Blogg Draftit

GDPR i offentlig sektor – hur förenar man dataskydd med krav på öppenhet och insyn

Skriven av Admin | augusti 21, 2025

Att arbeta i offentlig sektor innebär ofta en balansgång mellan två viktiga principer: att skydda individers personuppgifter enligt GDPR och att upprätthålla offentlighetsprincipen, som ger allmänheten rätt till insyn i myndigheters verksamhet.

För många kommuner, regioner och statliga myndigheter är detta en vardagsutmaning. En begäran om att ta del av en allmän handling kan verka enkel på ytan – men när dokumentet innehåller personuppgifter, känslig information eller uppgifter som kan skada en enskild, måste ni göra en noggrann juridisk och praktisk bedömning.

Frågan blir då: Hur kan ni tillmötesgå offentlighetsprincipen  utan att bryta mot dataskyddsreglerna? Hur bedömer ni vad som kan lämnas ut, vad som måste maskeras och när ni måste säga nej?

Här får du lära dig hur offentlig sektor kan kombinera GDPR och offentlighetsprincipen med lagstöd, exempel, fallgropar och lösningar.

Varför kan GDPR och offentlighetsprincipen krocka?

Offentlighetsprincipen är en av hörnstenarna i svensk demokrati och innebär att vem som helst har rätt att begära ut allmänna handlingar från myndigheter. Syftet är att främja öppenhet, insyn och medborgarnas möjlighet att granska den offentliga makten.

GDPR (dataskyddsförordningen) syftar däremot till att skydda enskildas rätt till privatliv och bestämmer hur personuppgifter får behandlas. När dessa två regelverk möts i praktiken kan det uppstå en konflikt – särskilt när en begärd handling innehåller uppgifter som rör identifierbara personer.

Exempel på situationer där det kan krocka:

  • Ett medborgarförslag till kommunfullmäktige innehåller namn och adress till den som lämnat in det.
  • Ett protokoll från socialnämnden innehåller ärenden med känsliga uppgifter om barns hälsa eller familjesituation.
  • En upphandlingshandling innehåller namn och kontaktuppgifter till personal hos en leverantör.

I dessa situationer måste myndigheten väga rätten till insyn mot rätten till skydd av personuppgifter. Det handlar inte om att ett regelverk ”trumfar” det andra – utan om att göra en korrekt och väl dokumenterad avvägning.

Vad säger lagen? En översikt 

Vid en begäran om att få ta del av en allmän handling gäller i första hand offentlighets- och sekretesslagen (OSL). Myndigheten ska då i första hand pröva om handlingen som begärs ut är en allmän handling. I andra hand prövas om uppgifterna i handlingen omfattas av sekretess. Om den gör det får den inte lämnas ut alternativt kan handlingen lämnas ut mot man att de sekretessbelagda uppgifterna har maskerats. Om de inte omfattas av sekretess kan handlingen lämnas ut – men då måste GDPR:s krav följas.

Så påverkar GDPR prövningen:

  1. Laglig grund för utlämnande: När personuppgifter lämnas ut måste det finnas en rättslig grund. I offentlig sektor är det oftast myndighetsutövning eller uppgift av allmänt intresse som gäller.

  2. Principen om uppgiftsminimering: Även om handlingen lämnas ut, ska ni bara lämna ut de uppgifter som är nödvändiga – resten kan maskeras.

  3. Ansvarsskyldighet: Alla beslut, både om utlämnande och avslag, ska dokumenteras för att visa att prövningen har skett enligt lag.

Praktiskt exempel: En journalist begär ut e-postkorrespondens mellan en kommunal tjänsteman och en leverantör. Vissa av mejlen innehåller interna diskussioner om personalärenden. Kommunen lämnar ut korrespondensen, men maskerar namn och personuppgifter som inte är relevanta för begäran.

Exempel från kommuner och myndigheter

  • Kommunal nämnd: En invånare begär ut protokoll från socialnämnden. Handlingarna innehåller känsliga uppgifter om enskilda personer, inklusive barn. Efter sekretessprövning maskeras all identifierande information innan protokollet lämnas ut.
  • Region: En patient begär ut sin egen journal. Här gäller GDPR:s regler om rätt till tillgång (artikel 15) fullt ut. Utlämnandet sker omgående och i sin helhet till den registrerade.
  • Statlig myndighet: En entreprenör begär ut samtliga anbudshandlingar från en nyligen avslutad upphandling. Myndigheten gör en sekretessprövning och maskerar uppgifter som rör affärshemligheter, såsom detaljerade prisspecifikationer eller anbudsläggarens strategier, för att skydda anbudsläggaren från att lida skada. Myndigheten maskerar även personuppgifter om anställda hos anbudsgivarna.Dessa exempel visar att nyckeln är en korrekt bedömning i varje enskilt fall, och att maskering ofta är ett viktigt verktyg för att kunna uppfylla båda regelverken samtidigt.

4 fallgropar att undvika 

  1. Att lämna ut fler uppgifter än nödvändigt vid en insynsbegäran: 

Även om en handling kan lämnas ut betyder det inte att alla uppgifter är relevanta. Onödigt utlämnande kan leda till att känsliga personuppgifter sprids utan rättslig grund. Maskera alltid det som inte behövs för att besvara begäran.

