Behöver alla företag en integritetspolicy?

Ja, om ni behandlar personuppgifter i någon form — vilket nästan alla företag gör. Detta inkluderar kunddata, anställdas uppgifter, leverantörers kontaktpersoner, webbplatsbesökare via cookies/analytics, och formulärinlämningar. Kravet på information till registrerade enligt GDPR Art. 13-14 är absolut. Även enskilda firmor och små organisationer omfattas. Storleken på organisationen påverkar inte kravet.

Vad är skillnaden mellan integritetspolicy och integritetsmeddelande?

I praktiken används orden synonymt. Tekniskt sett: en integritetspolicy är ett INTERNT styrdokument (framtaget av ledning/styrelse) som beskriver hur organisationen ska arbeta med dataskydd. Ett integritetsmeddelande är den EXTERNA information ni ger till registrerade — alltså det dokument som publiceras på webbplatsen. Det som vanligtvis kallas 'integritetspolicy' i dagligt språkbruk är egentligen ett integritetsmeddelande. GDPR Art. 13-14 reglerar integritetsmeddelandet, inte den interna policyn.

Vilka 14 punkter måste finnas med enligt GDPR Art. 13?

Vid insamling DIREKT från registrerad (Art. 13): (1) namn + kontaktuppgifter till personuppgiftsansvarig, (2) representant om utsedd, (3) DSO kontaktuppgifter om utsett, (4) ändamål med behandlingen, (5) rättslig grund, (6) berättigade intressen om Art. 6.1.f, (7) mottagare/kategorier av mottagare, (8) tredjelandsöverföringar + skyddsmekanism, (9) lagringstid eller kriterier, (10) rättigheter (åtkomst, rättelse, radering, etc.), (11) återkalla samtycke om relevant, (12) rätt att klaga hos IMY, (13) om uppgiftslämnande är lagstadgat/avtalsenligt + följder av att ej lämna, (14) automatiserat beslutsfattande inkl. profilering med meningsfull info om logik och konsekvenser.

Vad är skillnaden mellan Art. 13 och Art. 14?

Art. 13 gäller när ni samlar personuppgifter DIREKT från den registrerade (kontaktformulär, beställning, registrering). Art. 14 gäller när ni får uppgifter från NÅGON ANNAN — tredje part, offentliga register, datamäklare. Vid Art. 14 tillkommer två extra punkter: kategorier av personuppgifter (eftersom den registrerade inte själv lämnat dem) och källa till uppgifterna (varifrån ni fick dem). Tidsfrister: vid Art. 14 ska information lämnas inom rimlig tid — senast 1 månad från insamling.

Måste integritetspolicyn vara på svenska?

Om ni riktar er till svenska kunder: ja. GDPR Art. 12 kräver att informationen ges 'i en koncis, klar och tydlig, begriplig och lättillgänglig form, med användning av klart och enkelt språk'. Holländsk tillsynsmyndighet utdömde 750 000 EUR i sanktion mot ett företag vars integritetsmeddelande var på engelska trots holländska användare (särskilt barn). För svenska SMB:er som har svenska kunder eller anställda är svenska språk inte bara best practice — det är compliance-krav. Engelska parallellversion är OK och rekommenderas för internationell verksamhet.

Hur länge får vi spara personuppgifter?

Så länge det finns ett ändamål OCH rättslig grund. Specifika lagstadgade krav överrider — exempelvis räkenskapsmaterial enligt Bokföringslagen (1999:1078) ska bevaras i 7 år. Kunduppgifter för marknadsföring bör raderas vid återkallande av samtycke eller när kunden inte längre är aktiv. Anställdas uppgifter har olika retentionsregler beroende på syfte (lönehistorik, pensionsrätt, arbetsskador). Integritetspolicyn ska ange lagringstid eller kriterier för att bestämma den — inte 'tills vidare' eller 'så länge det behövs' utan motivering.

Vad händer om vår integritetspolicy är bristfällig?

IMY har utdömt sanktionsavgifter mot flera svenska organisationer inklusive Klarna, Spotify och Region Stockholm — delvis för bristande information till registrerade enligt Art. 13-14. Brott mot informationsplikten faller under lägre sanktionsnivån (Art. 83.5): upp till 20 miljoner EUR eller 4 procent av global årsomsättning. För svenska SMB:er är realistiska nivåer normalt 50 000 - 500 000 SEK för enskilda överträdelser, men kombinerade brister kan ge högre belopp. Utöver sanktioner kan registrerade kräva skadestånd enligt Art. 82.

