GDPR-ordlista: 50 termer forklarade pa svenska 2026

Denna ordlista förklarar 50 centrala begrepp i GDPR och svensk dataskyddsrätt. Varje definition inkluderar källhänvisning till relevant artikel i förordningen eller IMY:s vägledning. Listan är alfabetiskt ordnad.

Granskad av Simon Forsell, grundare Northverify. Senast uppdaterad: juli 2026.

A

AI Act EU:s förordning om artificiell intelligens (Regulation (EU) 2024/1689) som trädde i kraft 2024 och börjar tillämpas fullt ut 2026-2027. AI Act klassificerar AI-system i riskklasser och ställer krav på transparens, mänsklig kontroll och riskhantering. AI Act och GDPR överlappar kraftigt för AI-system som behandlar personuppgifter — dubbla krav gäller. Källa: Förordning (EU) 2024/1689.

Anonymisering Processen att permanent ta bort eller förstöra all information som kan identifiera en fysisk person, pa ett sätt som gör identifiering omöjlig — inklusive indirekt identifiering via kombinationer av uppgifter. Anonymiserad data är inte längre personuppgifter och faller utanför GDPR:s tillämpningsomrade. Kräver teknisk expertis och kan aldrig vara 100 % garanterad for komplex data. Jämfor med pseudonymisering. Källa: GDPR skäl 26; EDPB Opinion 05/2014.

Art. 9 (känsliga uppgifter) Artikel 9 i GDPR förbjuder i utgångspunkt behandling av särskilda kategorier av personuppgifter: ras eller etniskt ursprung, politiska asikter, religiös eller filosofisk övertygelse, fackföreningsmedlemskap, genetiska uppgifter, biometriska uppgifter (for identifieringssyften), hälsouppgifter, uppgifter om sexualliv och sexuell läggning. Undantag kräver antingen explicit samtycke eller stöd i lag. Källa: GDPR Art. 9.

Avtal (som rättslig grund) En av de sex rättsliga grunderna i Art. 6.1.b. Behandling är laglig om den är nödvändig for att fullgöra ett avtal i vilket den registrerade är part, eller for att vidta atgärder pa begäran av den registrerade innan ett avtal ingäs. Exempel: behandling av leveransadress for att skicka en beställning; behandling av e-post for att skicka orderbekräftelse. Kan inte användas for behandling som är "bekväm" for organisationen men inte nödvändig for avtalets fullgörelse. Källa: GDPR Art. 6.1.b.

Ändamål Det specifika syftet for vilket personuppgifter samlas in och behandlas. GDPR kräver att ändamal är specifika, uttryckliga och legitima (Art. 5.1.b). Vaga ändamal som "förbättra tjänsten" eller "marknadsföringsändamal" uppfyller inte kravet pa specificitet. Ändamal måste kommuniceras till de registrerade vid insamlingstillfället (Art. 13-14). Källa: GDPR Art. 5.1.b, Art. 13.

Ändamålsbegränsning Principen att personuppgifter som samlats in for ett specifikt ändamal inte far behandlas pa ett sätt som är oförenligt med det ursprungliga ändamalet (Art. 5.1.b). Om ett företag samlar in e-postadresser for orderbekräftelser far de inte använda samma adresser for marknadsföring utan separat rättslig grund (vanligtvis samtycke). Vidare behandling for arkivering, forskning eller statistik i allmänhetens intresse kan godkännas med lämpliga skyddsatgärder. Källa: GDPR Art. 5.1.b, Art. 6.4.

B

Barnuppgifter Personuppgifter om barn (under 18 ar, eller under 13-16 ar beroende pa tjänst och land) kräver särskild aktsamhet. For informationssamhällets tjänster (appar, sociala medier, webbplatser) som erbjuds direkt till barn kräver GDPR Art. 8 att samtycke inhämtas fran barnets vårdnadshavare om barnet är under 16 ar (Sverige har satt gränsen vid 13 ar via kompletterande lagstiftning). Barnuppgifter i övrigt kräver bedömning av barnets bästa i enlighet med FN:s barnkonvention. Källa: GDPR Art. 8; lagen (2018:218).

