Den kompletta tidslinjen
| Datum | Händelse | Betydelse för svenska företag |
|---|---|---|
| 27 apr 2016 | GDPR antas av EU | Start på tvåårig förberedelseperiod |
| 25 maj 2018 | GDPR börjar tillämpas | Personuppgiftslagen (PUL) ersätts. Dataskyddslagen (SFS 2018:218) träder i kraft samma dag. |
| Jul 2019 | British Airways, Marriott sanktioner signalerar nivå | Första signalerna om att sanktioner kan nå miljard-SEK-nivå |
| 16 jul 2020 | Schrems II (C-311/18) | Privacy Shield ogiltigförklaras. Standardavtalsklausuler skärps. Transfer Impact Assessment blir praxis. |
| 4 jun 2021 | Nya standardavtalsklausuler (SCC) | EU-kommissionen publicerar uppdaterade SCC. Deadline för byte: 27 dec 2022. |
| 2 aug 2022 | IMY-sanktion mot Spotify (58 MSEK) | Registerutdrag och transparens i fokus |
| 1 jun 2023 | Klarna-sanktion (7,5 MSEK) | Transparens och information till registrerade |
| 10 jul 2023 | EU-US Data Privacy Framework (DPF) | Nytt adekvansbeslut för USA-överföringar. Ersätter Schrems II-osäkerheten för DPF-certifierade leverantörer. |
| Löpande 2023-2024 | EDPB-guidelines om mörka mönster, legitimate interest, deceptive design | Praxis för webb, app och marknadsföring |
| Nov 2024 | EDPB guideline 9/2022 (slutlig) | Uppdaterad vägledning för incidentrapportering enligt Art. 33 |
| Jan 2025 | NIS2 implementering i svensk lag | Cybersäkerhetslagen (SFS 2025:1506). Parallella anmälningskrav aktiveras. |
| 2 feb 2025 | AI Act Art. 5 och Art. 4 | Förbjudna AI-praktiker och AI-kompetens gäller. GDPR-intresseavvägning påverkas. |
| 2 aug 2026 | AI Act Art. 26 | Deployer-skyldigheter för högrisk-AI. DPIA och FRIA börjar samspela i praktiken. |
25 maj 2018: GDPR börjar tillämpas
GDPR tog över från det tidigare dataskyddsdirektivet (95/46/EG) och dess svenska implementering Personuppgiftslagen (PUL). I Sverige trädde Dataskyddslagen (SFS 2018:218) och flera sektorvisa lagar i kraft samma dag. Datainspektionen bytte namn till Integritetsskyddsmyndigheten (IMY) 2021.
Första året präglades av implementeringsångest och ett mindre antal sanktioner. Tillsynen rampade upp gradvis, med IMY:s första större svenska sanktion mot Google 2020.
16 juli 2020: Schrems II
EU-domstolens dom i mål C-311/18 (Schrems II) ogiltigförklarade EU-US Privacy Shield och skärpte kraven på standardavtalsklausuler. Domen fick omedelbara konsekvenser för alla svenska företag som använde amerikanska molnleverantörer.
EDPB publicerade rekommendationer om kompletterande åtgärder, som bildade grunden för Transfer Impact Assessment (TIA). Svenska företag stod inför valet att byta leverantör, omförhandla avtal eller implementera kompletterande tekniska åtgärder. Domen är fortfarande central vid all tredjelandsöverföring.
10 juli 2023: EU-US Data Privacy Framework
EU-kommissionen antog nytt adekvansbeslut för USA efter att den amerikanska presidenten utfärdat Executive Order 14086 som begränsade signalspaning. Det nya ramverket, DPF, erbjuder rättsligt skydd jämförbart med EU för certifierade amerikanska företag.
För svenska företag innebar beslutet att de flesta större amerikanska SaaS-leverantörer (Microsoft, Google, AWS, Salesforce) åter kunde användas utan separat Transfer Impact Assessment, förutsatt DPF-certifiering. För icke-certifierade leverantörer gäller fortsatt Schrems II-ramverket.
