GDPR (Dataskyddsförordningen) – Guide: regler, rättigheter och böter

Lär dig GDPRs regler, dina rättigheter och konsekvenser vid överträdelser – komplett guide om dataskydd, ansvar och böter för företag och privatpersoner.

Författare: Leandro Alegsa

10-11-2025 17:57

Den allmänna dataskyddsförordningen (GDPR) (förordning (EU) 2016/679) antogs den 27 april 2016. Den trädde i kraft den 25 maj 2018.

Förordningen godkänns av Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen. Den skyddar människors personuppgifter i hela Europeiska unionen (EU). Förordningen påverkar också exporten av uppgifter från EU.

Syftet med GDPR är att ge medborgarna kontroll över sina personuppgifter. Den förenklar reglerna för ekonomiska förbindelser med andra länder genom att standardisera EU:s förfaranden. GDPR ersätter dataskyddsdirektivet från 1995. Den nya GDPR-lagen kräver inga ändringar i lokala lagar inom EU. Förordningen är bindande.

Personer och företag som inte följer GDPR-lagen kan få böter på upp till 20 000 000 euro eller upp till 4 % av företagets vinst från föregående år, beroende på vilket belopp som är högst.

Vad omfattar GDPR?

GDPR reglerar behandling av personuppgifter — all information som direkt eller indirekt kan identifiera en fysisk person (t.ex. namn, e-post, personnummer, IP-adress). Den gäller när personuppgifter behandlas inom EU eller när en organisation utanför EU erbjuder varor/tjänster till eller övervakar personer i EU.

Viktiga principer

Laglighet, korrekthet och öppenhet: Behandling måste ha en rättslig grund och ske på ett öppet sätt gentemot den registrerade.
Ändamålsbegränsning: Uppgifter får endast samlas in för särskilda, uttryckliga och berättigade ändamål.
Minimering av uppgifter: Endast de uppgifter som är nödvändiga för ändamålet får behandlas.
Riktighet: Uppgifter ska vara korrekta och uppdaterade.
Lagringsbegränsning: Uppgifter får inte sparas längre än nödvändigt.
Integritet och konfidentialitet: Tekniska och organisatoriska åtgärder ska skydda uppgifter mot obehörig åtkomst eller förlust.
Ansvarsskyldighet (accountability): Den registeransvarige ska kunna visa att kraven uppfylls.

Rättigheter för registrerade

GDPR ger individer flera konkreta rättigheter. De vanligaste är:

Rätt till information och tillgång: Du kan begära att få veta vilka uppgifter som behandlas om dig.
Rätt till rättelse: Felaktiga eller ofullständiga uppgifter ska rättas.
Rätt till radering (“rätten att bli glömd”): I vissa situationer kan du begära att uppgifter raderas.
Rätt till begränsning av behandling: Du kan begära att behandling begränsas under utredning.
Rätt till dataportabilitet: Få dina uppgifter i ett maskinläsbart format för överföring till annan leverantör.
Rätt att göra invändningar: Motsätta dig behandling baserad på berättigat intresse eller direkt marknadsföring.
Rätt att inte bli föremål för automatiserat beslut inklusive profilering: Du har skydd mot beslut som enbart baseras på automatiserad behandling med rätts- eller liknande följder.

Ansvar och skyldigheter för företag och organisationer

Registeransvarig och personuppgiftsbiträde: Klargör rollfördelning i relationer med leverantörer.
Lagarlig grund: Varje behandling måste ha en rättslig grund (t.ex. samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, allmänt intresse eller berättigat intresse).
Dokumentation: För register över behandlingar (enligt artikel 30) och visa efterlevnad.
Dataskyddsombud (DPO): I vissa fall måste en DPO tillsättas (offentlig myndighet, kärnverksamhet som kräver regelbunden och omfattande övervakning eller behandling av särskilda kategorier av uppgifter i stor skala).
Privacy by design och by default: Integritet ska beaktas redan vid system- och tjänsteutveckling.

Särskilda kategorier av personuppgifter

GDPR ställer särskilda krav på känsliga uppgifter (t.ex. ras/etnicitet, politiska åsikter, religiös övertygelse, hälsa, biometriska och genetiska uppgifter, sexualliv). Sådan behandling är i princip förbjuden om inte särskilda undantag gäller.

Incidenter och anmälan om personuppgiftsbrott

Vid en personuppgiftsincident (t.ex. dataläckage) ska den registeransvarige normalt:

Anmäla till tillsynsmyndigheten inom 72 timmar efter att ha blivit medveten om brottet, om risk för personers rättigheter och friheter föreligger.
Informera berörda personer utan onödigt dröjsmål om risken är hög.
Dokumentera alla incidenter och åtgärder även om anmälan inte krävs.

Överföringar till länder utanför EU/EES

Internationella överföringar kräver särskilt skydd. Vanliga lösningar är:

EU-kommissionens beslut om adekvat skyddsnivå (adequacy decision).
Avtalsklausuler som standardavtalsklausuler (SCCs).
Bindande företagsregler (Binding Corporate Rules) för koncerner.
Undantag i begränsad omfattning (t.ex. uttryckligt samtycke eller nödvändighet för avtal).