Hur ofta ska policyn uppdateras?

Vid varje förändring som påverkar er behandling av personuppgifter: nytt syfte, nya kategorier uppgifter, ny leverantör (PUB), ny rättslig grund, ändrad lagringstid, ny tredjelandsöverföring. Minst en gång per år rekommenderas en formell genomgång även om inga större ändringar skett. Vid materiella förändringar ska registrerade informeras — typiskt via e-post eller banner på sajten. Datum för senaste uppdatering ska tydligt framgå i policyn.

Var ska integritetspolicyn placeras?

Lättillgänglig från alla platser där personuppgifter samlas in. Typiska placeringar: sidfoten på webbplatsen (alltid synlig), länkad i kontaktformulär INNAN skicka-knappen, länkad i registreringsformulär, refererad i cookie-banner, länkad i transaktionsmeil och nyhetsbrev. För app: länkad i appstorebeskrivning + tillgänglig från app-inställningar. Tumregel: om en användare just ska lämna personuppgifter ska policyn vara åtkomlig inom ett klick.

Vad är 'lagervis' presentation och varför rekommenderas det?

Lagervis (layered) struktur betyder att man delar policyn i nivåer: först en kort översikt med huvudpunkterna, sedan möjlighet att klicka för mer detaljer per sektion. GDPR Art. 12 kräver 'koncis, klar och tydlig, begriplig och lättillgänglig form'. En 8000-ord-policy där allt rasar ut samtidigt strider mot kravet på 'begriplig' även om all info finns. Lagervis struktur löser konflikten mellan informationskravet och läsbarhetskravet. EDPB rekommenderar specifikt denna ansats i Guidelines on Transparency.

Integritetspolicy mall 2026: gratis svensk GDPR-mall

En integritetspolicy är inte ett valfritt PR-dokument — det är ett lagkrav enligt GDPR Art. 13 (uppgifter samlade direkt från registrerad) och Art. 14 (uppgifter från tredje part). Bristfällig eller saknad integritetspolicy är en överträdelse som kan leda till sanktioner och skadestånd enligt Art. 82.

Denna guide täcker exakt vad svenska SMB:er behöver inkludera, vanliga misstag som leder till IMY-anmärkningar, och en färdig svensk mall ni kan kopiera och anpassa. Källor: GDPR Art. 12-14, IMY:s vägledning om information till registrerade, EDPB Guidelines 1/2020 on Transparency.

Integritetspolicy, integritetsmeddelande — vad är vad?

Tekniskt finns det två relaterade men distinkta dokument:

Integritetspolicy är ett INTERNT styrdokument som beskriver hur er organisation ska arbeta med dataskydd. Den framtas typiskt av ledning eller styrelse och fungerar som internt rättesnöre.

Integritetsmeddelande är den EXTERNA information ni ger till registrerade på webbplatsen. Det är detta dokument som GDPR Art. 13-14 reglerar.

I dagligt språkbruk används orden synonymt — det som publikt kallas "integritetspolicy" på webbplatsen är egentligen ett integritetsmeddelande. Denna artikel använder "integritetspolicy" i den vanliga betydelsen (publikt dokument) för att matcha hur svenska företag faktiskt talar om det.

Andra namn för samma sak: personuppgiftspolicy, dataskyddspolicy, sekretesspolicy, privacy policy (engelska).

Vem behöver en integritetspolicy?

Alla som behandlar personuppgifter. I praktiken: nästan alla företag och organisationer.

Tecken på att ni behandlar personuppgifter:

Webbplats med kontaktformulär eller analytics
Kundregister (även Excel)
E-postutskick (även till befintliga kunder)
Anställda (löner, HR)
Leverantörers kontaktpersoner
Cookies, även "nödvändiga"
Bokföring (kundens namn på fakturor)

Det räcker med EN av punkterna. För enskild firma med kunder gäller GDPR precis som för stor koncern.

När gäller Art. 13 vs Art. 14?

GDPR har två separata informationskravs-artiklar:

Artikel 13 gäller när personuppgifter samlas in DIREKT från den registrerade:

Användaren fyller i kontaktformulär
Kund registrerar konto
Anställd lämnar uppgifter vid anställning
Cookies sätts via webbplatsbesök

Artikel 14 gäller när uppgifter kommer från NÅGON ANNAN:

Köpta marknadsföringslistor (data broker)
Offentliga register (Bolagsverket, folkbokföring)
Andra personuppgiftsansvariga
Tredje part som tipsat om kandidater (rekrytering)

Vid Art. 14 tillkommer två extra punkter: ni måste informera om kategorier av personuppgifter (vad ni faktiskt har) och källa (var ni fick det ifrån). Tidsfrist: senast 1 månad från insamling, eller vid första kommunikation om uppgifterna används för det.