Behandling Varje atgärd eller serie av atgärder som vidtas beträffande personuppgifter — med eller utan automatisering. Definitionen är extremt bred: insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning, radering och förstöring räknas alla som behandling. Att ta emot en e-post med personuppgifter är behandling. Att manuellt titta pa en kundlista är behandling. Källa: GDPR Art. 4.2.

Berättigat intresse En av de sex rättsliga grunderna i Art. 6.1.f. Behandlingen är laglig om den är nödvändig för att tillgodose ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part, förutsatt att den registrerades grundläggande rättigheter och friheter inte väger tyngre. Kräver en trestegstest: (1) finns ett berättigat intresse? (2) är behandlingen nödvändig? (3) är intresset proportionellt mot den registrerades intressen? Kan inte användas for känsliga uppgifter (Art. 9) eller myndighetsutövning. Källa: GDPR Art. 6.1.f; skäl 47.

Biometriska data Personuppgifter som erhallits genom specifik teknisk behandling av en fysisk persons fysiska, fysiologiska eller beteendemässiga egenskaper, och som möjliggör eller bekräftar entydig identifiering av den personen. Exempel: fingeravtryck, ansiktsigenkänning, irisigenkänning, röstavtryck, handvenskanningar och gangartsigenkänning. Biometriska uppgifter som används for identifieringssyften är känsliga uppgifter under Art. 9 och kräver stärkare skydd. Källa: GDPR Art. 4.14, Art. 9.

C

Cookie En liten datafil som en webbplats lagrar i besökarens webbläsare for att lagra information. Cookies som är nödvändiga for tjänstens funktion (sessionshantering, kundvagn, inloggning) kräver inte samtycke. Analytiska, marknadsförings- och tredjepartscookies kräver aktivt opt-in-samtycke enligt ePrivacy-direktivet och GDPR. Meta Pixel, Google Analytics och LinkedIn Insight Tag är tekniskt sett cookies eller likvärdiga sparningsteknik och kräver samtycke. Källa: ePrivacy-direktiv (2002/58/EG); GDPR Art. 6; IMY:s cookie-riktlinjer.

D

Dataminimering Principen att bara de personuppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt i förhallande till de ändamal for vilka de behandlas far samlas in (Art. 5.1.c). Konkret: samla inte in telefonnummer om det inte är nödvändigt, begär inte personnummer om ordernummer räcker, lagra inte analysdata pa individniva om aggregerad statistik räcker. Är en av de sju grundprinciperna och granskas aktivt av IMY. Källa: GDPR Art. 5.1.c.

Dataportabilitet Rätten for registrerade att erhalla de personuppgifter de lämnat till en personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format (Art. 20). Gäller vid automatiserad behandling baserad pa samtycke eller avtal. Ger ocksa rätt att overföra uppgifterna direkt till en annan personuppgiftsansvarig (t.ex. flytta musikbibliotek fran en streamingtjänst till en annan). Måste tillhandahallas kostnadsfritt inom en manad. Källa: GDPR Art. 20.

DPF (EU-US Data Privacy Framework) EU-US Data Privacy Framework är ett ramverk antaget av EU-kommissionen i juli 2023 (Beslut 2023/1795) som möjliggör overföring av personuppgifter fran EU till certifierade amerikanska organisationer utan kompletterande skyddsatgärder. DPF är efterföljaren till Privacy Shield som EU-domstolen ogiltigförklarade i Schrems II-avgörandet (2020). Juridisk risk kvarstår — DPF kan utmanas i EU-domstolen pa liknande sätt som Privacy Shield. Källa: Genomförandebeslut (EU) 2023/1795; EU-domstolen C-311/18 (Schrems II).

DPIA (Konsekvensbedömning) Data Protection Impact Assessment (pa svenska konsekvensbedömning for dataskydd) är en dokumenterad riskbedömning som är obligatorisk nar en planerad behandling sannolikt innebär hög risk for de registrerades rättigheter och friheter (Art. 35). Obligatorisk vid: systematisk profilering med automatiserade beslut, storskalig behandling av känsliga uppgifter (Art. 9), systematisk övervakning av allmänt tillgängliga platser. IMY har publicerat en lista over behandlingar som alltid kräver DPIA. Källa: GDPR Art. 35; IMY:s DPIA-riktlinjer.

