GDPR Sverige 2026: komplett guide för svenska företag

GDPR — General Data Protection Regulation, på svenska Dataskyddsförordningen — är EU:s centrala dataskyddslag som trädde i kraft den 25 maj 2018 och ersatte det svenska Personuppgiftslagen (PuL). Förordningen gäller direkt i alla EU:s 27 medlemsstater utan nationell implementering, men kompletteras av nationell kompletteringslagstiftning (i Sverige: Dataskyddslagen SFS 2018:218).

GDPR reglerar hur organisationer får samla in, lagra, använda, dela och radera personuppgifter om EU-medborgare. En personuppgift är all information som direkt eller indirekt kan identifiera en levande person — namn, e-postadress, IP-adress, cookie-ID, biometriska data, hälsoinformation och i många fall pseudonymiserade data.

Lagen bygger på sju grundprinciper (artikel 5), sex lagliga grunder för behandling (artikel 6), och ett system av åtta registrerades rättigheter (artiklarna 12–23). Tillsyn utövas av nationella dataskyddsmyndigheter — i Sverige IMY (Integritetsskyddsmyndigheten), tidigare Datainspektionen.

Varför är GDPR viktig för svenska företag 2026?

IMY intensifierade sin tillsyn markant under 2025 och utfärdade sanktioner för totalt 264 MSEK — en ökning med 38 % jämfört med 2024. Mönstret är tydligt: de flesta sanktioner träffar organisationer som känt till bristerna men skjutit upp åtgärderna. Apoteket (37 MSEK), Sportadmin (6 MSEK) och ett flertal SMB-aktörer fick alla böter för välkända och fullt åtgärdbara problem.

Från 2026 samordnar IMY sin tillsyn med NCSC (NIS2) och PTS (EAA) — en samlad compliance-kontroll av svenska webbplatser. Att ha ordning på GDPR är ett förutsättning för att klara de övriga regelverken.

Se vår kompletta guide till GDPR-statistik och böter 2026 för fullständig bötesöversikt.

GDPR gäller för alla personuppgiftsansvariga (controllers) och personuppgiftsbiträden (processors) som behandlar personuppgifter om EU-bosatta individer. Det spelar ingen roll var organisationen själv är etablerad — ett amerikanskt bolag som säljer till svenska konsumenter är fullt ut GDPR-skyldig.

Tre situationer som alltid utlöser GDPR

1. Du erbjuder varor eller tjänster till personer i EU (oavsett om de är avgiftsbelagda eller gratis)
2. Du övervakar beteendet hos EU-bosatta individer (inklusive webbanalys via Google Analytics)
3. Du är etablerad i EU och behandlar personuppgifter som en del av den verksamheten

Undantag

Rent privat behandling (familjens bildalbum) och behandling av uppgifter om juridiska personer (AB, Ltd) faller utanför GDPR. Notera dock att kontaktuppgifter till enskilda firmainnehavare och soloföretagare normalt klassificeras som personuppgifter.

Storlekströskel?

GDPR innehåller inga omsättnings- eller storlekströskel — ett enmanskonsultbolag med en webbplats och ett kontaktformulär faller fullt ut under förordningen. Det finns dock proportionalitets- och rimlighetsavvägningar: en enskild konsult behöver inte ett globalt compliance-program, men måste ha en korrekt integritetspolicy, hantera cookie-samtycke och kunna tillvarata registrerades rättigheter.

Artikel 5 GDPR fastställer sju grundprinciper som genomsyrar hela förordningen. Alla krav — integritetspolicyer, PUB-avtal, registerförteckningar, incidenthantering — är ytterst uttryck för dessa principer.

Ansvarsskyldighet i praktiken

Ansvarsskyldigheten (accountability, artikel 5.2) är den princip IMY lutar sig mest mot vid tillsyn. Det räcker inte att följa GDPR — du måste kunna bevisa att du följer det. Det innebär skriftliga rutiner, registerförteckning (Art. 30), genomförda DPIA:er för riskfyllda behandlingar, och dokumenterade PUB-avtal med samtliga leverantörer som hanterar personuppgifter.

