Nyckelloggar som bevis – vad säger dataskyddsförordningen?

Elektroniska inpasseringssystem används idag i många bostadshus och registrerar vilka som passerar genom entréer via så kallade ”nyckelloggar”. Syftet med att samla in dessa uppgifter är ofta att bostadsrättsföreningar eller hyresvärdar vill upprätthålla en hög säkerhetsnivå genom att kunna kontrollera vilka som rör sig i fastigheten.

Nyckelloggar som registrerar boendes användning av elektroniska nycklar innehåller i regel personuppgifter, vilket innebär att behandlingen omfattas av dataskyddsförordningen (GDPR). Enligt artikel 4.1 är personuppgifter all information som direkt eller indirekt kan kopplas till en fysisk person. Eftersom registreringarna kan spåra individer måste uppgifterna behandlas i enlighet med GDPR.

Nyckelloggar som bevisning.
Hyresvärdar har flera gånger använt nyckelloggar som bevisning för att styrka olovlig andrahandsuthyrning i domstol. Hovrätten uttalade 2025 att nyckelloggar, som enskilt bevis, inte är tillräckliga för att bevisa otillåten uthyrning (Svea Hovrätt H 10615-25). Däremot kan loggarna, tillsammans med annan bevisning, bidra till att en sådan uthyrning anses styrkt (Svea Hovrätt H 16569-24).

Detta aktualiserar frågan om dessa nyckelloggar från början samlats in för ett ändamål som gör det tillåtet att senare använda dem som bevis i en tvist.

Dataskyddsföreningens krav på behandling av personuppgifter.
Dataskyddsförordningen ställer krav på hur personuppgifter får användas. En central princip som följer av artikel 5 är ändamålsbegränsning, vilket innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas på ett sätt som inte överensstämmer med det ursprungliga syftet. Ändamålet ska vara tydligt definierat innan uppgifterna inhämtas.

Att domstolar accepterar nyckelloggar som bevis innebär inte att behandlingen automatiskt är förenlig med dataskyddsförordningen. För att hyresvärdar eller bostadsrättsföreningar ska få använda nyckelloggar som bevis i en pågående tvist måste personuppgifterna ha samlats in för just detta ändamål från början. Det måste alltså vara det uttryckliga syftet redan vid insamlingen. För att uppfylla detta bör en intresseavvägning göras som visar att hyresvärdens eller föreningens behov väger tyngre än de boendes integritet. De boende måste dessutom ha informerats om behandlingen innan den påbörjas. Innan de boende har informerats bör uppgifter alltså inte användas för detta ändamål. Regelverket kan ofta vara snårigt och det kan vara bra att anlita juridisk hjälp för att hamna rätt i bedömningarna.

Om uppgifterna däremot har samlats in för andra syften, och dessa inte är förenliga med att använda dem som bevisning, krävs ett specifikt och informerat samtycke från den person vars personuppgifter ska behandlas. Ett sådant samtycke är ofta svårt att få i en pågående tvist.

Konkret innebär detta att om loggarna inte från början har samlats in för att utreda otillåten uthyrning måste hyresvärden uppfylla ytterligare krav, genom att informera de boende om behandlingen och t ex inhämta samtycke. Annars riskerar behandlingen att strida mot dataskyddsförordningen, vilket i sin tur kan leda till sanktionsavgifter.

Risk för höga sanktionsavgifter.
Sanktionsavgifterna enligt dataskyddsförordningen kan uppgå till 20 miljoner euro eller 4 procent av den globala omsättningen, beroende på vilket belopp som är högst. Även om sanktionsavgifterna för en bostadsrättsförening eller en hyresvärd som hanterar nyckelloggar fel sannolikt kan bli betydligt lägre är det ändå fråga om kännbara belopp. Sanktionsavgifter kan undvikas om man säkerställer att all personuppgiftsbehandling följer dataskyddsförordningen i samtliga led.

Utöver att ändamålet måste vara korrekt ska man även uppfylla flera övriga principer i GDPR, såsom lagringsminimering och uppgiftsminimering.

Behöver ni hjälp att navigera er i dessa frågor är ni välkomna att kontakta oss på Engström & Hellman för rådgivning.