  1. Att neka utlämnande utan tydlig motivering eller hänvisning till relevant paragraf i OSL: 

Ett avslag ska alltid vara begripligt och rättsligt förankrat. Hänvisa därför till exakt paragraf och förklara kortfattat varför den gäller i det aktuella fallet.

  1. Att sakna rutiner för att hantera begäranden snabbt: 

Fördröjningar kan leda till JO-kritik och minska förtroendet. Klara rutiner och tydlig ansvarsfördelning minskar risken för att ärenden drar ut på tiden.

  1. Att inte dokumentera sekretessprövningen och besluten på ett spårbart sätt:

Dokumentera alltid vem som gjort prövningen, vilka bedömningar som gjorts och vilket lagrum som tillämpats – även när handlingen lämnas ut i sin helhet.

Hantera gråzonerna - när det inte finns ett självklart svar 

Alla begäranden om utlämnande är inte svartvita. I många fall hamnar myndigheter i en gråzon där det inte är helt tydligt om uppgifterna ska lämnas ut eller inte.

Det kan till exempel handla om:

  • Handlingar där personuppgifter finns i bilagor som bara delvis är relevanta.
  • Uppgifter som i sig inte är känsliga, men som i kombination med annan information kan avslöja mer än avsett.
  • Material som omfattas av sekretess i vissa delar men där övriga delar är av stort allmänintresse.

I dessa situationer är det viktigt att:

  1. Involvera rätt kompetens tidigt – till exempel dataskyddsombud eller förvaltningsjurist.
  2. Göra en noggrann riskbedömning för att avgöra vilken skada eller risk ett utlämnande kan medföra.
  3. Dokumentera beslutsprocessen för att kunna motivera den i efterhand, både för intern uppföljning och vid eventuell prövning av beslutet.

Att ha tydliga riktlinjer för hur gråzoner ska hanteras gör det enklare att ta konsekventa beslut och minskar risken för att olika handläggare bedömer liknande situationer på olika sätt.

Så förenar ni GDPR och öppenhet i praktiken

  1. Inför tydliga rutiner för mottagning, prövning och utlämnande. Klara roller och tidsfrister skapar trygghet och förutsägbarhet.

  2. Utbilda medarbetare så att alla som kan ta emot en begäran förstår både offentlighetsprincipen och GDPR:s krav.

  3. Använd maskering konsekvent när uppgifter inte får lämnas ut – och säkerställ att de inte kan återskapas.

  4. Dokumentera alltid prövningen som bevis på att beslutet är korrekt och lagenligt.

  5. Digitalisera processen för att snabbt kunna söka, pröva och lämna ut handlingar med spårbarhet.

Proaktivt arbete för att undvika konflikter mellan GDPR och offentlighetsprincipen

Många problem som uppstår vid insynsbegäran kan undvikas genom att arbeta proaktivt med hur handlingar skapas, lagras och struktureras. 

Exempel på proaktiva åtgärder:

  • Tydlig struktur i dokumenthantering: Skilj på interna arbetsdokument och färdiga handlingar som kan bli offentliga.
  • Separera känslig information: Placera personuppgifter i separata bilagor så att de enkelt kan maskeras vid behov.
  • Förhandsbedömning vid skapande av handlingar: Utbilda personalen i att identifiera potentiella sekretess- och dataskyddsfrågor redan när materialet produceras.
  • Använd mallar med integritet i åtanke: Standardmallar kan innehålla fasta sektioner för personuppgifter så att de är lätta att hitta och hantera. 

Genom att bygga in dataskydds- och offentlighetstänk redan i arbetsflödet minskar ni behovet av akuta bedömningar och tidskrävande maskeringar – och kan ge snabbare och mer korrekta svar till allmänheten.

Säkra ert dataskydd - med verktyg, metodik och experthjälp

Att balansera offentlighetsprincipen och GDPR är en komplex uppgift som kräver både juridisk kompetens och rätt verktyg. För ett effektivt och långsiktigt dataskyddsarbete rekommenderar vi tjänsten Privacy as a Service, som kombinerar verktyg, kompetens och rådgivning enligt vår metod Systematiskt Dataskyddsarbete (SDA).

Med Privacy as a Service får ni:

  • Nulägesanalys för att kartlägga era styrkor och riskområden.

  • Identifiering av riskområden och konkreta åtgärdsförslag.

  • Kontinuerlig uppföljning och projektledning av DSO-diplomerade experter.

  • Tillgång till våra GDPR-verktyg och metodik som förenklar hela processen.

Vi vet att många organisationer kämpar med frågor som:

  • Har vi IT-stöd men kommer ändå inte vidare?
  • Är vi osäkra på om vi följer lagen fullt ut?
  • Saknar vi struktur, rutiner och tydliga ansvarsroller?

Med Privacy as a Service får ni den struktur, kompetens och trygghet ni behöver för att hantera både insyn och dataskydd på ett säkert sätt – samtidigt som ni sparar tid och minskar risken för misstag.

Boka en demo  redan idag och se hur vi kan hjälpa er att följa lagen på era villkor. 
Visa hela inlägget