Januari 2025: NIS2 i svensk lag
Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft och implementerade NIS2-direktivet i svensk rätt. För svenska företag som är både GDPR-pliktiga och NIS2-omfattade skapade det parallella rapporteringskrav vid cyberincidenter.
Incidentprocessen måste hantera NIS2 (24h early warning till CSIRT + 72h + 1 månad) och GDPR (72h till IMY) parallellt. Dokumentationen ska vara konsekvent: det får inte stå olika saker om samma incident i olika rapporter. Praktiskt kräver det antingen en kraftigt samordnad manuell process eller en plattform som driver båda anmälningarna från samma händelsepost.
2 februari 2025: AI Act Art. 4 och Art. 5
AI-förordningens första operativa datum. Art. 5 förbjöd vissa AI-praktiker (social scoring, manipulativa tekniker, realtidsbiometri med smala undantag). Art. 4 krävde AI-kompetens hos personal som utvecklar, distribuerar eller använder AI-system.
För GDPR-efterlevnaden blev den praktiska konsekvensen att intresseavvägningen enligt Art. 6.1 f skärptes. En AI-behandling som bygger på berättigat intresse måste kunna visa att den inte hör till Art. 5-kategorierna. Dokumentationen i DPIA och registerförteckning kompletterades med AI Act-referenser.
2 augusti 2026: AI Act Art. 26 och DPIA-FRIA-samspelet
Deployer-skyldigheter för högrisk-AI-system aktiveras. För AI-system som behandlar personuppgifter gäller DPIA (GDPR Art. 35) och FRIA (AI Act Art. 27) parallellt. Svenska offentliga deployers och privata deployers inom bank och försäkring måste producera FRIA.
DPIA och FRIA överlappar men är inte identiska. En väl genomförd DPIA fångar merparten av FRIA-punkterna. Praktiskt rekommenderas en gemensam mall som tydligt markerar vilka avsnitt som svarar mot vilket regelverk, så att tillsyn kan verifiera båda separat.
Löpande EDPB-guidelines 2024-2026
EDPB publicerar löpande guidelines som formar tillämpningen. Praktiskt viktiga områden 2024-2026:
- Samtyckesramverk och dark patterns i webbformulär
- Legitimate interest som grund för AI-träning och marknadsföring
- Barnets dataskydd i digitala tjänster
- Datamyndigheternas tillsyn över Meta, TikTok och andra plattformar
- Anonymiseringsteknik och pseudonymisering
- AI-träning på personuppgifter: EDPB opinion 28/2024
- Personuppgiftsansvarig respektive biträde i molntjänster och i AI-leverantörsrelationer
IMY:s praxis 2024-2026
IMY har prioriterat ett antal områden i tillsynen som är viktiga för svenska företag:
- Storskaliga SaaS-leverantörer och globala koncerner
- Transparens och information till registrerade
- Registrerades rätt till registerutdrag och radering
- Biträdesavtal och tredjelandsöverföringar
- Systematiska svagheter i incidentprocess och 72h-anmälan
- Känsliga personuppgifter i hälso- och sjukvård
- AI och automatiserat beslutsfattande (förberedelse inför AI Act-parallell tillsyn)
Vad väntas 2026 och framåt?
Utöver AI Act Art. 26-aktiveringen 2 augusti 2026 ligger två större regleringar i pipeline:
- Data Act. Gäller sedan 12 sep 2025. Påverkar avtal om IoT-data och samspelet mellan dataägare, användare och tredjepartsleverantörer.
- e-Privacy-förordningen. Fortsatt försenad. När den antas kommer den ersätta nationell e-Privacy-lagstiftning och skärpa reglerna för cookies och direktmarknadsföring.
- AI Act Art. 6.1 / Bilaga I. 2 augusti 2027. Högrisk-AI i reglerade produkter (medicinteknik, fordon) aktiveras fullt ut. GDPR DPIA krävs för personuppgiftshantering i dessa produkter.