För de flesta svenska SMB:er är Art. 13 huvudregeln. Men har ni rekrytering där LinkedIn-data eller referenser används, eller köper marknadsföringslistor — då gäller Art. 14 parallellt.

De obligatoriska punkterna enligt Art. 13

GDPR Art. 13.1-2 listar 14 punkter som måste finnas (eller adresseras) i integritetsmeddelandet. Vid Art. 14 tillkommer 2 till.

Basinformation (Art. 13.1)

Identitet och kontaktuppgifter för personuppgiftsansvarig Företagsnamn, organisationsnummer, postadress, e-post för dataskyddsfrågor.
Representant om personuppgiftsansvarig finns utanför EU Endast relevant om huvudkontor är utanför EU/EES.
Dataskyddsombud (DSO) om utsett Vanligen inte för SMB:er. Krävs för: offentliga myndigheter, kärnverksamhet med systematisk övervakning i stor skala, eller omfattande behandling av känsliga uppgifter.
Ändamål med varje behandling Konkret beskrivning: "Marknadsföring av våra tjänster via e-post", inte "Förbättra användarupplevelsen".
Rättslig grund enligt Art. 6 En av sex möjliga: samtycke, avtal, rättslig förpliktelse, vitalt intresse, allmänt intresse/myndighetsutövning, eller berättigat intresse. Vid känsliga uppgifter (Art. 9) krävs även undantag enligt Art. 9.2.
Berättigat intresse om Art. 6.1.f används Specificera vad det berättigade intresset är — generisk text som "förbättra affärsverksamhet" räcker inte. En intresseavvägning (Legitimate Interest Assessment, LIA) ska finnas dokumenterad även om den inte behöver publiceras.
Mottagare eller kategorier av mottagare Vilka tredjeparter får tillgång? Konkreta exempel: "molntjänstleverantör (AWS)", "e-postutskicksleverantör (Mailchimp)", "lönesystemleverantör (Visma)". Generisk text som "betrodda tredjeparter" räcker inte enligt EDPB.
Tredjelandsöverföring Om data går utanför EU/EES — vilka länder och vilken skyddsmekanism (adekvansbeslut, SCC, EU-U.S. Data Privacy Framework, BCR). Se vår PUB-avtals-guide för detaljer.

Tilläggsinformation för rättvisa och transparens (Art. 13.2)

Lagringstid eller kriterier "Tills vidare" är inte tillåtet. Antingen exakta tidsperioder ("3 år från senaste köp") eller kriterier ("så länge anställningsförhållandet består + lagstadgade krav enligt Bokföringslagen").
Rättigheter Den registrerade har rätt till:
- Tillgång (Art. 15) — registerutdrag
- Rättelse (Art. 16) — felaktiga uppgifter
- Radering (Art. 17) — "rätten att bli glömd"
- Begränsning (Art. 18) — pausa behandling
- Dataportabilitet (Art. 20) — få ut data i maskinläsbart format
- Invändning (Art. 21) — särskilt vid berättigat intresse
Återkalla samtycke Om rättslig grund är samtycke ska det vara lika lätt att återkalla som att lämna. Inte "ring kundtjänst" om man kryssade i en ruta.
Klagomål till IMY Den registrerade har rätt att klaga till Integritetsskyddsmyndigheten. Information ska finnas i policyn.
Krav på uppgiftslämnande Är det lagstadgat eller avtalsenligt? Vad händer om uppgifterna inte lämnas?
Automatiserat beslutsfattande inkl. profilering (Art. 22) Förekommer det? Vilken logik? Vilka konsekvenser för den registrerade?

Extra för Art. 14 (uppgifter från tredje part)

Kategorier av personuppgifter Vilka typer av data ni faktiskt har — eftersom den registrerade inte själv lämnade dem.
Källa Varifrån fick ni uppgifterna? Offentlig källa? Specifik tredje part?

Sex vanliga misstag i svenska integritetspolicyer

Baserat på IMY:s tillsynsanmärkningar och EDPB:s vägledning:

1. Generisk språk istället för konkret information

Misstag: "Vi kan komma att dela dina uppgifter med betrodda tredjeparter."

