Hoppa till innehåll
Compliance & lag

GDPR-statistik 2026: 7,1 miljarder EUR i böter och 443 dataläckor per dag

11 min läsningAv Simon Forsell, grundare av Northverify

Den åttonde upplagan av DLA Pipers GDPR Fines and Data Breach Survey, publicerad i januari 2026, beskriver ett tillsynsklimat som inte längre kan kallas "framväxande". GDPR har genom sju verksamma år gått från en formell rättsakt till en kontinuerlig finansiell risk för verksamheter med personuppgiftsbehandling — och konsekvensen av denna utveckling drabbar inte längre enbart de stora plattformsbolagen.

Bötesvolym sedan 2018

GDPR trädde i kraft den 25 maj 2018. Mellan det datumet och den 10 januari 2026 har EU:s tillsynsmyndigheter ackumulerat utdömda böter motsvarande 7,1 miljarder EUR enligt DLA Pipers åttonde årliga survey. Antalet enskilda bötesbeslut överstiger 2 800 enligt sammanställningar baserade på GDPR Enforcement Tracker (CMS Law).

Den årliga utvecklingen visar ett påtagligt mönster. Efter initialt försiktiga år (2018–2020) ökade bötesvolymen dramatiskt under 2021–2023, drivet av enstaka stora beslut mot plattformsföretag. Under 2024 och 2025 har den årliga totala bötesvolymen stabiliserats runt 1,2 miljarder EUR — vilket vid första anblick kan tolkas som en avmattning, men som vid närmare granskning representerar en etablerad, hög baseline snarare än en stigande trend.

Mer än 60 procent av den totala ackumulerade bötesvolymen har utfärdats sedan januari 2023. Detta indikerar att tillsynen har övergått från sporadiska, uppmärksammade fall till en operativ, hög-volym praxis.

Det största enskilda beslutet 2025

Den största enskilda boten under 2025 utfärdades av irländska Data Protection Commission i april. Ett socialt medieföretag dömdes till 530 miljoner EUR för brott mot GDPR:s regler om internationell dataöverföring — det näst största bötesbeloppet i GDPR:s historia, efter Meta-beslutet 2023 (1,2 miljarder EUR).

443 anmälningar per dag — vad det betyder

För första gången sedan GDPR:s ikraftträdande passerade det genomsnittliga antalet incidentanmälningar per dag i Europa 400-tröskeln. Den specifika siffran för perioden 28 januari 2025 till 27 januari 2026 är 443 anmälningar per dag — en ökning med 22 procent jämfört med föregående år, då motsvarande siffra var 363.

Den utvecklingen är värd att notera av två skäl.

För det första har antalet anmälningar plana ut under flera år. Mellan 2021 och 2024 låg dagsgenomsnittet relativt stabilt runt 330–360 anmälningar. Att tröskeln 400 nu överskridits tydligt — och med en så pass kraftig procentuell ökning — bryter den tidigare stabila trenden.

För det andra är detta enbart de anmälda incidenterna. GDPR-artikel 33 kräver att personuppgiftsincidenter rapporteras till tillsynsmyndigheten inom 72 timmar, men efterlevnaden är av allt att döma ofullständig. Verkliga antalet incidenter ligger högre än rapporterade siffror.

En signal som CNIL själva lyfter fram i sin 2025-rapport är att antalet storskaliga dataintrång — definierat som incidenter som påverkar mer än en miljon registrerade — fördubblades mellan 2023 och 2024 i Frankrike. Mönstret tycks återupprepas i andra medlemsstater.

Geografisk fördelning av tillsynen

GDPR förvaltas formellt av varje medlemsstats nationella tillsynsmyndighet, men i praktiken är tillsynsvolymen kraftigt koncentrerad till några få jurisdiktioner.

Irländska Data Protection Commission har utfärdat ackumulerade böter på 4,04 miljarder EUR sedan 2018 — vilket motsvarar ungefär 57 procent av den totala bötesvolymen i EU. Förklaringen är inte att Irland har en mer aggressiv tillsynspolicy, utan att huvuddelen av de stora amerikanska teknikbolagen (Meta, Google, TikTok, LinkedIn, Apple) har sitt europeiska huvudkontor i Dublin. Genom GDPR:s så kallade one-stop-shop-mekanism hanteras gränsöverskridande ärenden av den medlemsstat där huvudverksamheten är etablerad.

