Vad är GDPR?
GDPR, General Data Protection Regulation, är EU:s dataskyddsförordning. Den antogs 2016, trädde i kraft 25 maj 2018 och är direktverkande i alla medlemsstater. I Sverige kompletteras förordningen av Dataskyddslagen (SFS 2018:218), som reglerar bland annat känsliga personuppgifter, personnummer och nationella undantag.
GDPR gäller alla organisationer som behandlar personuppgifter om fysiska personer som befinner sig i EU. Det spelar ingen roll om organisationen är stor eller liten, privat eller offentlig, om behandlingen är automatiserad eller manuell. Förordningen följer sex principer: laglighet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering och integritet. Ovanpå principerna ligger ansvarsskyldigheten, accountability, som kräver att den personuppgiftsansvarige kan visa hur principerna efterlevs.
Personuppgiftsansvarig eller personuppgiftsbiträde?
GDPR delar in aktörerna i två huvudroller.
Personuppgiftsansvarig (controller, Art. 4.7). Den som bestämmer ändamål och medel för behandlingen. Ett typiskt svenskt företag är personuppgiftsansvarig för behandling av kund-, leverantörs- och personaluppgifter.
Personuppgiftsbiträde (processor, Art. 4.8). Den som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. SaaS-leverantörer, molntjänster och outsourcad support är typiskt biträden. För varje biträdesrelation krävs ett biträdesavtal enligt Art. 28.
Förhållandet till AI Act är värt att lyfta: när ett AI-system behandlar personuppgifter tillämpas GDPR och AI Act parallellt. Deployer-rollen i AI Act och controller-rollen i GDPR sammanfaller ofta men inte alltid. Ett svenskt bolag som använder en AI-baserad HR-screening är både GDPR-ansvarig för kandidatuppgifterna och AI Act-deployer för systemet.
De sex rättsliga grunderna
All behandling av personuppgifter måste ha en rättslig grund enligt Art. 6. För känsliga personuppgifter (Art. 9) krävs dessutom ett särskilt undantag. De sex grunderna är:
- Samtycke (Art. 6.1 a). Frivilligt, specifikt, informerat och otvetydigt. Ska kunna återkallas lika lätt som det lämnas.
- Avtal (Art. 6.1 b). När behandlingen är nödvändig för att fullgöra ett avtal med den registrerade.
- Rättslig förpliktelse (Art. 6.1 c). När lag kräver behandlingen, till exempel bokföringslagen eller arbetsrättslig lagstiftning.
- Grundläggande intressen (Art. 6.1 d). Skydd av liv och hälsa.
- Allmänt intresse och myndighetsutövning (Art. 6.1 e). Primärt för offentlig sektor.
- Berättigat intresse (Art. 6.1 f). Efter intresseavvägning. Inte tillämplig för offentliga myndigheter i myndighetsutövning.
Registrerades rättigheter
GDPR ger den registrerade åtta rättigheter i kapitel III. Företag måste kunna hantera varje begäran inom en månad (Art. 12.3), med möjlighet till två månaders förlängning vid komplicerade ärenden.
| Artikel | Rättighet | Praktiskt krav |
|---|---|---|
| Art. 13-14 | Information vid insamling | Tydlig integritetspolicy vid kontaktpunkter |
| Art. 15 | Rätt till registerutdrag | Svar inom 30 dagar, kostnadsfritt |
| Art. 16 | Rätt till rättelse | Process för att korrigera felaktiga uppgifter |
| Art. 17 | Rätt till radering (rätten att bli glömd) | Tekniskt och organisatoriskt stöd för radering |
| Art. 18 | Rätt till begränsning | Pausa behandling utan att radera |
| Art. 20 | Rätt till dataportabilitet | Strukturerat, maskinläsbart format |
| Art. 21 | Rätt att invända | Stopp för direktmarknadsföring, intresseavvägning |
| Art. 22 | Beslut baserade på automatiserad behandling | Mänsklig inblandning vid rättsverkningar |
När krävs DPIA?
En konsekvensbedömning avseende dataskydd (DPIA) enligt Art. 35 krävs när en behandling sannolikt innebär hög risk för de registrerades rättigheter och friheter. IMY har publicerat en lista över behandlingar som alltid kräver DPIA, bland annat storskalig behandling av känsliga personuppgifter, systematisk övervakning av offentliga platser och profilering som leder till rättsverkningar.
AI-system som fattar eller stödjer beslut om människor kräver i princip alltid DPIA. Om systemet dessutom är högrisk enligt AI Act måste en grundläggande rättighetsbedömning (FRIA) per AI Act Art. 27 göras parallellt. Dokumenten överlappar men är inte identiska. Praktiskt kan de slås ihop i samma dokumentation, men båda kraven måste kunna spåras separat.