DPO (Dataskyddsombud) Data Protection Officer (pa svenska dataskyddsombud) är en utsedd person med ansvar att informera och radgiva organisationen om GDPR-skyldigheter, övervaka efterlevnaden och vara kontaktpunkt mot tillsynsmyndigheten (Art. 37-39). Obligatoriskt for: offentliga myndigheter och organ, organisationer som i stor skala behandlar känsliga uppgifter (Art. 9), organisationer som systematiskt overvakar registrerade i stor skala. DPO kan vara intern eller extern. IMY ska underrättas om vem DPO är. Källa: GDPR Art. 37-39.

E

ePrivacy-direktivet Direktivet om integritet och elektronisk kommunikation (2002/58/EG, ändrat av 2009/136/EG) reglerar cookies, e-postmarknadsföring och annan elektronisk kommunikation och kompletterar GDPR. Cookies kräver informerat samtycke enligt ePrivacy. En ny ePrivacy-förordning har länge diskuterats i EU men är fortfarande under förhandling 2026. Tills den antas gäller direktivet, implementerat i Sverige via Lagen om elektronisk kommunikation (LEK). Källa: Direktiv 2002/58/EG; lagen (2022:482) om elektronisk kommunikation.

G

Gallring Strukturerad och systematisk radering av personuppgifter nar de inte längre behövs for sitt ändamal, eller nar den lagstadgade lagringstiden löpt ut. En del av lagringsminimeringsprincipen (Art. 5.1.e). Organisationer bor ha gallringsrutiner som automatiserar radering — t.ex. radering av kunddata 3 ar efter senaste transaktion, radering av jobbansökningsdata 6 manader efter rekryteringsprocessen. Källa: GDPR Art. 5.1.e, Art. 17.

GDPR General Data Protection Regulation — pa svenska Dataskyddsförordningen. EU-förordning 2016/679, antagen 27 april 2016, i kraft fran 25 maj 2018. Reglerar behandling av personuppgifter om fysiska personer i EU och EES. Ersatte det tidigare EU-dataskyddsdirektivet (95/46/EG) och gäller direkt i alla EU:s 27 medlemsstater. Har 99 artiklar och 173 skäl. Läs den fullständiga definitionen i var artikel Vad är GDPR?. Källa: Förordning (EU) 2016/679.

I

IMY (Integritetsskyddsmyndigheten) Sveriges nationella tillsynsmyndighet for GDPR och dataskyddslagstiftning, med säte i Stockholm. IMY (tidigare Datainspektionen) utreder klagomål, genomför tillsynsgranskningar, utfärdar sanktionsavgifter och publicerar riktlinjer. IMY är en del av EDPB (European Data Protection Board) som samordnar tillsynen inom EU. Kontakt och anmälan via imy.se. Källa: GDPR Art. 51-54; forordning (2018:218).

Incidentrapportering (72-timmarsanmälan) Vid en personuppgiftsincident — en säkerhetsbrist som leder till att personuppgifter förstörs, förloras, ändras, röjs eller görs tillgängliga av misstag eller olovligen — ska den personuppgiftsansvarige anmäla detta till IMY inom 72 timmar fran det att incidenten upptäckts (Art. 33). Om incidenten sannolikt innebär hög risk for de registrerade ska de ocksa informeras direkt (Art. 34). Underlatenhet att anmäla är i sig ett GDPR-brott. Källa: GDPR Art. 33-34.

Integritetspolicy Det dokument eller den information som en organisation publicerar for att uppfylla informationskraven i Art. 13 (uppgifter som samlas in direkt) och Art. 14 (uppgifter som inte samlas in direkt). En GDPR-kompatibel integritetspolicy ska innehalla: organisationens identitet och kontaktuppgifter, ändamal och rättslig grund for varje behandling, mottagare av uppgifterna, lagringstider, de registrerades rättigheter och rätten att klaga till IMY. Generiska mallar uppfyller sällan kraven pa specificitet. Källa: GDPR Art. 13-14.