Franska CNIL har under 2025 påtagligt ökat sin tillsynsaktivitet i monetära termer. Total bötesvolym uppgick till 486,8 miljoner EUR under året, vilket är 8,8 gånger högre än 2024 (55,2 miljoner EUR). Det är dock värt att notera att antalet sanktioner förblev i stort sett oförändrat (83 under 2025 mot 87 under 2024) — utvecklingen avser därför sanktionens magnitud, inte tillsynsfrekvensen.

CNIL identifierar i sin egen rapport tre huvudområden för 2025 års sanktioner: kakor och spårning, övervakning av medarbetare, och otillräcklig datasäkerhet. Två av de större besluten under året — €325 miljoner mot Google och €150 miljoner mot SHEIN, båda beslutade i september 2025 — gällde cookie-violations.

Svenska IMY har historiskt utdömt lägre belopp än sina franska och irländska motsvarigheter. Den största enskilda boten i Sverige hittills är 58 miljoner SEK mot Spotify i juni 2023 — ett beslut som dock senare reducerades till 40 miljoner SEK av förvaltningsrätten i juni 2024. IMY:s totala bötesvolym för 2024 var cirka 60,6 miljoner SEK.

Vad bötfälls — och vad bötfälls inte

En genomgång av CNIL:s 2025-rapport ger en användbar bild av vad som driver sanktionsbesluten i den jurisdiktion som under året haft den största monetära aktiviteten.

CNIL utfärdade 83 sanktioner under 2025. Av dessa avsåg 21 stycken brott mot reglerna för kakor och spårning — antingen lagring av trackers utan samtycke, otillräcklig information vid samtyckesinhämtning, eller bristande respekt för användares opt-out-val. Det är detta område som genererade de största enskilda bötesbeloppen under året.

Övriga sanktionsområden 2025 inkluderar:

  • Övervakning av medarbetare (16 organisationer). CNIL har explicit uttalat att kontinuerlig videoövervakning av anställda — exempelvis vid kassaplatser eller på kontor — inte kan motiveras utom under exceptionella säkerhetsomständigheter.
  • Otillräcklig datasäkerhet (14 organisationer). Vanliga brister inkluderar svaga lösenordsstandarder och delade användarkonton.
  • Bristande efterlevnad av registrerades rättigheter (14 fall). Det vill säga underlåtenhet att svara på begäran om radering, invändning eller tillgång.
  • Otillåten elektronisk marknadsföring (10 fall).
  • Felaktig hantering av barns personuppgifter, särskilt inom socialvården.

Det är värt att observera vad som inte finns i denna lista i samma utsträckning: omfattande analyser av dataöverföringar till tredje land, eller komplexa juridiska bedömningar av berättigade intressen. CNIL har under 2025 prioriterat tekniskt detekterbara överträdelser där bevisföringen är okomplicerad — och där sanktionsprocessen kan hanteras inom den förenklade sanktionsprocedur som infördes 2022.

För svenska företag innebär detta att man bör ägna särskild uppmärksamhet åt de områden där upptäckt är teknisk: kakhantering, säkerhetshuvuden, samtyckesflöden, och rättigheter för registrerade.

Svenska sanktionsbeslut

IMY (Integritetsskyddsmyndigheten) har under de senaste åren utfärdat ett antal sanktionsbeslut som ger en användbar bild av vilka områden myndigheten prioriterar.

Spotify AB (juni 2023): 58 miljoner SEK i ursprunglig bot, reducerad till 40 miljoner SEK efter förvaltningsrättens dom i juni 2024. Grunden var brott mot Artikel 15 GDPR (rätt till tillgång) — Spotify hade inte tillhandahållit tillräckligt tydlig information om hur personuppgifter behandlades i samband med att registrerade utövade sin tillgångsrätt.

Bonnier News AB (juni 2023): 13 miljoner SEK för profilering av kunder och webbplatsbesökare utan giltig rättslig grund. IMY fastslog att den profilering som genomfördes — kombinerande köpdata, surfbeteende och externa datakällor — inte kunde motiveras under berättigat intresse enligt Artikel 6.1(f) GDPR. Beslutet refererade explicit till Artikel 5(3) i ePrivacy-direktivet och utgör ett av de första svenska besluten där ePrivacy-direktivet uttryckligen åberopats i sanktionsmotiveringen.