Personuppgiftsincident: 72 timmar till IMY
Art. 33 kräver att personuppgiftsansvarig anmäler personuppgiftsincidenter till IMY utan onödigt dröjsmål och senast inom 72 timmar efter att incidenten blivit känd. Undantag gäller endast om incidenten sannolikt inte medför någon risk för den registrerade. Art. 34 kräver dessutom information till den registrerade när det finns hög risk för dennes rättigheter och friheter.
Ett svenskt bolag som är både GDPR-pliktigt och NIS2-omfattat kan behöva skicka tre parallella rapporter vid en cyberincident: NIS2 early warning till CSIRT inom 24 timmar (Cybersäkerhetslagen, SFS 2025:1506), GDPR-anmälan till IMY inom 72 timmar, samt AI Act Art. 73-rapport vid allvarlig incident med högrisk-AI inom 15 dagar. Plattformar som integrerar de tre processerna minskar risken för inkonsekvent dokumentation.
Sanktioner och IMY-praxis
GDPR har två sanktionsnivåer i Art. 83. Lägre nivå: 10 miljoner euro eller 2 procent av global omsättning, för brott mot bland annat registerhållning och biträdesavtal. Högre nivå: 20 miljoner euro eller 4 procent av global omsättning, för brott mot grundprinciperna, registrerades rättigheter och överföring till tredjeland.
IMY har sedan 2018 utdömt sanktioner i över etthundra ärenden. Senaste årens större svenska sanktioner har inkluderat Spotify (58 miljoner kronor för registerutdragshantering), Klarna (7,5 miljoner kronor för transparens) och flera regioner för vårdrelaterade incidenter. Praxis visar att IMY väger in samarbete, grad av uppsåt, storlek på verksamheten och vidtagna åtgärder efter incidenten.
GDPR i kombination med NIS2 och AI Act
Tre regelverk med överlappande krav på säkerhetsåtgärder, dokumentation och incidentrapportering styr svenska företags compliance-arbete.
GDPR. Skyddar personuppgifter. Tillsyn: IMY.
NIS2 (Cybersäkerhetslagen, SFS 2025:1506). Skyddar nät- och informationssystem i väsentliga och viktiga entiteter. Tillsyn: sektorspecifika myndigheter under PTS samordning.
AI Act (EU 2024/1689). Reglerar AI-system i EU. Tillsyn: IMY som primär marknadskontrollmyndighet, med sektorsvis tillsyn av Finansinspektionen, Läkemedelsverket med flera.
För ett svenskt bolag med AI-system som behandlar personuppgifter i en NIS2-reglerad sektor gäller alla tre parallellt. Kraven på tekniska och organisatoriska åtgärder (GDPR Art. 32, NIS2 Art. 21, AI Act Art. 15) överlappar men är inte identiska. En samlad compliance-stack sparar tid och minskar risken för motstridig dokumentation.
Vanliga missuppfattningar
Små företag slipper. Nej. GDPR gäller oavsett storlek. Undantag från registerföring enligt Art. 30.5 för företag med färre än 250 anställda gäller inte om behandlingen är regelbunden, utgör en risk eller omfattar känsliga uppgifter. I praktiken är undantaget sällan användbart.
Samtycke räcker alltid. Nej. Samtycke är ofta den svagaste grunden. I anställningsförhållanden är det i princip aldrig frivilligt, och det kan återkallas när som helst. Avtal, rättslig förpliktelse eller berättigat intresse är ofta starkare.
GDPR stoppar AI-utveckling. Nej. GDPR kräver rättslig grund och skyddsåtgärder, inte förbud. AI Act tillför högriskkrav. Tillsammans ger de en ram inom vilken ansvarsfull AI-utveckling är fullt möjlig.
Biträdesavtalet är bara en formalitet. Nej. IMY har utdömt sanktioner för bristande biträdesavtal, särskilt vid överföring till leverantörer utanför EU/EES.
Vad gör jag nu? Praktisk plan
En rimlig plan för ett svenskt medelstort företag som vill säkerställa GDPR-efterlevnad 2026:
- Inventera behandlingar. Registerförteckning per Art. 30 över alla behandlingar, med ändamål, rättslig grund, kategorier och lagringstid.
- Granska rättslig grund. Särskilt samtycken som är gamla eller otydliga. Byt till starkare grund där det är möjligt.
- Genomför DPIA för högriskbehandlingar. Särskilt AI-driven profilering, storskalig behandling av känsliga uppgifter och systematisk övervakning.
- Uppdatera integritetspolicyer. Tydliga, konkreta och åldersanpassade där barn är målgrupp.
- Säkerställ biträdesavtal. Alla leverantörer som behandlar personuppgifter. Granska överföringsmekanismer till tredjeland.
- Bygg incidentprocess. 72-timmarsanmälan till IMY. Integrera med NIS2 24-timmars CSIRT-anmälan om bolaget är NIS2-omfattat.
- Utbilda personal. Grundläggande GDPR-kompetens för alla, fördjupad för DPO och systemägare.
- Utse DPO där det krävs. Art. 37: offentliga myndigheter, företag som bedriver systematisk övervakning i stor skala, eller storskalig behandling av känsliga uppgifter.