GDPR ger individer (de "registrerade") åtta rättigheter. Alla organisationer som samlar in personuppgifter måste ha processer för att hantera dessa rättighetsutövningar — typiskt inom en månad (artikel 12.3).

• Rätt till information (Art. 13–14) — Ska informeras om behandlingen vid insamlingstillfället via integritetspolicyn
• Rätt till tillgång (Art. 15) — Ska kunna begära kopia av alla uppgifter ni behandlar om dem
• Rätt till rättelse (Art. 16) — Felaktiga uppgifter ska rättas utan onödigt dröjsmål
• Rätt till radering / "rätten att bli bortglömd" (Art. 17) — Uppgifter ska raderas om behandlingen inte längre är nödvändig eller laglig
• Rätt till begränsning (Art. 18) — Individen kan begränsa behandlingen under utredning
• Rätt till dataportabilitet (Art. 20) — Uppgifterna ska kunna lämnas ut i maskinläsbart format (JSON, CSV)
• Rätt att göra invändningar (Art. 21) — Kan invända mot behandling baserad på berättigat intresse eller för direktmarknadsföring
• Rätt mot automatiserade beslut (Art. 22) — Rätt att inte underkastas enbart automatiserade beslut med rättsliga eller likartade effekter

Vanliga fallgropar

De vanligaste problemen med rättighetshantering är: (1) inga kontaktuppgifter för DSR-förfrågningar i integritetspolicyn, (2) svar dröjer mer än en månad utan att begära förlängning, (3) raderingsförfrågningar ignoreras för data som "behövs för bokföring" utan att separera bokföringsdata från marknadsföringsdata.

Artikel 37 GDPR kräver att vissa organisationer utser ett dataskyddsombud (DPO — Data Protection Officer). Kravet gäller när:

• Organisationen är en offentlig myndighet (inga undantag)
• Kärnverksamheten kräver storskalig, regelbunden och systematisk övervakning av individer (t.ex. annonsplattformar, telekommunikation)
• Kärnverksamheten innefattar storskalig behandling av känsliga uppgifter (Art. 9 — hälsa, etnicitet, religion, sexualitet, politisk åsikt, biometri)

De flesta SMB behöver inget DPO

En typisk e-handelsbutik, konsultfirma eller SaaS-bolag med under 250 anställda behöver normalt inte ett formellt DPO. Däremot kan det vara klokt att utse en intern "dataskyddsansvarig" — en person som håller koll på GDPR-compliance utan att ha det formella mandatet som ett DPO kräver.

Vad gör ett DPO?

DPO:t informerar och råder organisationen om GDPR, övervakar efterlevnad, kontaktar IMY vid behov, och fungerar som kontaktpunkt för de registrerade. DPO:t kan inte hållas personligt ansvarigt för GDPR-brott — ansvaret ligger hos den personuppgiftsansvarige.

Artikel 28 GDPR kräver att det alltid finns ett skriftligt personuppgiftsbiträdesavtal (PUB-avtal, Data Processing Agreement) när en organisation anlitar en extern part som behandlar personuppgifter för dess räkning.

När behövs PUB-avtal?

PUB-avtal krävs med alla leverantörer som behandlar personuppgifter för din räkning — inte leverantörer som behandlar uppgifter för egna ändamål (t.ex. leverantörer som är självständiga personuppgiftsansvariga).

Typiska leverantörer som kräver PUB-avtal: Google Analytics / Google Workspace, Mailchimp, HubSpot, Stripe, Klarna, Fortnox, Visma, AWS, Azure, Salesforce.

Vad ska PUB-avtalet innehålla?

Artikel 28.3 listar minimikrav: behandlingens art, ändamål och varaktighet; typ av personuppgifter och kategorier av registrerade; biträdets skyldigheter och rättigheter; instruktioner för behandlingen; konfidentialitet; säkerhetsåtgärder (Art. 32); underbiträden; assistans med rättigheter; radering/returnering; revisionsrätt.

Se vår djupgående guide: PUB-avtal: mall och guide 2026 eller generera ett direkt med PUB-avtal-generatorn.