Klarna Bank AB (mars 2022): 7,5 miljoner SEK för brister i informationsplikten enligt Artiklar 12, 13 och 14 GDPR. Klarna hade inte tillräckligt tydligt informerat registrerade om syften, rättslig grund, mottagare av personuppgifter, eller överföringar till tredje land. Beslutet upprätthölls av Kammarrätten i mars 2024 efter en mellanliggande sänkning av förvaltningsrätten.

Mönstret i svenska beslut är samstämmigt: transparens och informationsplikt är det dominerande temat. IMY har historiskt sett varit mer återhållsamma än CNIL i bötesnivåer, men har genom 2023 års beslut visat en tydlig vilja att tillämpa det maximala bötesintervallet när omständigheterna motiverar det.

Implikationer för små och medelstora företag

Den mediala bilden av GDPR-tillsyn domineras av de stora bötesbesluten mot plattformsföretag. Den bilden är dock missvisande i två avseenden.

För det första är de stora bötesbesluten koncentrerade till några få jurisdiktioner (främst Irland) och några få bolag. Den volym av sanktioner som faktiskt drabbar små och medelstora företag är distribuerad över betydligt mindre belopp — typiskt 50 000 till 500 000 SEK i svenska fall, eller motsvarande nivåer i andra medlemsstater.

För det andra är de bristerna som genererar SMB-böter sällan komplexa juridiska bedömningar. Den genomgång av CNIL:s 2025-praxis som redovisas ovan visar att de vanligaste sanktionsgrunderna — kakor utan samtycke, bristande informationsplikt, otillräcklig datasäkerhet — är tekniskt detekterbara. Det innebär att tillsynsmyndigheterna kan upptäcka överträdelser via automatiserade granskningar utan att behöva genomföra omfattande utredningar.

Den praktiska slutsatsen för svenska företag är att grundläggande efterlevnad är detekterbar både av tillsynsmyndigheterna och av företagen själva. De verktyg som krävs för att kontrollera om en webbplats laddar trackers före samtycke, om informationspolicyn är komplett, eller om säkerhetshuvuden är korrekt konfigurerade, är tillgängliga och vanligen icke-kostnadskrävande. Du kan exempelvis kontrollera cookies på din hemsida eller testa SSL-certifikatet gratis på några sekunder utan konto.

Den högre risken ligger inte i komplexitet utan i förbiseende: att inte regelbundet granska den tekniska efterlevnaden av webbplatsens GDPR-konfiguration. För en bredare bedömning kan du göra en fullständig GDPR- och säkerhetsskanning som täcker cookies, samtycke, säkerhetsrubriker, kryptering och datadelning i ett svep.

Vanliga frågor

Hur stora kan GDPR-böterna bli för ett svenskt företag?

GDPR-böter kan utdömas upp till antingen 20 miljoner EUR eller 4 procent av företagets globala årliga omsättning från föregående räkenskapsår — det högre beloppet tillämpas. För svenska företag har IMY i praktiken utdömt belopp mellan 50 000 SEK för mindre överträdelser och 58 miljoner SEK (Spotify, 2023) för de större fallen. Genomsnittsbeloppet för svenska SMB-böter ligger typiskt i intervallet 200 000 till 2 000 000 SEK.

Vad är största GDPR-boten någonsin?

Den största enskilda GDPR-boten är 1,2 miljarder EUR mot Meta Platforms Ireland Limited, utfärdad i maj 2023 av den irländska Data Protection Commission. Beslutet gällde otillåten överföring av personuppgifter från EU till USA. Den näst största är 530 miljoner EUR mot ett socialt medieföretag, utfärdad av samma myndighet i april 2025.

Hur många dataintrång rapporteras i Europa varje år?

Under perioden januari 2025 till januari 2026 rapporterades i genomsnitt 443 personuppgiftsincidenter per dag till europeiska tillsynsmyndigheter — totalt cirka 162 000 anmälningar under året. Detta är en ökning med 22 procent jämfört med föregående period.

Vilka områden bötfälls oftast?

Enligt CNIL:s 2025-rapport är de vanligaste sanktionsgrunderna: kakor och spårning utan giltigt samtycke (cirka 25 procent av fallen), övervakning av medarbetare, otillräcklig datasäkerhet (svaga lösenord, delade konton), och bristande efterlevnad av registrerades rättigheter (rätt till radering, tillgång, invändning).

Måste små företag följa GDPR?

