Vem måste följa GDPR?

Alla organisationer — oavsett storlek, bransch eller juridisk form — som behandlar personuppgifter om personer som befinner sig i EU eller EES måste följa GDPR. Det gäller både organisationer inom och utanför EU. En amerikansk e-handlare som säljer till svenska kunder måste följa GDPR. Det finns ingen storleksgräns: enskilda firmor måste följa GDPR precis som multinationella bolag.

Vad är personuppgifter?

Personuppgifter är enligt GDPR Art. 4(1) alla uppgifter som avser en identifierad eller identifierbar fysisk person. Det omfattar namn, e-postadress, personnummer, telefonnummer, IP-adress, platsdata, kundnummer och foton av identifierbara personer. Anonymiserad data — där det är omöjligt att identifiera individen — är inte personuppgifter. Pseudonymiserad data är fortfarande personuppgifter.

Vad är känsliga personuppgifter?

Känsliga personuppgifter (Art. 9) är en särskild kategori uppgifter som kräver starkare skydd: hälsa och medicinska uppgifter, genetiska data, biometriska data (fingeravtryck, ansiktsigenkänning), etniskt eller rasligt ursprung, politiska åsikter, religiös övertygelse, fackföreningsmedlemskap och sexuell läggning. Behandling av känsliga uppgifter kräver i de flesta fall explicit samtycke eller stöd i lag.

Vad är rättslig grund enligt GDPR?

All behandling av personuppgifter måste ha en rättslig grund enligt Art. 6. De sex grunderna är: (1) samtycke, (2) avtal, (3) rättslig förpliktelse, (4) skydda vitala intressen, (5) uppgift av allmänt intresse, och (6) berättigat intresse. De vanligaste för svenska företag är avtal (köp), rättslig förpliktelse (bokföring) och berättigat intresse (affärsutveckling). Samtycke är nödvändigt för marknadsföringscookies.

Vad innebär rätten att bli bortglömd?

Rätten till radering (Art. 17), ofta kallad rätten att bli bortglömd, innebär att en person kan begära att en organisation raderar alla personuppgifter om dem. Rätten gäller inte absolut — den kan avvisas om det finns en rättslig förpliktelse att bevara uppgifterna, om de behövs för en rättslig tvist, eller om behandlingen grundas på berättigat intresse. Svaret ska lämnas inom en månad.

Hur höga är GDPR-böter?

GDPR har ett tvådelat sanktionssystem. Nivå 1 ger böter upp till 10 miljoner euro eller 2 % av global omsättning för brister mot tekniska krav. Nivå 2 ger böter upp till 20 miljoner euro eller 4 % av global omsättning för brister mot grundläggande principer och de registrerades rättigheter. Alltid det högsta beloppet av de två alternativen. Sveriges IMY har utfärdat böter på upp till 75 MSEK (Google, 2020).

IMY (Integritetsskyddsmyndigheten) är Sveriges nationella tillsynsmyndighet för GDPR och dataskyddslagstiftning. IMY utreder klagomål, genomför tillsyn, utfärdar sanktionsavgifter och publicerar riktlinjer. IMY är en del av det europeiska dataskyddsrådet (EDPB) som samordnar tillsynen inom EU. Är din organisation etablerad i Sverige är IMY din lead supervisory authority.

Måste alla företag ha en integritetspolicy?

Ja — alla organisationer som behandlar personuppgifter (vilket nästan alla gör) är skyldiga att informera de registrerade om behandlingen enligt Art. 13-14. En integritetspolicy är det vanliga sättet att uppfylla detta krav för webbplatser och appar. Policyn ska tydligt ange vilka uppgifter som behandlas, varför, med vilken rättslig grund, hur länge och vem de delas med.

Vad är ett PUB-avtal?

Ett PUB-avtal (personuppgiftsbiträdesavtal) är ett avtal som krävs enligt Art. 28 GDPR när en organisation (personuppgiftsansvarig) anlitar en tjänsteleverantör (personuppgiftsbiträde) som behandlar personuppgifter för organisationens räkning. Exempel: ditt företag anlitar Mailchimp för e-postutskick — då måste ni ha ett PUB-avtal med Mailchimp. Avsaknad av PUB-avtal är en av de vanligaste GDPR-bristerna.