Korrekt: "Vi delar dina uppgifter med följande leverantörer: AWS (molnlagring, EU-region), Mailchimp (e-postutskick, USA — överföring med EU-U.S. Data Privacy Framework), Visma (lönesystem, EU)."

2. Missar tredjelandsöverföringar

Många använder Google Analytics, Meta Pixel, HubSpot eller liknande utan att nämna att data går till USA. Detta är en separat överträdelse — krav på överföringsmekanism + information till registrerad.

3. "Tills vidare" eller "så länge nödvändigt" som lagringstid

Inte tillåtet. Måste vara antingen exakt tid eller dokumenterade kriterier.

4. Förmarkerade rutor för samtycke

GDPR Art. 7 + EDPB:s vägledning är tydlig: samtycke kräver aktiv handling. Förmarkerade rutor, tystnad eller fortsatt webbplatsanvändning räknas inte. Detta misstag har lett till sanktioner mot flera stora aktörer.

5. Endast engelsk version trots svenska kunder

GDPR Art. 12 kräver "klart och enkelt språk". För svenska kunder = svenska. Holländsk tillsynsmyndighet utdömde 750 000 EUR i sanktion mot ett företag som hade endast engelska trots holländska användare (särskilt barn).

6. Statiskt dokument utan uppdateringar

Policyn ska spegla nuvarande behandling. Om ni lagt till Google Analytics 4, bytt CRM-system eller fått en ny PUB-leverantör — uppdatera policyn. Annars är den inte längre korrekt, vilket är en separat överträdelse av sanningsprincipen i Art. 5.1.d.

IMY:s sanktioner i Sverige — exempel

IMY har utdömt sanktionsavgifter mot flera svenska aktörer. Publika exempel där bristande information till registrerade var en av flera grunder:

Klarna — sanktion för bland annat bristfällig information om behandling
Spotify — sanktion för bristfällig information om automatiserat beslutsfattande
Region Stockholm — sanktion för bland annat informationsbrister

Sanktionsnivåer varierar baserat på allvar. Brott mot informationsplikten faller under Art. 83.5 — upp till 20 miljoner EUR eller 4 procent av global årsomsättning. För svenska SMB:er är realistiska nivåer normalt 50 000 - 500 000 SEK för enskilda överträdelser, baserat på IMY:s historiska beslut för privata aktörer.

Utöver sanktioner: registrerade kan kräva skadestånd enligt Art. 82.

Lagervis presentation — bästa praxis

GDPR Art. 12 kräver två motstridiga saker: fullständig information OCH koncis, begriplig, lättillgänglig form. Lösningen är lagervis (layered) struktur.

Lager 1 — Översikt (synlig direkt):

Vem är personuppgiftsansvarig?
Vad samlas in i stort?
Vad används det till?
Vilka rättigheter har den registrerade?
Hur kontaktar man oss?

Lager 2 — Detaljer (expanderbara sektioner):

Varje behandlingsändamål med all info
Specifika tredjepartsleverantörer
Exakta lagringstider per typ av data
Tekniska säkerhetsåtgärder

EDPB rekommenderar specifikt denna ansats i Guidelines 1/2020 on Transparency. Praktiskt: HTML med expanderbara '<details>'-element fungerar, eller en strukturerad sida med tydliga rubriker och inehållsförteckning högst upp.

