30 vanliga frågor om GDPR i Sverige — svar från IMY-beslut 2026

Svar på 30 av de vanligaste frågorna svenska företagare och compliance-ansvariga ställer om GDPR. Varje svar är grundat i GDPR-artiklar eller IMY-beslut och hälls under 150 ord for att vara citerbart och lättnavigerat.

Granskad av Simon Forsell, grundare Northverify. Senast uppdaterad: juli 2026.

Cookies & spårning

Behöver jag samtycke för Google Analytics?

Ja — Google Analytics 4 kräver aktivt opt-in-samtycke innan cookien sätts och data skickas till Google. Teknisk implementation: aktivera Consent Mode v2 och blockera GA4 tills samtycke registrerats. Utan korrekt samtycke bryter er GA4-implementation mot GDPR och ePrivacy. IMY:s riktlinjer (2023) är entydiga: analytiska cookies kräver samtycke. Källa: IMY:s cookie-riktlinjer 2023; ePrivacy-direktiv Art. 5.3.

Är Meta Pixel olagligt nu i Sverige?

Meta Pixel är inte förbjudet — men kräver korrekt implementation och aktivt samtycke innan det aktiveras. IMY har bötfällt Apoteket (37 MSEK) och Apohem (8 MSEK) 2025 for att pixeln delat hälsorelaterade köpdata med Meta utan giltigt samtycke och utan att hantera Art. 9-kravet (känsliga uppgifter). Pixels implementation via Google Tag Manager med en fungerande CMP (Consent Management Platform) som blockerar pixeln tills samtycke givits är GDPR-kompatibelt. Källa: IMY-beslut IMY-2024-6821; IMY-2024-7204.

Vad räknas som "tracking utan samtycke"?

Tracking utan samtycke innebär att ett spårningsskript aktiveras och börjar samla in beteendedata innan besökaren gett aktivt samtycke. Det räcker inte med en cookie-banner — bannern måste tekniskt blockera skriptet. Förinbockade rutor, opt-out-design och cookie walls räknas inte som giltigt samtycke. IMY granskade ATG 2025 och konstaterade att spårningsskript kördes oberoende av vad besökaren klickade i bannern (IMY-2025-1102, 2,5 MSEK). Källa: IMY:s cookie-riktlinjer; GDPR Art. 7.

Får jag använda Microsoft Clarity?

Ja — men med samtycke. Clarity är ett session-recording-verktyg som samlar in detaljerad beteendedata och kräver aktivt samtycke som analytisk eller marknadsföringscookie. Det far inte aktiveras for besökare som inte samtyckt. Konfigurera maskering for känsliga fält (lösenord, betalningsinformation, personnummer) — Clarity kan annars fånga känslig data i formulär. Microsoft är certifierat under EU-US DPF och erbjuder DPA-avtal. Källa: ePrivacy-direktiv Art. 5.3; GDPR Art. 6, Art. 28.

Vad gör IMY åt cookie-banners 2026?

IMY intensifierade cookie-tillsynen 2024-2025 med böter mot ATG (2,5 MSEK), Aller Media (1,3 MSEK) och Warner Music (0,5 MSEK). Vanligaste bristerna: spårningsskript som körs oavsett samtycke, opt-out istället for opt-in, cookie walls, och samtyckes-signaler som inte korrekt kommuniceras till tredjepartsverktyg. IMY:s tillsynstema 2026 inkluderar fortsatt fokus pa cookies och online-spårning i e-handels- och hälsosektorn. Källa: IMY:s tillsynsplan 2026; IMY-beslut IMY-2025-1102.

Personuppgifter & samtycke

Är e-post en personuppgift?

Ja — e-postadresser som innehåller personuppgifter (fornamn.efternamn@foretag.se) är direkta personuppgifter. Aven en funktionell adress (info@foretag.se) kan vara en personuppgift om det är känt vem som hanterar den. E-postadresser kräver rättslig grund for behandlingen — typiskt avtal (Art. 6.1.b) for transaktionell e-post och samtycke or berättigat intresse for marknadsföring. Källa: GDPR Art. 4.1.

