Medlemsregister och GDPR

Publicerad 2026-06-30 · Av Mikael Andersson

Medlemsregistret är föreningens mest personuppgiftstäta system. Den här guiden fokuserar specifikt på dataskyddet för själva registret: hur ni minimerar vilka uppgifter ni samlar, vilken rättslig grund varje fält vilar på, när samtycke faktiskt krävs, hur ni bygger en gallringsrutin och hur ni svarar när en medlem begär ett registerutdrag.

Detta är allmän information, inte juridisk rådgivning. För en bredare genomgång av GDPR i föreningar, se vår guide GDPR för föreningar. Vill du förstå det digitala registret som verktyg, läs Digitalt medlemsregister. Vid juridiska frågor, vänd dig till Integritetsskyddsmyndigheten (IMY).

Vad den här guiden täcker

Vi går inte igenom GDPR:s grunder på nytt här — det gör GDPR för föreningar. I stället zoomar vi in på de fyra frågor som är mest knepiga just för medlemsregistret: lagringsminimering, rättslig grund per fält, gallring vid utträde och hantering av registerutdrag. Det är de delar som oftast blir fel i praktiken.

Lagringsminimering — vilka fält behövs?

Principen om uppgiftsminimering innebär att ni bara får samla in personuppgifter som faktiskt behövs för ändamålet. Frågan att ställa för varje fält är: behöver vi det här för att administrera medlemskapet? Om svaret är nej ska fältet bort.

Ett vanligt misstag är att samla in personnummer "för säkerhets skull". Ofta räcker födelseår — exempelvis för åldersstatistik eller LOK-stöd — och då ska ni inte begära fullständigt personnummer. Samma sak gäller frivilliga uppgifter som arbetsgivare eller anhöriga: samla bara in det ni verkligen använder.

Rättslig grund per fält

All behandling behöver en rättslig grund. För medlemsregistret är de vanligaste grunderna avtal (medlemskapet), rättslig förpliktelse (bokföring), berättigat intresse och samtycke. Tabellen visar hur det kan se ut fält för fält:

Exempel på rättslig grund och gallringstidpunkt per fält i ett medlemsregister.
Fält	Rättslig grund	Gallras när
Namn	Avtal (medlemskap)	Rimlig tid efter utträde
E-post / telefon	Avtal (medlemskap)	Rimlig tid efter utträde
Adress	Avtal (medlemskap)	Rimlig tid efter utträde
Födelseår	Berättigat intresse (statistik, bidrag)	Vid utträde
Personnummer	Endast om klart nödvändigt	Så snart syftet upphör
Foto (publicering)	Samtycke	När samtycket återkallas
Bankuppgift på faktura	Rättslig förpliktelse (bokföring)	7 år enligt bokföringslagen

Lägg märke till att olika fält om samma medlem kan ha olika gallringstider. Kontaktuppgifterna kan gallras snart efter utträde, medan uppgifter som hamnat på en faktura måste ligga kvar i sju år. Ett bra system hanterar detta automatiskt i stället för att tvinga er välja "allt eller inget".

När krävs samtycke?

Samtycke är inte den självklara grunden för ett medlemsregister — tvärtom. Eftersom behandlingen oftast är nödvändig för medlemskapet räcker avtalsgrunden. Samtycke behövs framför allt för sådant som ligger utanför det nödvändiga:

Foton och film där enskilda medlemmar känns igen och publiceras på webb eller i sociala medier.
Utskick till personer som inte är medlemmar, till exempel ett nyhetsbrev till tidigare medlemmar eller intresserade.
Känsliga uppgifter som hälsa eller liknande, som kräver särskild försiktighet och i regel uttryckligt samtycke.

Ett samtycke ska vara frivilligt, specifikt och möjligt att återkalla. Dokumentera när och för vad det lämnades, och se till att medlemmen lika enkelt kan ta tillbaka det. När ett samtycke återkallas ska den behandling som byggde på det upphöra.

Gallringsrutin för medlemsdata

Lagringsminimering gäller även i tiden: uppgifter får inte sparas längre än nödvändigt. När en medlem går ur försvinner i regel grunden för att behålla kontaktuppgifterna. En tydlig gallringsrutin gör att det sker systematiskt och inte glöms bort.

Markera utträde. När en medlem avslutar sitt medlemskap, registrera datum för utträdet.
Vänta ut en rimlig frist. Behåll uppgifterna en kort period (ofta upp till tolv månader) om medlemmen kommer tillbaka eller har en utestående avgift.
Gallra kontaktuppgifter. Radera namn, adress, e-post och telefon när fristen löpt ut och inget annat syfte kvarstår.
Behåll bokföringsdata separat. Uppgifter på fakturor och i bokföringen sparas i sju år — gallra dem inte i förtid.
Logga gallringen. Notera att gallring skett, så att rutinen går att visa upp vid en granskning.

Konflikten mellan GDPR (radera) och bokföringslagen (spara i sju år) löses genom att skilja på datatyperna: kontaktuppgifter i registret gallras, men fakturaunderlaget bevaras tills sjuårsfristen passerat. Se även Bokföring i ideell förening.

Registerutdrag för medlemmen

Varje medlem har rätt att begära ett registerutdrag — en sammanställning av de personuppgifter ni behandlar om just hen. Begäran ska besvaras utan onödigt dröjsmål, normalt inom en månad, och är i regel kostnadsfri.