Färdig svensk integritetspolicy-mall

Anpassa till er specifika verksamhet — generisk text som "vi värnar om din integritet" tillför inget värde. Mallen är en strukturell utgångspunkt.

``` INTEGRITETSPOLICY FÖR [FÖRETAG AB]

Senast uppdaterad: [YYYY-MM-DD]

Denna integritetspolicy beskriver hur [Företag AB] ("vi", "oss", "vårt") samlar in, använder och skyddar personuppgifter i enlighet med EU:s allmänna dataskyddsförordning (GDPR).

PERSONUPPGIFTSANSVARIG

[Företag AB] (org.nr [XXXXXX-XXXX]) [Gatuadress] [Postnummer Ort] E-post för dataskyddsfrågor: [dataskydd@foretag.se]

[OM TILLÄMPLIGT:] Vårt dataskyddsombud nås på: [namn], [e-post]

VILKA PERSONUPPGIFTER VI BEHANDLAR OCH VARFÖR

[Lista varje behandling enligt nedan mall]

2.1 [BEHANDLING — t.ex. "Kundregister"] Ändamål: [t.ex. "Hantera kundrelationer och leverera beställda tjänster"] Personuppgifter: [t.ex. "Namn, e-postadress, telefonnummer, fakturaadress, köphistorik, kommunikationshistorik"] Källa: [t.ex. "Direkt från dig vid registrering eller beställning"] Rättslig grund: [t.ex. "Fullgörande av avtal (Art. 6.1.b)"] Lagringstid: [t.ex. "Aktiv kundrelation + 3 år. Räkenskapsmaterial 7 år enligt Bokföringslagen."]

2.2 [BEHANDLING — t.ex. "E-postmarknadsföring"] Ändamål: [...] Personuppgifter: [...] Rättslig grund: [t.ex. "Samtycke (Art. 6.1.a)" eller "Berättigat intresse (Art. 6.1.f) — intresseavvägning dokumenterad"] Lagringstid: [...]

[FORTSÄTT FÖR ALLA BEHANDLINGAR — t.ex. webbplatsanalys, rekrytering, support-ärenden, anställda]

MOTTAGARE OCH TREDJEPARTSLEVERANTÖRER

Vi delar personuppgifter med följande leverantörer (personuppgiftsbiträden):

[Leverantör 1] — [syfte] — [region/land]
[Leverantör 2] — [syfte] — [region/land]

Personuppgiftsbiträdesavtal finns med samtliga.

ÖVERFÖRING UTANFÖR EU/EES

[OM TILLÄMPLIGT:] Vissa av våra leverantörer behandlar data utanför EU/EES. Vi använder följande skyddsmekanismer:

[Leverantör X i USA]: EU-kommissionens standardavtalsklausuler (SCC 2021/914) + tekniska skyddsåtgärder
[Leverantör Y i USA]: EU-U.S. Data Privacy Framework-certifiering

[OM EJ TILLÄMPLIGT:] Vi överför inte personuppgifter utanför EU/EES.

DINA RÄTTIGHETER

Som registrerad har du rätt att:

Begära information om vilka personuppgifter vi har om dig (rätt till åtkomst, Art. 15)
Få felaktiga uppgifter rättade (Art. 16)
Begära att uppgifter raderas (Art. 17)
Begära begränsning av behandling (Art. 18)
Få ut dina uppgifter i maskinläsbart format (dataportabilitet, Art. 20)
Invända mot behandling baserad på berättigat intresse (Art. 21)
Återkalla samtycke (utan att tidigare behandling påverkas)

Kontakta oss på [dataskydd@foretag.se] för att utöva dina rättigheter.

AUTOMATISERAT BESLUTSFATTANDE

[OM TILLÄMPLIGT — beskriv profilering eller automatiserade beslut:] Vi använder automatiserade beslut för [syfte]. Logiken bakom är [...]. Konsekvensen för dig kan vara [...]. Du har rätt att begära mänsklig granskning av beslutet.

[OM EJ TILLÄMPLIGT:] Vi använder inte automatiserade beslut eller profilering som har rättsliga eller liknande betydande följder för dig.

SÄKERHET

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter, inklusive:

Kryptering vid överföring (TLS 1.2+)
[Andra konkreta åtgärder — INTE bara "lämpliga åtgärder"]

COOKIES OCH WEBBPLATSANALYS

[Länka till separat cookie-policy om sådan finns, eller inkludera kort sammanfattning här]

ÄNDRINGAR I DENNA POLICY

Vi kan komma att uppdatera denna policy. Senaste uppdateringsdatum framgår överst. Vid materiella förändringar informerar vi dig direkt via [e-post eller annan kommunikation]. Vi rekommenderar att du regelbundet läser igenom policyn.

KONTAKT OCH KLAGOMÅL

Frågor om denna policy? Kontakta [dataskydd@foretag.se].

Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att vår behandling strider mot GDPR:

Integritetsskyddsmyndigheten Box 8114 104 20 Stockholm imy@imy.se imy.se

Senast uppdaterad: [YYYY-MM-DD] ```

Integritetspolicyn fungerar i samspel med tre andra dokument vi behandlar i separata artiklar:

Registerförteckning enligt Art. 30 — internt dokument som listar alla behandlingar. Innehållet i registerförteckningen och det som visas i integritetspolicyn måste vara konsekvent.