Integritetsskydd by design (Privacy by Design) Principen att dataskydd och integritetsskydd ska integreras i system och processer fran grunden — inte läggas till i efterhand (Art. 25.1). Innebär att tekniska och organisatoriska atgärder for dataskydd ska implementeras nar ett system designas, inte nar det redan är driftsatt. Exempelprinciper: minsta möjliga datainsamling som standard, end-to-end-kryptering, pseudonymisering dar det är möjligt. Källa: GDPR Art. 25.1.

K

Känsliga uppgifter Se Art. 9 (känsliga uppgifter) ovan. Termen "känsliga personuppgifter" används i dagligt tal om de särskilda kategorier av personuppgifter som Art. 9 förbjuder att behandla i normalfallet. Kräver antingen explicit samtycke (Art. 9.2.a), att den registrerade uppenbart offentliggjort uppgifterna (Art. 9.2.e), eller stöd i andra specifika undantagsgrunder. Behandling av känsliga uppgifter utlöser typiskt kravet pa DPIA (Art. 35). Källa: GDPR Art. 9.

Klagomål En registrerad som anser att behandlingen av deras personuppgifter kränker GDPR har rätt att inge ett klagomål till en tillsynsmyndighet (Art. 77). I Sverige är detta IMY. Klagomalet kan göras anonymt. IMY bedömer varje klagomål och avgör om utredning ska inledas. Privatpersoner kan ocksa söka rättslig prövning direkt i domstol (Art. 79). Organisationer ska ha en intern process for att hantera klagomål och ta kontakt med den klagande. Källa: GDPR Art. 77-79.

L

Lagringsminimering Principen att personuppgifter ska lagras i en form som möjliggör identifiering av de registrerade under en tid som inte överstiger vad som är nödvändigt for de ändamal for vilka uppgifterna behandlas (Art. 5.1.e). Konkret: sätt dokumenterade lagringstider for varje typ av data. Kund-e-post: 3 ar fran senaste köp. Jobbansökningar: 6 manader. Bokföringsunderlag: 7 ar (per bokföringslagen). Vidare lagring kräver nytt ändamal (t.ex. forskning) och lämpliga skyddsatgärder. Källa: GDPR Art. 5.1.e.

M

Marknadsföring + GDPR Direkt marknadsföring (e-post, SMS, push) kräver legal grund under bade GDPR och ePrivacy-direktivet. For befintliga kunder: "soft opt-in" — marknadsföring om liknande egna produkter/tjänster till kunder som inte aktivt avböjt, under förutsättning att de informerades om marknadsföringen vid köptillfället. For nya kunder och känsliga kategorier: explicit samtycke krävs. Köpta e-postlistor ar aldrig lagliga. Varje utskick måste erbjuda enkel avregistrering. Källa: GDPR Art. 6; LEK § 19; ePrivacy-direktiv Art. 13.

N

NIS2 NIS2-direktivet (direktiv 2022/2555) är EU:s uppdaterade lag om cybersäkerhet for samhällsviktiga tjänster och digitala infrastrukturleverantörer. Implementerades i Sverige via Cybersäkerhetslagen (CSL) 2025. NIS2 och GDPR overlappar for säkerhetsatgärder och incidentrapportering: bade GDPR (Art. 32-33) och NIS2 kräver lämpliga tekniska atgärder och incidenthantering. For organisationer som faller under bada regelverken gäller kompletterande krav. Källa: Direktiv (EU) 2022/2555; Cybersäkerhetslagen (2025).

O

One-stop-shop En-stop-shop-principen (Art. 56) innebär att en personuppgiftsansvarig eller ett personuppgiftsbiträde som har verksamhet i flera EU-länder bara behöver hantera sin GDPR-tillsyn via en enda tillsynsmyndighet — den i landet dar organisationens huvudsakliga verksamhet (eller enda verksamhet) bedrivs. For Meta är detta Irlands DPC. For en svensk organisation med säte i Sverige ar IMY lead supervisory authority. Principen gäller bara for gränsöverskridande behandling; rent nationell behandling hanteras av det landets myndighet. Källa: GDPR Art. 56.