Vad är samtycke enligt GDPR?

Samtycke (Art. 7) är en av de sex rättsliga grunderna och innebär att den registrerade frivilligt och aktivt godkänner en specifik behandling. GDPR-samtycke måste vara fritt (inte kopplat till villkor), specifikt (per ändamål), informerat (tydlig information om vad som händer) och otvetydigt (aktiv handling — förinbockade rutor räknas inte). Samtycke kan återkallas när som helst.

Vad är ett dataskyddsombud (DPO)?

Ett dataskyddsombud (DPO, Art. 37-39) är en utsedd person med ansvar att säkerställa GDPR-efterlevnad inom organisationen. Det är obligatoriskt för offentliga myndigheter, organisationer som i stor skala behandlar känsliga uppgifter, och organisationer som systematiskt övervakar registrerade i stor skala. DPO kan vara intern eller extern. Privata SMB är i de flesta fall inte skyldiga att ha DPO men bör ha en ansvarig för dataskyddsfrågor.

Gäller GDPR utanför EU?

Ja — GDPR gäller för alla organisationer, oavsett var de är etablerade, som erbjuder varor eller tjänster till personer i EU eller som övervakar beteendet hos personer i EU (Art. 3). En organisation i USA, Indien eller Australien som riktar sin webbplats till EU-medborgare måste följa GDPR. Organisationer utanför EU måste vanligtvis utse ett EU-representativt ombud.

Vad händer vid en personuppgiftsincident?

Vid en personuppgiftsincident (Art. 33-34) — en säkerhetsbrist som leder till att personuppgifter förstörs, förloras, ändras, röjs eller görs tillgängliga av misstag — måste organisationen anmäla incidenten till IMY inom 72 timmar. Om incidenten sannolikt leder till hög risk för de registrerade måste de också informeras direkt. Underlåtenhet att anmäla är i sig ett GDPR-brott.

Hur kontrollerar jag om min webbplats följer GDPR?

De vanligaste GDPR-bristerna på webbplatser är: (1) spårningsskript som körs utan samtycke, (2) bristfällig eller generisk integritetspolicy, (3) avsaknad av PUB-avtal med leverantörer som Google, Mailchimp och Stripe. Northverifys gratis webbplatsskanner identifierar dessa brister automatiskt på 60 sekunder — utan registrering.

Vad är GDPR? Guide för svenska företag 2026

GDPR (General Data Protection Regulation, på svenska Dataskyddsförordningen) är EU-lagen som reglerar hur företag och organisationer behandlar personuppgifter om personer i EU och EES. Förordningen trädde i kraft den 25 maj 2018 och gäller direkt i alla EU:s 27 medlemsstater utan nationell implementering.

Den 25 maj 2018 ersatte GDPR det gamla EU-direktivet om dataskydd (Direktiv 95/46/EG) från 1995. Till skillnad från direktivet — som varje land implementerade i sin nationella lag på lite olika sätt — gäller GDPR som lag direkt och enhetligt i hela EU. I Sverige ersatte GDPR Personuppgiftslagen (PUL) från 1998.

Granskad av Simon Forsell, grundare Northverify.

Officiell GDPR-text på EUR-Lex →

GDPR är en förkortning av General Data Protection Regulation — på svenska Dataskyddsförordningen. Det är EU:s ramlag för dataskydd och behandling av personuppgifter.

Förordningens officiella beteckning är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016. Den antogs av EU-parlamentet och rådet den 27 april 2016 och trädde i kraft den 25 maj 2018 efter en tvåårig övergångsperiod.

GDPR består av 99 artiklar fördelade på 11 kapitel, plus 173 skäl som ger juridisk vägledning. De viktigaste kapitlen för de flesta organisationer är:

Kapitel 2 (Art. 5-11): Grundprinciper och rättslig grund
Kapitel 3 (Art. 12-23): De registrerades rättigheter
Kapitel 4 (Art. 24-43): Personuppgiftsansvarigas och biträdens skyldigheter
Kapitel 8 (Art. 77-84): Rättsskydd, ansvar och sanktioner

GDPR kallas ibland för "världens strängaste dataskyddslag" — men det är mer korrekt att säga att den är världens mest inflytelserika. Över 130 länder har sedan 2018 antagit nationell dataskyddslagstiftning inspirerad av GDPR, från Californias CCPA till Brasiliens LGPD och Japans APPI.

