GDPR trädde i kraft den 25 maj 2018. Det betyder att förordningen har varit svensk rättsverklighet i sju år. På den tiden har den hunnit bli en kortform som de flesta känner igen utan att veta exakt vad bokstäverna står för, en orsaksförklaring i varje sammanhang där en cookiebanner blockerar en sida, och en post i 2 700 sanktionsbeslut hos europeiska tillsynsmyndigheter. Vad GDPR är, vad GDPR kräver, vad GDPR har lett till — det är tre olika texter, och de hör ihop.
GDPR står för General Data Protection Regulation. På svenska heter den dataskyddsförordningen, eller bara förordningen. Den fulla beteckningen är förordning (EU) 2016/679. Det är samma förordning som har gett namnet åt cookiebannrarna, anmälningsformulären och samtyckesbockarna. Här är vad lagen faktiskt säger, och vad GDPR i praktiken har inneburit.
Vad är GDPR?
GDPR är EU:s dataskyddsförordning, antagen av Europaparlamentet och rådet den 27 april 2016. Den började gälla den 25 maj 2018 i samtliga 27 medlemsstater plus de tre EES-länderna. I Sverige ersatte den personuppgiftslagen, PUL, som hade gällt sedan 1998 och i sin tur byggde på det gamla dataskyddsdirektivet 95/46/EG från 1995.
Skillnaden mellan ett direktiv och en förordning är inte en formalitet. Ett direktiv kräver att varje medlemsstat skriver in det i sin egen lagbok. En förordning gäller direkt. När GDPR trädde i kraft slutade alltså en svensk lag att finnas, och en europeisk förordning började gälla utan översättning till svensk paragraftext. Den enda svenska lag som finns vid sidan av är lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, ofta kallad dataskyddslagen. Den fyller i de luckor som GDPR lämnar åt nationella lagstiftare, till exempel åldersgräns för giltigt samtycke från barn och undantag för journalistisk verksamhet.
GDPR omfattar all behandling av personuppgifter inom EU, oavsett om den som behandlar finns inom EU. Ett amerikanskt bolag som samlar in e-postadresser från svenska användare lyder under GDPR.
Vad räknas som en personuppgift?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. Definitionen står i artikel 4.1 och är medvetet bred.
I praktiken innebär det betydligt mer än namn och personnummer. Personuppgifter inkluderar e-postadress, telefonnummer, IP-adress, cookies, användar-ID, köphistorik, inloggningsloggar, geolokalisering, fordonsregistreringsnummer, foton där personer är identifierbara, och även röstinspelningar. Det spelar ingen roll om uppgiften ligger i ett CRM-system, en Excel-fil eller på en server i en molntjänst.
Vissa personuppgifter klassas som känsliga personuppgifter och regleras särskilt i artikel 9. Det handlar om uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt genetiska data, biometriska data, hälsa och sexuell läggning. Sådana uppgifter är som huvudregel förbjudna att behandla. Undantagen är snäva, till exempel uttryckligt samtycke, vitalt intresse eller behandling i hälso- och sjukvård.
“Personuppgifter är inte längre något ett företag äger. Det är något företaget förvaltar för någon annans räkning.”
Sex rättsliga grunder att behandla personuppgifter
All behandling av personuppgifter kräver en rättslig grund. Det är den första testen ett företag eller en myndighet måste passera. Utan en rättslig grund är behandlingen olaglig oavsett hur säker den är, hur transparent den är eller hur viktig den är för verksamheten.
Artikel 6.1 i GDPR listar sex rättsliga grunder. De är samtycke, fullgörande av avtal, rättslig förpliktelse, vitala intressen, allmänt intresse eller myndighetsutövning, och berättigat intresse.
- Samtycke kräver en frivillig, specifik, informerad och otvetydig viljeyttring från den registrerade. Förkryssade rutor räknas inte. Samtycke kan återkallas när som helst.
- Avtal används när behandlingen är nödvändig för att fullgöra ett avtal, till exempel leverera en vara som kunden har beställt.
- Rättslig förpliktelse gäller när lag tvingar fram behandlingen, till exempel bokföring och beskattning.
- Vitala intressen är reserverat för situationer där liv eller hälsa står på spel.
- Allmänt intresse eller myndighetsutövning används av myndigheter och organ med offentliga uppdrag.
- Berättigat intresse kräver en dokumenterad intresseavvägning där den personuppgiftsansvariges eller en tredje parts intresse väger tyngre än den registrerades intresse.