Är IP-adress en personuppgift?

Ja — EU-domstolen fastslog i Breyer-malet (C-582/14, 2016) att en dynamisk IP-adress är en personuppgift for den webbplatsoperatör som kan kombinera den med ytterligare information (t.ex. via internetleverantören) for att identifiera personen. IMY bekräftar denna tolkning. Det innebär att webbservrar som loggar IP-adresser behandlar personuppgifter och kräver rättslig grund. Källa: EU-domstolen C-582/14; IMY:s cookie-riktlinjer.

Behöver jag samtycke för nyhetsbrev?

Ja — e-postmarknadsföring kräver explicit opt-in-samtycke eller stöd i soft opt-in-regeln (LEK § 19). Soft opt-in tillåter utskick till befintliga kunder om de köpt liknande produkter, informerades om marknadsföringen vid köptillfället och erbjuds enkel avregistrering. Köpta e-postlistor är alltid olagliga — samtycket måste vara inhämtat av er. Prenumeranter via ett aktivt opt-in-formulär räknas som giltigt samtycke. Källa: ePrivacy-direktiv Art. 13; LEK § 19.

Får jag spara CV:n från kandidater?

Ja — med begränsad lagringstid. Under pågående rekrytering gäller berättigat intresse (Art. 6.1.f). Nar rekryteringsprocessen avslutas upphör grunden — radera CV:n fran avvisade kandidater inom 6 manader om ni inte informerat om och fatt samtycke till längre lagring. Att lagra CV:n i en talangpool utan tydlig information och avregistrerings-möjlighet bryter mot ändamålsbegränsning och lagringsminimering. Källa: GDPR Art. 5, Art. 6.1.f; IMY:s vägledning om rekrytering.

Hur länge får jag spara kunddata?

Lagringstiden beror pa ändamalet. Bokföringsunderlag: 7 ar per bokföringslagen. Kunduppgifter for marknadsföring: 1-3 ar fran senaste transaktion. Abandoned cart-data: max 24-48 timmar. Ni måste dokumentera lagringstider i registerförteckningen (Art. 30) och integritetspolicyn. Källa: GDPR Art. 5.1.e; Bokföringslagen (1999:1078) § 7.

Verktyg & system

Är Google Workspace GDPR-säkert?

Ja — med korrekt konfiguration. Aktivera DPA via Google Admin Console, välj EU som datalagringsregion dar det är tillgängligt, och informera användare om behandlingen. Google Workspace ingår i EU-US DPF och erbjuder EU Data Residency-garanti. Tänk pa att subprocessorer (Google Cloud infrastruktur) inkluderas i Google:s DPA. Källa: Google Workspace DPA; GDPR Art. 28; DPF-adekvansbeslut (EU) 2023/1795.

Är HubSpot GDPR-säkert?

Ja — med korrekt konfiguration. Underteckna HubSpots DPA, aktivera GDPR-inställningarna i HubSpot (cookie-samtycke, opt-in-formulär) och säkerställ att spårningsskriptet inte aktiveras utan samtycke. HubSpot är DPF-certifierat. Dokumentera HubSpot som personuppgiftsbiträde i er registerförteckning. Rättslig grund for CRM-kontakter: berättigat intresse for B2B-kontakter, samtycke for konsumenter. Källa: HubSpot DPA; GDPR Art. 28; Recital 47.

Får jag använda US-baserade SaaS-verktyg?

Ja — om leverantören är DPF-certifierad (Microsoft, Google, Salesforce, Mailchimp, HubSpot, Stripe m.fl.) eller använder SCC kompletterat med Transfer Impact Assessment (TIA). Kontrollera alltid: finns DPA? Är leverantören DPF-certifierad? Var lagras data fysiskt? Källa: GDPR Art. 44-49; DPF-adekvansbeslut (EU) 2023/1795.