Se vår GDPR-ordlista för definitioner av alla centrala begrepp.

GDPR antogs av Europaparlamentet och rådet den 27 april 2016. Den publicerades i EU:s officiella tidning den 4 maj 2016 och trädde formellt i kraft den 24 maj 2016 — men med en övergångsperiod på exakt två år.

Den 25 maj 2018 blev GDPR direkt tillämplig i alla EU:s dåvarande 28 medlemsstater. Det är detta datum de flesta förknippar med GDPR: dagen då e-postlådor världen över fylldes med uppdaterade integritetspolicyer och cookie-banners dök upp på i princip varje webbplats.

I Sverige implementerades GDPR via lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, som förtydligar GDPR i specifika svenska sammanhang — exempelvis behandling av personnummer och nationella register.

Sedan 2018 har GDPR kompletterats av ett antal rättspraxis-avgöranden (framför allt från EU-domstolen), riktlinjer från EDPB (Europeiska dataskyddsstyrelsen) och nationella tillsynsmyndigheters beslut som tillsammans bildar det dataskyddsrättsliga ramverket 2026.

GDPR gäller för alla organisationer — oavsett storlek, bransch eller juridisk form — som behandlar personuppgifter om personer som befinner sig i EU eller EES.

Organisationstyper som alltid omfattas:

Privata företag (aktiebolag, enskild firma, handelsbolag, ekonomisk förening)
Myndigheter och kommuner
Föreningar, stiftelser och ideella organisationer
Sjukhus, skolor och andra offentliga verksamheter

Extraterritoriell räckvidd — gäller även utanför EU: GDPR gäller även för organisationer utanför EU om de (Art. 3.2):

erbjuder varor eller tjänster till personer i EU (oavsett om det är mot betalning), eller
övervakar beteendet hos personer i EU — exempelvis via spårningscookies på en webbplats tillgänglig för EU-besökare.

En amerikansk e-handlare som säljer till svenska kunder, ett indiskt SaaS-bolag med europeiska kunder, eller ett australiensiskt nyhetsbolag som visar reklam till EU-besökare — alla måste följa GDPR.

Undantag: GDPR gäller inte för rent privat behandling (din privata kontaktlista på telefonen) och inte för nationell säkerhets- eller försvarsverksamhet (Art. 2.2).

Det finns ingen storleksgräns — en enskild firma med en anställd måste följa GDPR precis som ett multinationellt bolag. Däremot finns specifika skyldigheter (DPO, fullständig registerförteckning) som bara gäller för organisationer av viss storlek eller med viss typ av behandling.

Läs mer i vår GDPR-checklista för småföretag.

Personuppgifter är enligt GDPR Art. 4(1) "varje upplysning som avser en identifierad eller identifierbar fysisk person". Det är en bred definition som täcker mer än de flesta inser.

Klassiska personuppgifter:

Namn, personnummer, adress, e-postadress, telefonnummer
Foto och video som avbildar en identifierbar person
IP-adress (anses som personuppgift av EU-domstolen och IMY)
Platsdata (GPS-koordinater, postnummer kopplat till en person)
Kontonummer, kundnummer och orderhistorik kopplad till en person

Känsliga personuppgifter (Art. 9) — kräver starkare skydd:

Hälsa och medicinska uppgifter
Genetiska och biometriska data (fingeravtryck, ansiktsigenkänning)
Etniskt eller rasligt ursprung
Politiska åsikter, religiös eller filosofisk övertygelse
Fackföreningsmedlemskap
Sexuell läggning och sexualliv

Inte personuppgifter: Anonymiserad data — där det är tekniskt omöjligt att identifiera individen — är inte personuppgifter. Men pseudonymiserad data (t.ex. data med ett ID-nummer istället för namn, om kopplingstabellen finns) räknas fortfarande som personuppgifter under GDPR.