Artikel 30 GDPR kräver att organisationer för en förteckning över behandlingsaktiviteter (Records of Processing Activities, ROPA). Kravet gäller alla organisationer med 250+ anställda, och även mindre organisationer vars behandling sannolikt innebär en risk för registrerade, behandlar känsliga uppgifter, eller inte är tillfällig.

I praktiken innebär "inte tillfällig behandling" att de flesta organisationer med en hemsida, CRM-system eller e-postlista måste föra registerförteckning.

Vad ska förteckningen innehålla?

• Namn och kontaktuppgifter till personuppgiftsansvarig och eventuellt DPO
• Ändamålen med behandlingen
• Kategorier av registrerade och personuppgifter
• Mottagare av uppgifterna (inklusive tredjeländer)
• Lagringstider
• Beskrivning av tekniska och organisatoriska säkerhetsåtgärder

Se: Registerförteckning och DPIA: mallar 2026

En Data Protection Impact Assessment (DPIA, konsekvensbedömning avseende dataskydd) krävs enligt artikel 35 GDPR när en planerad behandling sannolikt leder till en hög risk för registrerades rättigheter och friheter.

När är DPIA obligatorisk?

• Systematisk och extensiv profilering med automatiserade beslut (kreditscoring, beteendeprofiler)
• Storskalig behandling av känsliga uppgifter (Art. 9 eller Art. 10)
• Systematisk övervakning av allmänt tillgängliga platser (kameraövervakning)
• EDPB:s lista i artikel 35.4 — nationella tilläggslistor från IMY

DPIA-process i fyra steg

1. Beskriv behandlingen och dess ändamål
2. Bedöm nödvändigheten och proportionaliteten
3. Identifiera och bedöm risker för de registrerade
4. Identifiera åtgärder för att hantera riskerna

Om DPIA:n visar en kvarstående hög risk som inte kan åtgärdas ska IMY rådfrågas (artikel 36) innan behandlingen påbörjas.

Artikel 33 GDPR kräver att personuppgiftsincidenter anmäls till IMY inom 72 timmar från det att du blir medveten om incidenten — förutsatt att incidenten sannolikt innebär en risk för registrerade.

Vad räknas som en personuppgiftsincident?

Varje säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter. Exempel: databas-intrång, felskickat e-postutskick med kundlistor, borttappad laptop utan kryptering, phishing-attack mot HR-system.

Tre risknivåer

• Låg risk: Intern dokumentation räcker — ingen IMY-anmälan krävs
• Medelhög risk: Anmälan till IMY inom 72h krävs
• Hög risk: Anmälan till IMY + underrättelse till berörda individer

Fullständig steg-för-steg-guide: Personuppgiftsincident: anmäl till IMY inom 72 timmar

Cookies regleras av två regelverk som samverkar: ePrivacy-direktivet (implementerat i Sverige via Lagen om elektronisk kommunikation, LEK) och GDPR. Direktivet kräver samtycke för icke-nödvändiga cookies; GDPR reglerar hur personuppgifter i cookies behandlas.

IMY:s krav på cookie-samtycke

• Samtycket måste vara fritt, specifikt, informerat och otvetydigt
• Förinbockade rutor är olagliga
• Avböj-alternativet ska vara lika prominent som acceptera
• Inga spårningskript får köras före samtycke
• Samtycke ska kunna återkallas lika enkelt som det gavs
• "Cookie walls" (krav på samtycke för att besöka sajten) är olagliga

Se: Cookie-banner GDPR 2026: IMY:s krav och dark patterns. Testa din sajt med gratis cookie-scanner.

Artiklarna 13–14 GDPR kräver att den personuppgiftsansvarige lämnar specifik information till den registrerade vid insamling av personuppgifter. Denna information presenteras vanligtvis som en integritetspolicy (Privacy Policy) på webbplatsen.