Ja. GDPR gäller alla organisationer som behandlar personuppgifter om individer i EU/EES, oavsett företagsstorlek. Vissa specifika krav — såsom skyldigheten att föra ett register över behandlingar enligt Artikel 30 — gäller dock främst företag med 250 eller fler anställda, eller där behandlingen sker regelmässigt eller omfattar känsliga uppgifter. Det innebär i praktiken att de flesta SMB:er som driver webbplats omfattas av merparten av GDPR:s krav.

Hur vet jag om min webbplats är GDPR-compliant?

De vanligaste teknikrelaterade bristerna kan identifieras genom automatiserad granskning. Detta omfattar: kontroll av om trackers laddas före användarens samtycke, granskning av cookie-bannerns utformning, validering av integritetspolicyns innehåll, och tekniska säkerhetshuvuden. För djupare juridisk bedömning av behandlingsregister och rättslig grund krävs vanligen extern rådgivning.

Vad händer om man får en GDPR-bot?

Den drabbade organisationen har normalt 30 dagar på sig att överklaga beslutet till nationell domstol — i Sverige förvaltningsrätten. Under överklagandetiden gäller boten men verkställs ofta inte. Vid avslag av överklagandet är boten verkställbar. Beslut kan föras vidare upp till EU-domstolen i frågor som rör tolkning av GDPR.

Är GDPR-tillsynen på väg att lättas?

Nej, snarare tvärtom. Bötesvolymen har fördubblats sedan januari 2023, och tillsynsmyndigheterna har under 2025 etablerat en förenklad sanktionsprocedur som möjliggör snabbare beslut i tydliga fall. Den europeiska kommissionen har dock genom det så kallade Digital Omnibus-paketet öppnat för viss förenkling i specifika undantag, framförallt kopplade till AI-tillämpningar — men de centrala efterlevnadskraven kvarstår oförändrade.

Källor och metodik

Samtliga siffror i denna artikel är hämtade från primärkällor publicerade mellan januari och mars 2026:

  • DLA Piper GDPR Fines and Data Breach Survey, januari 2026 — ackumulerad bötesvolym, dagliga incidentanmälningar, jurisdiktionsfördelning
  • CNIL Sanctions and Corrective Measures: CNIL's Actions in 2025 (cnil.fr, februari 2026) — franska sanktionsbeslut, sektorsfördelning, beslutsprocedur
  • CMS Law GDPR Enforcement Tracker Report — enskilda bötesbeslut, sektoranalyser
  • IMY:s officiella beslutspublikationer — svenska sanktionsbeslut (Spotify, Bonnier News, Klarna)
  • European Data Protection Board (EDPB) — gränsöverskridande beslut, one-stop-shop-rapporter
  • GDPRhub.eu — primärdokumentation av enskilda sanktionsbeslut med direkta länkar till nationella beslutstexter

Den årliga bötesvolymen för 2025 (1,2 miljarder EUR) är ett aggregerat värde och inkluderar inte alla nationella sanktioner som ej rapporterats publikt eller som inte ingår i DLA Pipers metodologi. Den faktiska volymen kan vara något högre.

Genomgången av svenska sanktionsbeslut omfattar endast offentliggjorda beslut. IMY har, enligt sin egen redogörelse, även hanterat sanktioner som inte publicerats publikt och vars belopp därför inte ingår i den volym som redovisas i tabellerna.

Skanna din webbplats — gratis

Northverify hittar GDPR-, säkerhets- och tillgänglighetsproblem på 60 sekunder. Inget konto krävs för att köra första skanningen.

Kör en gratis scan

Relaterade artiklar

Compliance & lag

NIS2 i Sverige 2026: Cybersäkerhetslagen, omfattning och vad du måste göra

Komplett guide till Cybersäkerhetslagen (SFS 2025:1506) som trädde i kraft 15 januari 2026. 18 sektorer, sanktioner upp till €10M, checklista.

12 min läsning
Compliance & lag

EAA i Sverige 2026: Tillgänglighetslagen, vem omfattas och vad du måste göra

Komplett guide till tillgänglighetslagen LPTT som trädde i kraft 28 juni 2025. WCAG 2.1 AA-krav, sanktioner upp till 10 MSEK, praktisk checklista.

12 min läsning
Jämförelser

NorthVerify vs Cookiebot 2026: Vilket compliance-verktyg passar svenska företag?

Saklig jämförelse: NorthVerify vs Cookiebot 2026. Funktioner, priser, regulatorisk täckning. När passar vilket verktyg för svenska företag?

10 min läsning
Innehåll