Vilka rättigheter har registrerade?

GDPR ger alla fysiska personer (de "registrerade") en uppsättning rättigheter gentemot organisationer som behandlar deras personuppgifter. Dessa rättigheter ska kunna utövas kostnadsfritt och svar ska lämnas inom en månad (Art. 12).

De åtta rättigheterna under GDPR:

1. Rätt till information (Art. 13-14) Du har rätt att veta vilka personuppgifter en organisation behandlar om dig, varför, med vilken rättslig grund, hur länge och med vem de delas. Informationen ska ges vid insamlingstillfället.

2. Rätt till tillgång / registerutdrag (Art. 15) Du har rätt att begära en kopia av alla personuppgifter som behandlas om dig och information om hur de används.

3. Rätt till rättelse (Art. 16) Du har rätt att få felaktiga uppgifter om dig rättade utan onödigt dröjsmål.

4. Rätt till radering — "rätten att bli bortglömd" (Art. 17) Under vissa omständigheter (ändamålet har upphört, samtycket återkallas, behandlingen är olaglig) kan du begära att dina uppgifter raderas.

5. Rätt till begränsning av behandling (Art. 18) Du kan begära att behandlingen av dina uppgifter begränsas under utredning eller tvist.

6. Dataportabilitet (Art. 20) Du har rätt att få ut dina uppgifter i ett maskinläsbart format och överföra dem till en annan tjänst — gäller vid automatiserad behandling baserad på samtycke eller avtal.

7. Rätt att invända (Art. 21) Du kan invända mot behandling baserad på berättigat intresse, inklusive direktmarknadsföring. Vid invändning mot marknadsföring måste behandlingen upphöra omedelbart.

8. Rätt att inte bli föremål för automatiserat beslutsfattande (Art. 22) Du har rätt att inte uteslutande bli föremål för automatiserade beslut — inklusive profilering — som har rättslig eller liknande verkan.

GDPR Art. 5 fastställer sju grundläggande principer som all personuppgiftsbehandling måste följa. Dessa principer är kärnan i hela förordningen och utgångspunkten för all GDPR-compliance.

1. Laglighet, korrekthet och öppenhet Behandling måste ha en rättslig grund (Art. 6), genomföras korrekt och vara transparent för den registrerade. Inga dolda behandlingar.

2. Ändamålsbegränsning Uppgifter får samlas in för specifika, uttryckliga och legitima ändamål — och inte sedan behandlas på ett sätt som är oförenligt med dessa ändamål. Ni kan inte samla in data för ett syfte och sedan använda det för ett annat.

3. Uppgiftsminimering Bara de uppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt för ändamålet får behandlas. Samla inte in mer än ni faktiskt behöver.

4. Korrekthet Personuppgifter ska vara korrekta och vid behov uppdaterade. Felaktiga uppgifter ska rättas eller raderas utan dröjsmål.

5. Lagringsminimering Uppgifter får inte lagras längre än nödvändigt för ändamålet. Sätt lagringstider och radera regelbundet.

6. Integritet och konfidentialitet Uppgifter ska behandlas på ett säkert sätt med lämpliga tekniska och organisatoriska skyddsåtgärder (Art. 32) — skydd mot obehörig åtkomst, förlust och förstöring.

7. Ansvarsskyldighet Personuppgiftsansvarig är ansvarig för att alla sex principerna ovan följs — och ska kunna visa det. Dokumentation är nyckeln: registerförteckning, policyer, riskbedömningar.

Läs mer om hur principerna tillämpas i vår kompletta GDPR-guide.

GDPR har ett tvådelat sanktionssystem (Art. 83) med böter som kan nå rekordnivåer:

Nivå 1 — upp till 10 miljoner euro eller 2 % av global omsättning (det högre beloppet): Gäller för brister mot de mer tekniska och procedurella kraven: registerförteckning (Art. 30), dataskyddsombud (Art. 37), dataskyddsincidenthantering (Art. 33-34), PUB-avtal (Art. 28) och liknande.