Vad är Schrems II och måste jag bry mig?

Schrems II (C-311/18, juli 2020) ogiltigförklarade Privacy Shield och fastslog att dataöverföringar till USA kräver Transfer Impact Assessment. Domen påverkar alla som använder Google, Microsoft, Mailchimp etc. EU-US DPF (juli 2023) är den nuvarande lösningen. Praktisk atgärd: verifiera DPF-certifiering for era US-leverantörer och signera DPA:er. Källa: EU-domstolen C-311/18; GDPR Art. 46.

Hur signerar jag PUB-avtal med Microsoft?

Microsoft DPA aktiveras automatiskt via produktavtalet (Microsoft Product Terms) — ingen separat signering krävs for de flesta kommersiella licenser. Verifiera att ert avtal inkluderar DPA-villkoren via Microsoft Admin Center. Dokumentera Microsoft som biträde i er registerförteckning. Använd var PUB-avtals-sida for Microsoft for intern dokumentation. Källa: Microsoft Product Terms (maj 2025); GDPR Art. 28.

DPIA & risk

När behöver jag göra en DPIA?

DPIA är obligatorisk nar behandlingen sannolikt innebär hög risk (Art. 35): (1) systematisk profilering med rättsliga konsekvenser, (2) storskalig behandling av känsliga uppgifter (Art. 9), (3) systematisk kameraövervakning av offentliga platser. IMY och EDPB har publicerat listorna. Tveka — kontakta IMY om ni är osäkra. Källa: GDPR Art. 35; EDPB riktlinje 09/2022.

Behöver mitt SMB ett dataskyddsombud?

Troligtvis inte om ni ar en privat SMB utan storskalig behandling av känsliga uppgifter och inte bedriver systematisk övervakning. Däremot bör ni ha en namngiven intern person med dataskyddsansvar. Källa: GDPR Art. 37; IMY:s DPO-vägledning.

Vad räknas som "hög risk-behandling"?

Hög risk: profilering med automatiserade beslut med rättslig verkan, storskalig Art. 9-behandling, kameraövervakning av offentliga platser, behandling av utsatta grupper (barn, patienter), nya tekniker med okänd riskprofil. IMY:s förteckning finns pa imy.se. Källa: GDPR Art. 35; IMY:s förteckning.

Hur dokumenterar jag GDPR-efterlevnad?

Grunddokumentation: (1) registerförteckning (Art. 30), (2) integritetspolicy (Art. 13-14), (3) PUB-avtal med leverantörer (Art. 28), (4) samtyckes-loggar, (5) DPIA for högrisk-behandlingar, (6) incidentlogg. Northverify Pro täcker punkterna 1-4. Källa: GDPR Art. 5.2, Art. 24.

Behöver jag registerförteckning för 5 anställda?

Formellt undantag för under 250 anställda (Art. 30.5) — men det gäller inte om behandlingen är regelbunden, riskfylld eller rör känsliga uppgifter. I praktiken bör alla organisationer föra registerförteckning. IMY rekommenderar det oavsett storlek. Källa: GDPR Art. 30.5; IMY:s vägledning.

Incident & rapportering

När måste jag anmäla en personuppgiftsincident?

Inom 72 timmar fran att ni fatt kännedom om incidenten (Art. 33), om det inte är osannolikt att den leder till risk for de registrerade. Anmäl hellre i osäkerhet och komplettera senare — en sen men fullständig anmälan är bättre än en utebliven. Källa: GDPR Art. 33; IMY:s incidentvägledning.

Räknas en hackad e-post som incident?

Ja — obehörig atkomst till en e-postlada med personuppgifter är en personuppgiftsincident (Art. 4.12). Atgärd: aterstall atkomsten, undersök exponeringen, anmäl till IMY inom 72 timmar om risken inte är osannolik. Vid känsliga uppgifter i e-posten: informera drabbade direkt (Art. 34). Källa: GDPR Art. 4.12, Art. 33-34.