Det är en utbredd missuppfattning att samtycke alltid krävs. Det stämmer inte. Ofta är avtal eller berättigat intresse en mer lämplig grund. Den som väljer samtycke bör tänka på att det innebär att den registrerade när som helst kan dra tillbaka det.
De sju principerna i artikel 5
Artikel 5 är förordningens kärna. Sex grundläggande principer plus en sjunde, ansvarsskyldigheten, som binder ihop alla andra. Att bryta mot artikel 5 är ett av de allvarligaste brotten mot GDPR och kan ge sanktionsavgifter på den högre skalan.
- Laglighet, korrekthet och öppenhet. Behandlingen ska ha en rättslig grund, vara rimlig och vara genomskådlig för den registrerade.
- Ändamålsbegränsning. Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Senare användning för oförenliga ändamål är inte tillåten.
- Uppgiftsminimering. Inte mer data än vad ändamålet kräver. Om en e-postadress räcker ska personnummer inte samlas in.
- Riktighet. Personuppgifter ska vara korrekta och uppdaterade. Felaktiga uppgifter ska rättas eller raderas.
- Lagringsminimering. Inte längre än nödvändigt. När syftet upphör ska uppgifterna raderas eller anonymiseras.
- Integritet och konfidentialitet. Lämpliga tekniska och organisatoriska åtgärder ska skydda data mot obehörig åtkomst, läckor eller förlust. Kryptering är ett av de vanliga verktygen.
- Ansvarsskyldighet. Den personuppgiftsansvarige ska kunna visa att principerna följs, inte bara påstå det.
Privacy by design och privacy by default, vilka beskrivs i artikel 25, är operationaliseringen av dessa principer. Inbyggt dataskydd betyder att system ska konstrueras med dataskydd från början, inte få det påklistrat efteråt.
De rättigheter en registrerad har
Artiklarna 12 till 22 ger den registrerade åtta rättigheter. Det är dem som GDPR egentligen handlar om — resten är instrument för att förverkliga dem.
- Rätt till information (art. 13-14). Den registrerade ska upplysas om vem som behandlar uppgifterna, för vilket ändamål och med vilken rättslig grund, normalt vid insamlingen.
- Rätt till tillgång (art. 15). Den registrerade kan begära ett registerutdrag — en kopia av alla personuppgifter ett företag har om hen. Företaget ska svara inom en månad, med möjlighet att förlänga till tre månader vid komplexa fall.
- Rätt till rättelse (art. 16). Felaktiga uppgifter ska rättas, ofullständiga uppgifter ska kompletteras.
- Rätt till radering (art. 17). Den registrerade kan begära att uppgifterna tas bort när de inte längre behövs, när samtycket återkallas, eller när behandlingen är olaglig. Populärt kallad rätten att bli glömd, eller rätten att bli bortglömd.
- Rätt till begränsning (art. 18). Den registrerade kan begära att behandlingen pausas under en utredning.
- Rätt till dataportabilitet (art. 20). Den registrerade kan få ut uppgifterna i ett strukturerat, maskinläsbart format för att flytta dem till en annan tjänst.
- Rätt att invända (art. 21). Mot behandling baserad på berättigat intresse eller allmänt intresse. Mot direktmarknadsföring är invändningsrätten ovillkorlig.
- Rätt att inte bli föremål för automatiserat beslutsfattande (art. 22). Inklusive profilering med rättsliga eller liknande verkningar.
Den som vägrar besvara en sådan begäran kan klagas på till IMY.
Tillsynen i Sverige: IMY
I Sverige övervakas GDPR av Integritetsskyddsmyndigheten, IMY. Myndigheten hette Datainspektionen fram till 1 januari 2021 och bytte då namn för att tydligare spegla sitt uppdrag. IMY har befogenhet att inleda granskningar på eget initiativ, ta emot klagomål från enskilda, kräva in handlingar från företag och myndigheter, utfärda beslut, förelägganden, vitesförelägganden och sanktionsavgifter.
IMY rapporterar att antalet inkomna klagomål har ökat varje år sedan 2018. Myndigheten har också haft större ärenden, ofta med stora belopp. Den övervakande myndigheten samarbetar med sina motsvarigheter i andra EU-länder genom Europeiska dataskyddsstyrelsen, EDPB, i de fall ett företag är verksamt i flera medlemsländer. Då gäller den så kallade one-stop-shop-principen: ett företag möter i regel bara en huvudtillsynsmyndighet, normalt myndigheten i det land där huvudkontoret finns.
Vad kostar det att bryta mot GDPR?