Obligatorisk information i integritetspolicyn

• Identitet och kontaktuppgifter till personuppgiftsansvarig och eventuellt DPO
• Ändamål och rättslig grund för varje behandling
• Berättigade intressen (om Art. 6.1.f används)
• Mottagare och kategorier av mottagare
• Eventuell tredjelandsöverföring och skyddsåtgärder
• Lagringstid per ändamål
• De registrerades rättigheter med kontaktuppgifter
• Rätten att klaga till IMY
• Om samtycke är den rättsliga grunden: rätten att återkalla samtycket

Generera en GDPR-korrekt integritetspolicy med vår integritetspolicy-generator eller läs integritetspolicy-guiden med mall.

GDPR:s sanktionssystem är tvådelat (artikel 83):

• Nivå 1: Upp till 10 miljoner euro eller 2 % av global årsomsättning (det högre beloppet) — för organisatoriska brister
• Nivå 2: Upp till 20 miljoner euro eller 4 % av global omsättning — för brott mot grundprinciperna, rättsliga grunder, registrerades rättigheter och tredjelandsöverföring

Utöver sanktionsavgifter kan IMY utfärda förbud mot behandling (vilket kan slå hårt mot kärnverksamheten), kräva radering av data, och utfärda reprimander.

IMY:s tillsynsprioriteringar 2026

IMY har angett fyra prioriterade tillsynsområden för 2026: hälsodata online och e-handel, AI-system med automatiserade beslut, arbetsgivardata (HR-system, produktivitetsövervakning), och NIS2-koordinering med NCSC.

Se: IMY-sanktioner 2025-2026: alla bötesbeslut och GDPR-statistik 2026.

Kapitel V GDPR reglerar överföring av personuppgifter till länder utanför EES ("tredjeländer"). Grundregeln: överföring till tredjeländer är förbjuden om adekvat skyddsnivå inte kan säkerställas.

Godkända mekanismer

• Adekvansbeslut: EU-kommissionen har beslutat att landet ger adekvat skydd (t.ex. UK, Japan, Sydkorea)
• EU-US Data Privacy Framework (DPF): Ersatte Privacy Shield 2023 — gäller för US-företag certifierade under DPF
• Standardavtalsklausuler (SCC): EU-kommissionens standardavtal som kan bifogas PUB-avtal
• Bindande företagsbestämmelser (BCR): För koncernintern överföring, kräver IMY-godkännande

Praktiskt: om du använder Google Analytics, AWS, Mailchimp eller Stripe och dessa processas på servrar utanför EES — kontrollera att din leverantör antingen är certifierad under EU-US DPF eller att ni har signerade SCC i ert PUB-avtal.

EU:s AI Act trädde i kraft i faser från 2024 och kompletterar GDPR för organisationer som använder AI-system. De två regelverken överlappar på viktiga punkter:

• AI-system som behandlar personuppgifter är fortfarande underställda GDPR — AI Act förändrar inte det
• Automatiserade beslut (GDPR Art. 22) + högrisk-AI-system (AI Act) kräver sammanlagda transparens- och kontrollkrav
• AI-system för biometrisk identifiering, anställningsbeslut, kreditscoring och hälsoanalys är "högrisk" under AI Act
• Generativ AI (ChatGPT, Copilot) som tränas på personuppgifter kräver korrekt rättslig grund under GDPR

IMY publicerade 2025 vägledning om AI och GDPR — EDPB arbetar med mer detaljerade riktlinjer. Grundregeln: använde AI-systemet personuppgifter? Då gäller GDPR fullt ut, oavsett AI Act-klassificering.

De vanligaste orsakerna till IMY-ingripanden — otillåtna cookies, spårningsskript utan samtycke, saknade PUB-avtal — är fullt identifierbara med ett automatiserat scan-verktyg.

En Northverify-skanning tar 60 sekunder, kräver ingen registrering och täcker:

• Cookies och spårningsskript utan samtycke
• Saknade eller otillräckliga säkerhetshuvuden (NIS2)
• WCAG 2.1 AA-brister (EAA)
• Saknad integritetspolicy eller felaktiga kontaktuppgifter
• HTTPS-konfiguration och certifikatsstatus

Uppskatta din bötesrisk med GDPR-böteskalkylatorn.