PUB-avtal med leverantörer (Art. 28) — varje extern mottagare som nämns i policyn ska ha PUB-avtal.

Personuppgiftsincident-rutin (Art. 33-34) — om incident inträffar måste ni snabbt kunna identifiera berörda uppgifter, vilket kräver att registerförteckningen och policyn är aktuella.

Cookies kräver separat hantering

Integritetspolicyn täcker GDPR-information om personuppgiftsbehandling. Cookies kräver dessutom:

Cookie-banner för samtycke enligt ePrivacy-direktivet (PSL 9 kap. 6-8 §§)
Cookie-policy med konkret lista över cookies, syfte, lagringstid, leverantör

Många svenska företag har bristfälligt cookie-samtycke — accept-all knapp utan likvärdig avvisa-all, eller cookies sätts innan samtycke. Detta är en separat överträdelse av både PSL och GDPR.

Hjälp att inventera era tredjepartstjänster

En vanlig brist är att integritetspolicyn missar tredjepartstjänster som tracking-pixlar, embed-widgetar, analytics, support-chattar och betalningstjänster. Varje sådan tjänst kan behandla personuppgifter och måste finnas i policyn.

Northverify scannar er webbplats och listar alla detekterade tredjepartstjänster, deras typ och om de kräver samtycke. Det är ett praktiskt sätt att inventera vad er integritetspolicy faktiskt måste täcka.

Relaterade artiklar

Källor:

Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), särskilt artiklarna 12, 13 och 14
IMY (Integritetsskyddsmyndigheten): vägledningar om information till registrerade
EDPB Guidelines 1/2020 on Transparency under Regulation 2016/679
Bokföringslagen (1999:1078) — för retentionsregler avseende räkenskapsmaterial
Lag (2003:389) om elektronisk kommunikation, 9 kap. 6-8 §§ (cookie-samtycke)

Senast uppdaterad: 2026-05-17. Innehållet är allmän vägledning och utgör inte juridisk rådgivning för enskilda fall.

Integritetspolicy-mall för svenska företag 2026 — komplett guide enligt GDPR

Integritetspolicy, integritetsmeddelande — vad är vad?

Vem behöver en integritetspolicy?

När gäller Art. 13 vs Art. 14?

De obligatoriska punkterna enligt Art. 13

Basinformation (Art. 13.1)

Tilläggsinformation för rättvisa och transparens (Art. 13.2)

Extra för Art. 14 (uppgifter från tredje part)

Sex vanliga misstag i svenska integritetspolicyer

1. Generisk språk istället för konkret information

2. Missar tredjelandsöverföringar

3. "Tills vidare" eller "så länge nödvändigt" som lagringstid

4. Förmarkerade rutor för samtycke

5. Endast engelsk version trots svenska kunder

6. Statiskt dokument utan uppdateringar

IMY:s sanktioner i Sverige — exempel

Lagervis presentation — bästa praxis

Färdig svensk integritetspolicy-mall

Cookies kräver separat hantering

Hjälp att inventera era tredjepartstjänster

Relaterade artiklar

Skanna din webbplats — gratis

Relaterade artiklar

Personuppgiftsbiträdesavtal (PUB-avtal): komplett guide + mall 2026

Registerförteckning enligt GDPR Artikel 30 + DPIA-checklista — mall 2026

14 svenska lagar för webbplats-compliance 2026: komplett guide

Integritetspolicy, integritetsmeddelande — vad är vad?

Vem behöver en integritetspolicy?

När gäller Art. 13 vs Art. 14?

De obligatoriska punkterna enligt Art. 13

Basinformation (Art. 13.1)

Tilläggsinformation för rättvisa och transparens (Art. 13.2)

Extra för Art. 14 (uppgifter från tredje part)

Sex vanliga misstag i svenska integritetspolicyer

1. Generisk språk istället för konkret information

2. Missar tredjelandsöverföringar

3. "Tills vidare" eller "så länge nödvändigt" som lagringstid

4. Förmarkerade rutor för samtycke

5. Endast engelsk version trots svenska kunder

6. Statiskt dokument utan uppdateringar

IMY:s sanktioner i Sverige — exempel

Lagervis presentation — bästa praxis

Färdig svensk integritetspolicy-mall

Synka med era andra GDPR-dokument

Cookies kräver separat hantering

Hjälp att inventera era tredjepartstjänster

Relaterade artiklar

Skanna din webbplats — gratis

Relaterade artiklar

Personuppgiftsbiträdesavtal (PUB-avtal): komplett guide + mall 2026

Registerförteckning enligt GDPR Artikel 30 + DPIA-checklista — mall 2026

14 svenska lagar för webbplats-compliance 2026: komplett guide