Vad händer om jag inte anmäler i tid?

Underlatenhet att anmäla är ett eget GDPR-brott (Art. 83.4) — böter upp till 10 MSEK euro eller 2 % av omsättningen. Anmäl alltid, aven sent — förklara orsaken till förseningen och visa åtgärder. Källa: GDPR Art. 33, Art. 83.4.

Måste jag informera kunder vid läckage?

Om incidenten sannolikt leder till hög risk for de registrerades rättigheter (identitetsstöld, ekonomisk skada, allvarlig kränkning) — ja, informera direkt och utan onödigt dröjsmål (Art. 34). Undantag: om ni har krypterat uppgifterna pa ett satt som gör dem oläsliga for obehöriga. Källa: GDPR Art. 34.

Hur använder jag IMY:s anmälningsformulär?

IMY:s formulär finns pa imy.se/anmalan. Ni anger organisationsuppgifter, beskrivning av incidenten, kategorier och antal drabbade registrerade, sannolik konsekvens och vidtagna atgärder. Anmälan kan göras ofullständig och kompletteras (Art. 33.4). Spara en kopia for er dokumentation. Källa: GDPR Art. 33; imy.se/anmalan.

Sanktioner & risk

Hur höga är GDPR-böter i Sverige?

IMY kan utfärda sanktionsavgifter på upp till 20 MSEK euro (ca 220 MSEK) eller 4 % av global omsättning for allvarligaste brotten. I praktiken: 0,5-75 MSEK for svenska bolag hittills. Totalt 229 MSEK utfärdat 2018-2026, rekordaret 2025: 264 MSEK. Källa: GDPR Art. 83; IMY:s sanktionsregister. Läs mer i var IMY-sanktionsöversikt.

Får ett svenskt SMB böter på miljoner?

Ja — 75 % av IMY:s ärenden 2025 rörde SMB. Sportadmin (6 MSEK), ATG (2,5 MSEK), Aller Media (1,3 MSEK). Maxbeloppet for ett bolag med 10 MSEK i omsättning är 400 000 SEK (4 %). Compliance är billigare än en sanktion. Källa: IMY:s beslut 2025; GDPR Art. 83.

Vad kollar IMY först vid tillsyn?

(1) Teknisk cookie-samtycke-implementation, (2) integritetspolicyns innehåll mot Art. 13-14, (3) PUB-avtal med leverantörer, (4) registerförteckning, (5) tekniska säkerhetsatgärder (kryptering, åtkomstkontroll, incidentrutin). Källa: IMY:s tillsynsmetodik.

Skyddar Northverify mig från böter?

Northverify identifierar och hjalper er atgärda de tekniska brister som orsakar de vanligaste IMY-ingripandena. Det eliminerar de vanligaste riskerna men är inget juridiskt garantisystem. Interna processer, DPIA och juridisk rådgivning vid tillsyn täcks inte. Tänk pa Northverify som det tekniska grundskyddet — nödvändigt men inte ensamt tillräckligt for komplex behandling.

Vad gör jag om IMY hör av sig?

(1) Svara inom angiven tid — fördröjning ses negativt. (2) Kontakta dataskyddsjurist omedelbart. (3) Samla dokumentation (registerförteckning, DPA, integritetspolicy, samtyckes-loggar). (4) Visa pro-aktiva atgärder — förmildrande omständighet. (5) Var transparent och samarbetsvillig. Att ignorera IMY eskalerar alltid ärendet. Källa: GDPR Art. 31, Art. 83.

Har du fler frågor? Skriv till oss pa northverify.com — eller skanna din webbplats gratis for att se vilka brister som faktiskt finns.

Se ocksa vad är GDPR?, IMY-sanktioner 2025-2026 och GDPR-statistik 2026.