt neka samtycke till sin advokat), dels för att avtalet är en starkare och mer hållbar grund.
För marknadsföring till potentiella klienter — webinars, nyhetsbrev, rättsliga uppdateringar — krävs däremot samtycke eller berättigat intresse beroende på form och mottagare. Direktmarknadsföring till individer kräver samtycke; kommunikation med advokater och juridiska avdelningar på företag kan motiveras med berättigat intresse.
PUB-avtal för juridiska IT-system
Advokatbyråer använder en rad IT-system som hanterar klientdata: ärendehanteringssystem (Clio, NetClean, Lawmatix), dokumenthantering (SharePoint, NetDocuments), CRM och faktureringssystem. Varje sådant system är ett personuppgiftsbiträde och kräver ett PUB-avtal.
Kritisk punkt: molnbaserade system med datalagring utanför EU/EES — t.ex. amerikanska SaaS-produkter som inte erbjuder EU-datalagring — kräver standardavtalsklausuler (SCC) som skyddsåtgärd för tredjelandsöverföringen. Advokatbyråer hanterar ofta synnerligen känsliga uppgifter (affärshemligheter, personliga kriser, straffrättslig information) där en tredjelandsöverföring till ett land utan adequacy-beslut är särskilt riskfyllt.
Webbplats och kontaktformulär
En advokatbyrås webbplats samlar typiskt in uppgifter via kontaktformulär där presumtiva klienter beskriver sin juridiska situation. Dessa uppgifter kan innehålla känslig information (hälsodata, konflikter, juridiska problem) långt innan något klientavtal ingåtts.
Första mötet-informat ion som samlas in via webbformulär faller under GDPR Art. 13 — personen som fyller i formuläret ska informeras om hur uppgifterna behandlas, vem som är personuppgiftsansvarig, och lagringstiden för webbformulärsdata. Advokatsekretessplikten aktiveras fullt ut först när ett klientförhållande etablerats.
Lagringstider för juridisk dokumentation
Advokatbyråer bör ha tydliga lagringstidsrutiner: klientakter (10 år efter avslutat ärende per Advokatsamfundets rekommendation), kontaktuppgifter för marknadsföring (3 år efter senaste kontakt), och bokföringsunderlag (7 år per bokföringslagen). Advokatsamfundets vägledning om personuppgiftsbehandling utgör god branschpraxis för IMY-bedömningar.
Sekretess, advokatyrket och GDPR
Advokater och advokatbyråer befinner sig i ett unikt skärningsläge: den starka tystnadsplikten enligt Rättegångsbalken 9 kap stärker klientskyddet, men GDPR tillämpar ett bredare och delvis överlappande ramverk. GDPR befriar inte advokatbyråer från skyldigheten att ha en integritetspolicy, registerförteckning och PUB-avtal med systemleverantörer – oavsett tystnadsplikten.
Ärendehanteringssystem som Clio, ADERANT eller Salesforce Legal kräver DPA. Vid tredjelandsöverföring – t.ex. om ärendesystemet är US-hostat – krävs SCC eller att data behandlas uteslutande på EU-servrar. Advokatbyråer med internationell verksamhet träffas dessutom av GDPR:s extraterritoriella tillämpning.
IMY betonar i sin vägledning att berättigat intresse (artikel 6.1f) kan användas som rättslig grund för klientrelaterad databehandling i pågående ärendhantering, men att marknadsföring mot befintliga klienter kräver samtycke. Klientregister ska inte bevaras längre än aktivt ärendebehov kräver; typiska raderingsregler är 10 år efter avslutad relation med hänsyn till preskriptionstider.
Personnummer förekommer frekvent i rättsliga handlingar. Dessa kräver en specifik rättslig grund enligt dataskyddslagen (GDPR-lagen) och får inte användas för administrativa syften utan stöd. Se IMY:s vägledning om personnummer från 2020.
Klienter har rätt att begära registerutdrag (GDPR artikel 15) och radering (artikel 17). Advokatbyråer ska ha en rutin för att hantera dessa begäranden inom 30 dagar. Observera att rätten till radering inte gäller data som måste bevaras för rättsliga krav – t.ex. kan ett ärende som fortfarande är under prövning inte raderas. Dokumentera alla avslagsgrunder skriftligen och meddela klienten om överklaganderätten till IMY. Personuppgiftsansvar-frågor uppstår även i advokatsamarbeten: om two law firms jointly handle a matter, both may be joint controllers under GDPR Article 26, requiring a formal joint-controller agreement. Advokatsamfundets vägledning om GDPR och advokatverksamhet (publicerad 2020, uppdaterad 2023) preciserar hur PUB-avtal ska formuleras för advokatbyråers systemleverantörer och klargör att klientkommunikation via krypterade kanaler är obligatorisk vid känsliga ärenden. Ladda ned vägledningen från advokatsamfundet.se och verifiera att er byråpolicy är i linje med den senaste versionen.
IMY-precedent
Juridiska byråer och IMY — tillsynstrend 2024–2026
IMY har initierat branschvisa granskningar av professionella tjänsteföretag inklusive juridiska byråer. Granskningen fokuserar på tre punkter: korrekt rättslig grund för klientdatabehandling, PUB-avtal med IT-leverantörer, och hantering av registrerades rättigheter. Byråer som inte kan uppvisa dokumenterad Art. 30-förteckning och PUB-avtal riskerar tillsynsåtgärder.
Alla IMY-beslutGuide: PUB-avtal — komplett guide och mall 2026
Allt om GDPR Art. 28-krav på personuppgiftsbiträdesavtal — inklusive specifika krav för juridiska IT-leverantörer och dokumenthanteringssystem.
Läs guidenVanliga frågor
Relaterade guider
Hur compliance-redo är din webbplats?
Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.
Skanna gratis →