P

Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (en "registrerad"). En person är identifierbar om de kan identifieras, direkt eller indirekt, t.ex. med hänvisning till ett namn, ett identifikationsnummer (personnummer, IP-adress, kundnummer), en lokaliseringsuppgift, online-identifikatorer eller en eller flera faktorer som är specifika for den personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Källa: GDPR Art. 4.1.

Personuppgiftsansvarig Den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamalen med och medlen for behandlingen av personuppgifter (Art. 4.7). Det är den personuppgiftsansvarige som bär det primära ansvaret for att GDPR efterlevs och som kan bötfällas av IMY. En organisation kan vara personuppgiftsansvarig for sina kunder, anställda och leverantörers kontaktpersoner. Källa: GDPR Art. 4.7, Art. 24.

Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter for den personuppgiftsansvariges räkning (Art. 4.8). Exempel: molntjänstleverantörer (AWS, Google Cloud), e-postverktyg (Mailchimp, Brevo), CRM-system (HubSpot, Salesforce), löneadministrationssystem. Relationen med biträdet måste regleras av ett skriftligt PUB-avtal (Art. 28). Biträdet far inte anlita underbiträden utan tillstand. Källa: GDPR Art. 4.8, Art. 28.

Personuppgiftsincident En säkerhetsbrist som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande av eller obehörig atkomst till overförda, lagrade eller pa annat sätt behandlade personuppgifter (Art. 4.12). Inkluderar: dataintrång, hackningsattacker, felskickad e-post med kunduppgifter, förlorad okrypterad bärbar dator, accidentell publicering av kundlista, ransomware. Ska anmälas till IMY inom 72 timmar om det inte är osannolikt att det leder till risk for de registrerades rättigheter. Källa: GDPR Art. 4.12, Art. 33.

Privacy by Default Principen att personuppgiftsansvariga ska genomföra lämpliga tekniska och organisatoriska atgärder for att som standard bara behandla de personuppgifter som är nödvändiga for varje specifikt ändamal (Art. 25.2). Konkret: standardinställningar i appar och webbplatser ska vara de minst dataintensiva — analytics-cookies ska vara avaktiverade som standard tills användaren aktivt väljer att aktivera dem. Motsatsen till "opt out"-design. Källa: GDPR Art. 25.2.

Profilering Varje form av automatiserad behandling av personuppgifter som bestar i att använda personuppgifterna till att bedöma vissa personliga aspekter hos en fysisk person, t.ex. for att analysera eller förutsäga aspekter avseende personens beteende, ekonomiska situation, hälsa, preferenser, intressen, palitlighet, beteende, vistelseort eller rörelser (Art. 4.4). Kräver ofta uttryckligt samtycke eller annan tydlig rättslig grund. Automatiserade beslut enbart baserade pa profilering ger den registrerade rätt att bestrida beslutet (Art. 22). Källa: GDPR Art. 4.4, Art. 22.

Pseudonymisering Behandling av personuppgifter pa ett satt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att ytterligare information används, under förutsättning att denna ytterligare information förvaras separat och omfattas av tekniska och organisatoriska atgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person (Art. 4.5). En rekommenderad teknisk skyddsatgärd men pseudonymiserade uppgifter är fortfarande personuppgifter. Källa: GDPR Art. 4.5, Art. 32.

PUB-avtal (Personuppgiftsbiträdesavtal) Skriftligt avtal som krävs nar en personuppgiftsansvarig anlitar ett personuppgiftsbiträde for att behandla personuppgifter (Art. 28). Avtalet ska reglera: behandlingens ändamal, art och varaktighet; vilken typ av personuppgifter och kategorier av registrerade som berörs; biträdets skyldigheter och rättigheter; och specifika krav fran Art. 28.3 (konfidentialitet, säkerhetsatgärder, rätt till revision, krav att underrätta om incidenter). Avsaknad av PUB-avtal är en av de vanligaste GDPR-bristerna. Se var PUB-avtalsgenerator. Källa: GDPR Art. 28.