Nivå 2 — upp till 20 miljoner euro eller 4 % av global omsättning (det högre beloppet): Gäller för brister mot de grundläggande principerna (Art. 5), rättslig grund (Art. 6), de registrerades rättigheter (Art. 12-23) och reglerna om dataöverföringar till tredjeland (Art. 44-49).

Svenska GDPR-böter i siffror: IMY har sedan 2018 utfärdat totalt 229 MSEK i sanktioner. Rekordåret 2025 uppgick summan till 264 MSEK. Det enskilt högsta svenska beslutet är 75 MSEK mot Google (2020) för brister i hanteringen av rätten att bli bortglömd.

Utöver böter kan IMY utfärda förelägganden (krav på att upphöra med behandling) och reprimander.

Uppskatta er riskexponering med vårt GDPR-bötesräknar-verktyg.

Vad är IMY?

IMY (Integritetsskyddsmyndigheten) är Sveriges nationella tillsynsmyndighet för GDPR och kompletterande dataskyddslagstiftning. IMY heter på engelska Swedish Authority for Privacy Protection och har sitt säte i Stockholm.

IMY:s uppgifter:

Utreda klagomål från privatpersoner om misstänkta GDPR-brott
Genomföra proaktiva tillsynsgranskningar av organisationer
Utfärda sanktionsavgifter och förelägganden
Ta emot och hantera anmälningar om personuppgiftsincidenter
Publicera riktlinjer och vägledning för organisationer
Samarbeta med övriga EU-länders tillsynsmyndigheter via EDPB

IMY är en del av det europeiska dataskyddsrådet (EDPB — European Data Protection Board) som samordnar tillsynen av gränsöverskridande behandling inom EU. Är din organisation etablerad i Sverige men behandlar data i flera EU-länder gäller one-stop-shop-principen: IMY är din lead supervisory authority och samordnar med övriga länder.

Följ IMY:s beslut och riktlinjer löpande på imy.se/tillsyn.

Om du upptäcker att din organisation har en GDPR-brist, agera metodiskt:

Stoppa brottet — avbryt den otillåtna behandlingen så snart som möjligt
Dokumentera vad som hände, när, vilka uppgifter som berördes och hur många registrerade
Bedöm om det är en personuppgiftsincident — om uppgifter har exponerats, läckts, förstörts eller gjorts tillgängliga utan rätt måste ni anmäla till IMY inom 72 timmar (Art. 33)
Informera drabbade registrerade om incidenten sannolikt leder till hög risk för dem (Art. 34)
Åtgärda grundorsaken — tekniska och organisatoriska åtgärder
Konsultera juridisk rådgivning om brottet är allvarligt eller rör känsliga uppgifter

Att självmant anmäla, vidta omedelbara åtgärder och samarbeta med IMY vägs in som förmildrande omständigheter vid bedömning av sanktionens storlek.

Börja med att identifiera era brister — skanna er webbplats gratis →.

Se även vår GDPR-statistik och bötesöversikt för 2026 och IMY-sanktioner 2025-2026 för aktuella siffror och beslut.

Vad är GDPR? Komplett guide för svenska företag 2026

Snabbsvar

Vilka rättigheter har registrerade?

Vad är IMY?

Skanna din webbplats — gratis

Relaterade artiklar

GDPR-checklista för småföretag 2026: 40 konkreta krav för din hemsida

GDPR-statistik 2026: 7,1 miljarder EUR i böter och 443 dataläckor per dag

IMY-sanktioner 2025-2026: alla bötesbeslut sammanställda

Snabbsvar

Vad betyder GDPR?

När trädde GDPR i kraft?

Vem omfattas av GDPR?

Vad är personuppgifter enligt GDPR?

Vilka rättigheter har registrerade?

Vad är de 7 GDPR-principerna?

Hur höga är GDPR-böter?

Vad är IMY?

Vad ska jag göra om jag bryter mot GDPR?

Skanna din webbplats — gratis

Relaterade artiklar

GDPR-checklista för småföretag 2026: 40 konkreta krav för din hemsida

GDPR-statistik 2026: 7,1 miljarder EUR i böter och 443 dataläckor per dag

IMY-sanktioner 2025-2026: alla bötesbeslut sammanställda