Sanktionsavgifterna är förordningens skarpaste verktyg och samtidigt det som har skapat mest mediabevakning. Artikel 83 listar två tak, det lägre och det högre.
- Det lägre taket: 10 miljoner euro eller 2 procent av företagets globala årsomsättning. Det belopp som är högst räknas. Tillämpas på överträdelser som rör administrativa krav, registerföring, dataskyddsombud eller säkerhet.
- Det högre taket: 20 miljoner euro eller 4 procent av global årsomsättning. Tillämpas på överträdelser av grundprinciperna i artikel 5, rättslig grund i artikel 6, samtycke, behandling av känsliga personuppgifter, de registrerades rättigheter och tredjelandsöverföringar.
För svenska myndigheter höjdes maxbeloppet 2024 till 50 miljoner kronor, eller 100 miljoner kronor för vissa kategorier.
Konkreta fall ger bättre känsla för vad beloppen betyder i verkligheten.
Apoteket AB fick 37 miljoner kronor i sanktionsavgift av IMY 2023. Felet var att Apoteket via Meta-pixeln överfört känsliga personuppgifter, däribland uppgifter om medicinförskrivningar, till Meta. Klarna fick 7,5 miljoner kronor 2022 för bristande information om dataöverföring. Google fick 50 miljoner euro av den franska tillsynsmyndigheten CNIL i januari 2019, för bristande transparens och otillräckligt samtycke kring annonspersonalisering. H&M (i Tyskland) fick 35,3 miljoner euro 2020 för att i ett callcenter i Nürnberg ha samlat in detaljerad information om anställdas privatliv, inklusive sjukdomar och familjeförhållanden. Meta Platforms fick 1,2 miljarder euro av Irlands tillsynsmyndighet i maj 2023, för olaglig dataöverföring av europeiska användares uppgifter till USA. Amazon fick 746 miljoner euro av Luxemburgs tillsynsmyndighet 2021, för brott mot transparenskraven.
Även mindre fall förekommer. Ett gymföretag fick 200 000 kronor för kameraövervakning i omklädningsrum. En vårdcentral fick 120 000 kronor för bristande åtkomstkontroller till journalsystemet.
Personuppgiftsincident: vad händer vid läcka?
En personuppgiftsincident inträffar när personuppgifter utsätts för risk i samband med en säkerhetsincident — när data försvinner, läcker, förstörs, ändras eller görs tillgängliga för obehöriga. Det gäller oavsett om det skedde med uppsåt eller av misstag.
Artikel 33 kräver att den personuppgiftsansvarige anmäler incidenten till tillsynsmyndigheten utan onödigt dröjsmål, och om möjligt inom 72 timmar från det att incidenten upptäcks. Om risken för de registrerade är hög ska även de drabbade individerna underrättas direkt (artikel 34).
I Sverige tar IMY emot tusentals incidentanmälningar per år. De vanligaste fallen är felskickad e-post, förlorade datorer och stulna lösenord. Mer allvarliga fall, som ransomware-attacker mot vårdinrättningar och dataintrång hos myndigheter, kan följas av tillsynsärenden och sanktionsavgifter.
Dataskyddsombud, register, konsekvensbedömning
Tre skyldigheter dyker upp ofta i förordningens tillämpning: dataskyddsombud, register över behandlingar och konsekvensbedömning.
Artikel 37 anger när en organisation måste utse ett dataskyddsombud. Det gäller alla myndigheter och offentliga organ, samt organisationer vars kärnverksamhet innebär regelbunden och systematisk övervakning av personuppgifter i stor omfattning, eller omfattande behandling av känsliga personuppgifter enligt artikel 9. Ett bostadsföretag som hyr ut lägenheter behöver normalt inget ombud. En vårdcentral behöver det.
Artikel 30 kräver register över behandlingar — också kallat behandlingsregister eller registerförteckning. Registret ska innehålla beskrivning av varje behandling: ändamål, kategorier av personuppgifter, mottagare, eventuell tredjelandsöverföring, lagringstid och säkerhetsåtgärder. Det ska kunna visas upp för IMY på begäran.
Konsekvensbedömning — på engelska Data Protection Impact Assessment, förkortat DPIA — regleras i artikel 35. En DPIA ska göras innan en behandling påbörjas om den sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Typiska fall är storskalig behandling av känsliga uppgifter, systematisk övervakning av offentliga platser och automatiserat beslutsfattande.