R

Radering (rätten att bli bortglömd) Rätten for registrerade att begära att personuppgifter om dem raderas utan onödigt dröjsmål (Art. 17). Gäller nar: uppgifterna inte längre är nödvändiga for ändamalet, samtycket aterkallas (och ingen annan grund finns), den registrerade invänder mot behandlingen (och inga legitima skäl överväger), behandlingen är olaglig. Rätten kan avvisas om behandlingen är nödvändig for rättslig förpliktelse, allmänt intresse eller juridiska ansprak. Svar ska ges inom en manad. Källa: GDPR Art. 17.

Registerförteckning (Art. 30) En dokumentation over alla behandlingsaktiviteter som genomförs av en organisation, krävs av Art. 30. Ska innehalla: namn pa och kontaktuppgifter till den personuppgiftsansvarige (och ev. DPO), ändamal med behandlingen, kategorier av registrerade och personuppgifter, eventuella mottagare, overföringar till tredjeländer, planerade lagringstider och en övergripande beskrivning av tekniska och organisatoriska säkerhetsatgärder. Organisationer med färre än 250 anställda är undantagna om inte behandlingen är regelrätt, rör känsliga uppgifter eller innebär risk. Källa: GDPR Art. 30.

Registerutdrag En kopia av alla personuppgifter som en organisation behandlar om en specifik person, tillhandahallen pa den registrerades begäran (Art. 15). Ska inkludera information om ändamal, kategorier av uppgifter, mottagare, lagringstider, källa for uppgifterna och uppgift om rättigheter. Ska tillhandahallas kostnadsfritt och senast inom en manad. Uppenbara orimliga eller alltfor frekventa begäranden far debiteras med en rimlig avgift. Källa: GDPR Art. 15.

Rättelse Rätten for registrerade att utan onödigt dröjsmål fa felaktiga personuppgifter om dem rättade, och att fa ofullständiga personuppgifter kompletterade (Art. 16). Organisationer ska ha rutiner for att ta emot och hantera rättelseförfragan. Svar ska ges inom en manad. Vid rättelse av uppgifter som delats med tredje parter ska dessa underrättas om rättelsen, om det inte är omöjligt eller innebär en oproportionerlig ansträngning. Källa: GDPR Art. 16.

Rättslig grund All behandling av personuppgifter måste ha stöd i en av de sex rättsliga grunderna i Art. 6.1: (a) samtycke, (b) avtal, (c) rättslig förpliktelse, (d) skydda vitala intressen, (e) uppgift av allmänt intresse eller myndighetsutövning, (f) berättigat intresse. Utan rättslig grund är behandlingen olaglig. Rättslig grund måste fastställas innan behandlingen påbörjas — det går inte att välja grund i efterhand. For känsliga uppgifter (Art. 9) krävs dessutom en av de specifika grunderna i Art. 9.2. Källa: GDPR Art. 6.

S

Samtycke En frivillig, specifik, informerad och otvetydig viljeyttring fran den registrerade som, antingen genom ett uttalande eller en entydig aktiv handling, visar att han eller hon godkänner behandlingen av personuppgifterna (Art. 4.11). GDPR kräver att samtycket ar fritt (inget tvang eller koppling till tjänst), specifikt (per ändamal), informerat (tydlig information om vad som händer) och otvetydigt (aktiv handling — förinbockade rutor, tystnad och passivitet duger inte). Samtycke kan aterkalkas nar som helst. For känsliga uppgifter krävs "uttryckligt" samtycke. Källa: GDPR Art. 4.11, Art. 7.

SCC (Standardavtalsklausuler) Standard Contractual Clauses — standardiserade avtalsklausuler antagna av EU-kommissionen som kan användas som skyddsatgärd vid overföring av personuppgifter till tredjeländer (länder utanfor EU/EES) som inte har ett adekvansbeslag (Art. 46.2.c). Aktuella SCC antogs 2021 (Kommissionens beslut 2021/914) och inkluderar moduler for overföring mellan ansvariga, ansvarig till biträde, och biträde till biträde. SCC måste kompletteras med en riskbedömning (Transfer Impact Assessment, TIA) nar data skickas till högriskländer. Källa: GDPR Art. 46; Kommissionsbeslut 2021/914.