Ett bra svar innehåller: vilka uppgifter ni behandlar, för vilka ändamål, vilken rättslig grund ni stödjer er på, hur länge uppgifterna sparas och om de delats med någon (till exempel ett systembiträde eller en kommun vid bidragsrapportering). Lämna bara ut den enskildes egna uppgifter — aldrig andra medlemmars. Har ni ett samlat register kan ni ofta exportera medlemmens post direkt, vilket gör svaret både snabbt och korrekt.

Rättelse, radering och dataportabilitet

Registerutdraget är den vanligaste begäran, men medlemmen har fler rättigheter som rör registret. Att känna till dem gör att styrelsen kan svara lugnt och korrekt i stället för att famla:

Rätt till rättelse. Är en uppgift felaktig eller inaktuell ska den rättas utan onödigt dröjsmål. Självservice, där medlemmen själv uppdaterar sina uppgifter, uppfyller mycket av detta automatiskt.
Rätt till radering. När det inte längre finns en grund att behandla uppgiften ska den raderas. Undantaget är, som tidigare nämnts, uppgifter ni måste spara enligt bokföringslagen.
Rätt att invända. Mot behandling som bygger på berättigat intresse, exempelvis utskick, kan medlemmen invända — och då ska ni göra en förnyad avvägning eller upphöra.
Dataportabilitet. Uppgifter medlemmen själv lämnat och som behandlas med stöd av avtal eller samtycke kan begäras ut i ett maskinläsbart format.

Att kunna besvara dessa begäranden snabbt är inte bara en skyldighet — det bygger förtroende. En medlem som ser att föreningen hanterar uppgifter ordentligt känner sig tryggare med sitt medlemskap. Ett register där sökning, rättelse och export är inbyggt gör skillnaden mellan ett halvdagsarbete och några minuter.

Leverantörer och personuppgiftsbiträdesavtal

Få föreningar för sitt medlemsregister helt på egen hand. Så fort ni använder en extern tjänst — ett medlemssystem, ett verktyg för utskick eller en molnlagring — lämnar ni ut personuppgifter till en leverantör som behandlar dem för er räkning. Leverantören blir då personuppgiftsbiträde, och ni ska ha ett personuppgiftsbiträdesavtal som reglerar vad biträdet får och inte får göra med uppgifterna.

Avtalet ska bland annat säkerställa att biträdet bara behandlar uppgifterna enligt era instruktioner, vidtar lämpliga säkerhetsåtgärder, hjälper er att svara på registerutdrag och raderar eller återlämnar uppgifterna när samarbetet upphör. Kontrollera också var uppgifterna lagras — överföring till länder utanför EU/EES kräver särskilda skyddsåtgärder. En seriös leverantör har ett färdigt biträdesavtal att teckna och kan svara på var datan finns. Saknas avtalet är det styrelsen, som personuppgiftsansvarig, som bär ansvaret om något går fel.

Gallringsrutin för medlemsregistret

☐ Inventera vilka fält ni faktiskt samlar in och ta bort onödiga
☐ Dokumentera rättslig grund för varje fält
☐ Samla bara personnummer när det är klart motiverat
☐ Inhämta och dokumentera samtycke för foton och externa utskick
☐ Registrera utträdesdatum när en medlem avslutar medlemskapet
☐ Gallra kontaktuppgifter efter beslutad frist vid utträde
☐ Bevara fakturaunderlag i sju år, skilt från registret
☐ Ha en rutin för att besvara registerutdrag inom en månad
☐ Teckna personuppgiftsbiträdesavtal med era systemleverantörer

Vill ni ha ett register där minimering och gallring är inbyggt? Läs om medlemsregister för förening och medlemshantering, se alla funktioner eller jämför planerna på prissidan.

Vanliga frågor

Behöver vi medlemmens samtycke för att ha ett medlemsregister?

Oftast inte. Den vanligaste rättsliga grunden för själva medlemsregistret är att behandlingen är nödvändig för att fullgöra avtalet om medlemskap, ibland kompletterat med berättigat intresse. Samtycke behövs framför allt för sådant som inte krävs för medlemskapet, till exempel att publicera foton eller skicka nyhetsbrev till icke-medlemmar.

Hur länge får vi spara uppgifter om en medlem som gått ur?

Bara så länge det finns ett syfte. När medlemskapet upphört saknas oftast grund att behålla kontaktuppgifter, och de bör gallras inom rimlig tid — ofta inom några månader till ett år. Undantaget är uppgifter på fakturor och i bokföringen, som måste sparas i sju år enligt bokföringslagen.

Måste vi lämna ut ett registerutdrag om en medlem begär det?

Ja. Varje registrerad har rätt att få veta vilka personuppgifter ni behandlar om hen, varför, och vilka som tagit del av dem. Begäran ska besvaras utan onödigt dröjsmål, normalt inom en månad, och är i regel kostnadsfri. Lämna ut en sammanställning av medlemmens egna uppgifter — inte andras.

Får vi spara personnummer i medlemsregistret?

Personnummer får bara behandlas när det är klart motiverat, till exempel för säker identifiering eller för rapportering som kräver det. Behöver ni inte personnummer ska ni inte samla in det. Spara hellre födelseår om det räcker, exempelvis för åldersbaserad statistik eller LOK-stöd.

Vem är personuppgiftsansvarig för medlemsregistret?

Föreningen som juridisk person är personuppgiftsansvarig, och styrelsen ansvarar för att reglerna följs. Om ni använder ett systemverktyg är leverantören personuppgiftsbiträde, och ni bör ha ett personuppgiftsbiträdesavtal som reglerar hur uppgifterna får behandlas.