Den som anlitar en personuppgiftsbiträde — typiskt en molntjänst, en lönehanterare eller ett CRM-system — måste ingå ett personuppgiftsbiträdesavtal enligt artikel 28. Avtalet ska reglera vad biträdet får och inte får göra med uppgifterna. Den personuppgiftsansvarige förblir ansvarig även om biträdet brister.
Lagar bredvid lagen: dataskyddslagen och journalistikundantaget
GDPR är en EU-förordning och gäller direkt, men förordningen lämnar en del utrymme åt medlemsländer att anpassa nationellt. Den svenska kompletterande lagstiftningen heter lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Lagen reglerar bland annat svensk åldersgräns för giltigt samtycke från barn (13 år, mot förordningens default på 16) och undantag för journalistik, vetenskap, konst och litteratur.
Undantaget för journalistisk verksamhet är värt att notera. Enligt 1 kap. 7 § dataskyddslagen ska de flesta av förordningens bestämmelser inte tillämpas på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Skälet är att en strikt tillämpning skulle kollidera med tryckfriheten, som i Sverige skyddas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Utan undantaget skulle en intervjuad person kunna kräva radering ur en publicerad reportagebok.
I praktiken innebär det att en tidning som Re:public får, och måste, behandla personuppgifter på sätt som ett vanligt företag inte får. Men undantaget är inte obegränsat. Det gäller bara behandling som faktiskt sker för journalistiska ändamål, inte exempelvis prenumerantregister eller löneuppgifter.
Tredjelandsöverföring: dataflöden ut ur EU
Artiklarna 44 till 50 reglerar överföring av personuppgifter till länder utanför EU och EES. Sådana länder kallas tredjeländer. Grundregeln är att överföring kräver att mottagarlandet har en adekvat skyddsnivå, vilket fastställs av Europeiska kommissionen genom så kallade adekvansbeslut.
I avsaknad av adekvansbeslut krävs lämpliga skyddsåtgärder. Det vanligaste är Standard Contractual Clauses (SCC), standardavtalsklausuler som EU-kommissionen har godkänt, eller Binding Corporate Rules (BCR), bindande företagsbestämmelser som används inom multinationella koncerner.
Frågan om USA har varit kontroversiell. EU-domstolen har två gånger underkänt ramverken för dataöverföring till USA. I Schrems I (2015) ogiltigförklarades Safe Harbor. I Schrems II (juli 2020) ogiltigförklarades efterträdaren Privacy Shield, eftersom amerikansk underrättelselagstiftning ansågs ge för långtgående tillgång till europeisk persondata. Sedan juli 2023 finns ett nytt ramverk, EU-U.S. Data Privacy Framework, vars hållbarhet ännu inte prövats av domstolen.
För svenska företag betyder detta att användning av amerikanska molntjänster inte är förbjuden, men kräver dokumenterad bedömning av risker och ofta kompletterande tekniska skyddsåtgärder, typiskt kryptering där nyckeln stannar inom EU.
Sju år senare: vad förordningen blivit
GDPR har funnits i sju år i maj 2026. Under den tiden har europeiska tillsynsmyndigheter utfärdat sanktionsavgifter på över 5 miljarder euro tillsammans. Antalet anmälda personuppgiftsincidenter i EU passerade 1,5 miljoner under 2024. Sverige står för en mindre del av båda måtten, IMY:s mest uppmärksammade beslut har gällt företag som Apoteket, Klarna och Spotify.
Två nya EU-lagar har trätt i kraft under 2024 och 2025 och förändrat ramen. AI-förordningen (förordning (EU) 2024/1689), känd som AI Act, reglerar artificiell intelligens som ofta använder personuppgifter och samspelar med GDPR. Dataförordningen (Data Act) reglerar tillgång och delning av icke-personlig data men berör GDPR i gränssnittet.
Förordningen har också mött kritik. Det administrativa arbetet är betungande för små organisationer. Cookiebannrarna har kritiserats för att skapa “samtyckesutmattning” snarare än reellt skydd. EU-kommissionen aviserade i april 2025 en översyn av delar av förordningen för att minska bördan för små och medelstora företag, samtidigt som de fundamentala rättigheterna ska bevaras. Översynen pågår fortfarande och förslagen är inte fastställda.
Men den stora linjen har stått sig. Sju år efter ikraftträdandet är en personuppgift inte längre något ett företag äger. Det är en upplysning som någon annan har lämnat och som någon annan när som helst kan ta tillbaka. Det är vad GDPR i praktiken har betytt: en förflyttning av makten över data, en grad i taget, från den som samlar till den om vilken uppgiften handlar.