Schrems II EU-domstolens avgörande i mal C-311/18 (Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems), meddelat den 16 juli 2020. Domstolen ogiltigförklarade Privacy Shield (den dåvarande mekanismen for EU-US-dataöverföringar) och klargjorde att SCC kräver en kompletterande riskbedömning (TIA) nar data overförs till länder dar myndigheterna kan ha atkomst till uppgifterna. Avgörandet har haft genomgripande effekt pa hur europeiska organisationer hanterar dataöverföringar till USA och andra tredjeländer. Källa: EU-domstolen C-311/18 (16 juli 2020).

T

Tillsyn IMY:s (och övriga EU-dataskyddsmyndigheters) granskning av hur organisationer efterlever GDPR. Tillsyn kan utlösas av: klagomål fran registrerade, proaktiva granskningar av IMY (publiceras som tillsynsteman), och anmälningar om personuppgiftsincidenter. IMY kan utfärda förelägganden (krav pa atgärder), forbud mot behandling och sanktionsavgifter. Tillsynsbeslut offentliggörs pa imy.se. Se var artikel om IMY-sanktioner 2025-2026. Källa: GDPR Art. 51, Art. 58, Art. 83.

Transparens En av GDPR:s grundprinciper (Art. 5.1.a) — uppgifter ska behandlas pa ett öppet och transparent sätt i förhallande till den registrerade. Innebär att organisationen proaktivt informerar om sin behandling (via integritetspolicy och vid insamlingstillfället), svarar pa registerutdrag och rättelseförfragan, och inte döljer behandling i intetsägande formuleringar. IMY:s Spotify-beslut (58 MSEK, 2023) gällde just brist pa transparens — Spotify informerade inte tillräckligt om hur uppgifterna användes och med vem de delades. Källa: GDPR Art. 5.1.a, Art. 12-14.

Tredje land Ett land utanfor EU och EES som inte automatiskt säkerställer en adekvat skyddsniva for personuppgifter (Art. 44). Overföring av personuppgifter till ett tredje land är tillaten om: (1) EU-kommissionen har beslutat att landet erbjuder adekvat skydd (adekvansbeslut, t.ex. for Japan, UK, Nya Zeeland), (2) organisationen har infört lämpliga skyddsatgärder (SCC, bindande företagsbestämmelser), eller (3) ett specifikt undantag i Art. 49 gäller. USA har ett partiellt adekvansbeslut via DPF. Källa: GDPR Art. 44-49.

Tredjelandsöverföring Varje overföring av personuppgifter till en mottagare i ett tredje land (utanfor EU/EES). Innefattar inte bara avsiktlig export av data — att använda en molntjänst vars servrar är placerade i USA räknas som en tredjelandsöverföring. Google Analytics, Salesforce, AWS och Mailchimp är exempel pa tjänster som innebär tredjelandsöverföringar och kräver en laglig överföringsmekanism (adekvansbeslut, SCC eller undantag). Organisationer ska dokumentera alla tredjelandsöverföringar i sin registerförteckning. Källa: GDPR Art. 44-49.

U

Underbiträde En organisation som ett personuppgiftsbiträde i sin tur anlitar for att utföra viss behandling pa uppdrag av den personuppgiftsansvarige (Art. 28.2). Biträdet far inte anlita ett underbiträde utan forhanda tillstand fran den personuppgiftsansvarige — antingen specifikt tillstand eller generellt tillstand med rätt for den ansvarige att invända. Underbiträdet ska binda sig av samma skyldigheter som biträdet via ett eget PUB-avtal. Exempel: Mailchimp anlitar AWS som underbiträde for serverdrift. Källa: GDPR Art. 28.2-4.

Har du hittat ett begrepp som saknas? Kontakta oss pa northverify.com.

Se ocksa var kompletta guide till GDPR for svenska företag och GDPR-statistik 2026.