Tillsyn och böter

Tillsynsmyndigheten i Sverige är Integritetsskyddsmyndigheten (IMY). Böterna enligt GDPR har två nivåer:

Lägre nivå: Upp till 10 miljoner euro eller 2 % av världsomspännande årsomsättning för vissa överträdelser (t.ex. brister i registerföring eller bristande krav på sekretess).
Högre nivå: Upp till 20 miljoner euro eller 4 % av världsomspännande årsomsättning för allvarligare överträdelser (t.ex. brott mot grundläggande principer, otillåten överföring av personuppgifter).

Praktiska steg för att uppfylla GDPR

Gör en kartläggning (data mapping) över vilka personuppgifter ni behandlar och varför.
Identifiera rättslig grund för varje behandling.
Uppdatera sekretesspolicyer och informera registrerade tydligt om ändamål och rättigheter.
Säkra personuppgifter tekniskt (kryptering, åtkomstkontroller) och organisatoriskt (behörighet, utbildning).
Ingå databehandlingsavtal med leverantörer (personuppgiftsbiträden).
Upprätta rutiner för att hantera begäran från registrerade och incidentrapportering.
Genomför regelbundna riskbedömningar och, vid behov, konsekvensbedömningar (DPIA).

Hur du utövar dina rättigheter

För att utöva dina rättigheter kontaktar du den registeransvarige (företaget eller myndigheten som behandlar dina uppgifter). De måste svara inom en månad — i komplexa fall kan denna tid förlängas med ytterligare två månader, men du ska informeras om förlängningen och skälen till den.

Om du inte får tillfredsställande svar kan du lämna klagomål till tillsynsmyndigheten (i Sverige: IMY).

Sammanfattning

GDPR stärker individers rättigheter och ställer krav på att personuppgifter behandlas säkert, lagenligt och öppet. För företag innebär det både skyldigheter och större ansvarstagande kring datahantering. Tidiga och praktiska åtgärder — kartläggning, laglig grund, säkerhet, avtal och tydlig kommunikation — är centrala för att uppnå efterlevnad och minska risker.

Tillämpade regler

Detta avsnitt behöver mer information.

Genom den allmänna dataskyddsförordningen införs regler som skyddar människor mot en mängd olika integritetsfrågor. Genom förordningen stärks människors rätt att på laglig väg samtycka till att företag använder deras privata information. Den ger också människor rätt att få sina privata uppgifter inte längre tillgängliga för ett företag. Den garanterar också att användarna har rätt att tillåta att deras privata information blir offentlig eller inte. Förordningen säkerställer också att inga personuppgifter behandlas om inte användaren har gett personuppgiftsbiträdet tillstånd till detta.

Tidslinje

25 januari 2012: Förslaget till dataskyddsförordningen offentliggjordes.
21 oktober 2013: Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) röstar om huruvida GDPR ska bli den nya förordningen för människor i Europa.
15 december 2015: Europaparlamentet, rådet och kommissionen (formellt trilogmöte) diskuterar den allmänna dataskyddsförordningen. Den dagen har dataskyddsförordningen resulterat i ett gemensamt förslag.
17 december 2015: Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor röstade för förhandlingarna mellan de tre parterna.
8 april 2016: Europeiska unionen har antagit den allmänna dataskyddsförordningen. Den enda medlemsstat som röstade emot var Österrike, som hävdade att flera aspekter av den nya förordningen inte är tillfredsställande jämfört med dataskyddsdirektivet.
14 april 2016: Den allmänna dataskyddsförordningen har antagits av Europaparlamentet och ersätter det dataskyddsdirektiv som de tidigare använde.
24 maj 2016: Den allmänna dataskyddsförordningen har börjat användas runt om i världen, men den har ännu inte tillämpats fullt ut. Detta är 20 dagar efter att den allmänna dataskyddsförordningen har offentliggjorts i Europeiska unionens officiella tidning.
25 maj 2018: Den allmänna dataskyddsförordningen börjar tillämpas fullt ut i hela världen. Det har gått två år sedan förordningen skapades.
Juli/augusti 2018: Dataskyddsförordningen kommer att börja tillämpas på Island, i Liechtenstein och i Norge. Dessa tre länder har anslutit sig till den gemensamma EES-kommittén, eftersom de alla har kommit överens om att följa förordningen.

Frågor och svar

F: Vad är den allmänna dataskyddsförordningen (GDPR)?

S: GDPR är en förordning som antagits av Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen och som skyddar människors personuppgifter i hela EU.

F: När trädde den i kraft?

S: Den trädde i kraft den 25 maj 2018.

F: Vad är syftet med GDPR?

S: Syftet med GDPR är att ge medborgarna kontroll över sina personuppgifter och förenkla reglerna för ekonomiska förbindelser med andra länder genom att standardisera EU:s förfaranden.

F: Ersätter den några befintliga lagar?

S: Ja, den ersätter dataskyddsdirektivet från 1995.

F: Måste lokala lagar ändras för att följa GDPR?

Svar: Nej, det behövs inga ändringar i lokala lagar inom EU eftersom förordningen är bindande.
F: Vad händer om någon eller ett företag inte följer GDPR-lagstiftningen? S: De kan drabbas av böter på upp till 20 000 000 euro eller upp till 4 % av företagets vinst från föregående år, beroende på vilket antal som är högst.

Sök