Driva Företag
⚖️ Juridik

GDPR för företag – vad du måste göra

Komplett guide till GDPR för svenska företag. Krav, integritetspolicy, biträdesavtal, samtycke, DPO och praktiska steg för GDPR-compliance.

MBMaria Berggren · AffärsjuristFaktagranskad av Affärsjurist
Senast uppdaterad: 2026-03-17Publicerad: 2025-08-2313 min läsning
Huvudguide
Innehållsförteckning

Introduktion

Sedan den 25 maj 2018 gäller EU:s dataskyddsförordning (GDPR) i hela EU, inklusive Sverige. GDPR ställer strikta krav på hur företag samlar in, lagrar och använder personuppgifter. Brott mot GDPR kan leda till böter på upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen.

I den här guiden går vi igenom vad GDPR innebär i praktiken för ditt svenska företag, vilka åtgärder du måste vidta och hur du säkerställer att din verksamhet lever upp till kraven.

Vad är GDPR och varför finns det?

GDPR står för General Data Protection Regulation och är en EU-förordning som gäller som lag i alla EU-länder. I Sverige kompletteras GDPR av dataskyddslagen (2018:218) och dataskyddsförordningen (2018:219).

Centrala begrepp du måste känna till

  • Personuppgift – All information som direkt eller indirekt kan kopplas till en levande person. Namn, e-postadress, IP-adress, personnummer, foton och till och med beteendemönster online räknas som personuppgifter.
  • Registrerad – Den person vars uppgifter behandlas (din kund, anställd, webbplatsbesökare).
  • Personuppgiftsansvarig – Den organisation som bestämmer ändamålen och medlen för behandlingen. Det är vanligtvis ditt företag.
  • Personuppgiftsbiträde – En extern part som behandlar personuppgifter för din räkning, till exempel en molntjänstleverantör, ett e-postsystem eller en extern lönehanterare.
  • Behandling – I princip allt du gör med personuppgifter: insamling, lagring, ändring, läsning, överföring och radering.

Vilka berörs av GDPR?

Kort sagt: alla företag som behandlar personuppgifter om personer i EU. Det spelar ingen roll om ditt företag är stort eller litet. En enskild firma med en kundlista på 50 personer omfattas precis som ett multinationellt bolag. Valet av bolagsform påverkar inte dina skyldigheter under GDPR.

De sex lagliga grunderna för behandling

Enligt artikel 6 i GDPR måste varje behandling av personuppgifter ha en laglig grund. Det finns sex stycken:

1. Samtycke

Den registrerade har gett sitt uttryckliga samtycke till behandlingen. Samtycket måste vara:

  • Frivilligt – Personen ska inte pressas att samtycka
  • Specifikt – Samtycket gäller en viss behandling
  • Informerat – Personen måste veta vad den samtycker till
  • Otvetydigt – Det ska inte finnas tvivel om att personen samtyckt
  • Enkelt att återkalla – Det ska vara lika lätt att ta tillbaka sitt samtycke som att ge det

Praktiskt exempel: Du driver en webbshop och vill skicka nyhetsbrev till dina kunder. Då behöver du inhämta aktivt samtycke – en förmarkerad kryssruta räknas inte. Kunden ska själv kryssa i rutan och du ska dokumentera när och hur samtycket gavs.

2. Avtal

Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade, eller för att vidta åtgärder på den registrerades begäran innan ett avtal ingås.

Praktiskt exempel: När en kund beställer en vara behöver du behandla kundens namn och adress för att kunna leverera. Denna behandling grundar sig på avtalet (köpet). Du behöver inte extra samtycke för detta.

3. Rättslig förpliktelse

Behandlingen krävs för att du ska kunna uppfylla en lagstadgad skyldighet.

Praktiskt exempel: Enligt bokföringslagen (1999:1078) ska du spara bokföringsunderlag i sju år. Det innebär att du har laglig grund att lagra kunduppgifter på fakturor under den perioden, även om kunden begär radering.

4. Skydd av vitala intressen

Behandlingen är nödvändig för att skydda någons liv. Denna grund används sällan i affärssammanhang.

5. Uppgift av allmänt intresse

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Främst relevant för myndigheter.

6. Berättigat intresse

Behandlingen är nödvändig för ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige, förutsatt att den registrerades intressen inte väger tyngre. En intresseavvägning måste göras och dokumenteras.

Praktiskt exempel: Du skickar ett erbjudande till en befintlig kund baserat på tidigare köp. Det kan grunda sig på berättigat intresse, men du måste kunna visa att kundens integritet inte kränks och att kunden enkelt kan säga nej.

Integritetspolicy – vad den måste innehålla

Varje företag som behandlar personuppgifter ska ha en integritetspolicy (privacy policy). Den ska vara lättillgänglig, tydlig och skriven på ett språk som mottagaren förstår – alltså på svenska om du riktar dig till svenska kunder.

Obligatoriskt innehåll

Enligt artiklarna 13–14 i GDPR ska integritetspolicyn innehålla:

  1. Personuppgiftsansvarig – Företagets namn, organisationsnummer och kontaktuppgifter.
  2. Kontaktuppgifter till dataskyddsombud (DPO) – Om ni har ett.
  3. Ändamålen med behandlingen – Varför behandlar ni personuppgifter?
  4. Laglig grund – Vilken av de sex grunderna åberopas?
  5. Kategorier av personuppgifter – Vilka uppgifter samlar ni in?
  6. Mottagare – Vilka delar ni uppgifterna med?
  7. Överföring till tredjeland – Överförs uppgifter utanför EU/EES?
  8. Lagringstid – Hur länge sparas uppgifterna?
  9. Den registrerades rättigheter – Rätt till tillgång, rättelse, radering, etc.
  10. Rätt att klaga – Till Integritetsskyddsmyndigheten (IMY).
  11. Om samtycke – Rätten att återkalla samtycke.

Praktiskt tips för integritetspolicyn

Undvik att bara kopiera en engelskspråkig mall. Din policy ska spegla just ditt företags behandling. Var konkret: istället för att skriva "Vi kan dela dina uppgifter med tredje parter" bör du specificera vilka tredjeparter det handlar om och varför.

Personuppgiftsbiträdesavtal (DPA)

Vad är ett biträdesavtal?

Om du anlitar en extern leverantör som behandlar personuppgifter för din räkning – exempelvis en molntjänst, ett CRM-system eller en extern redovisningsbyrå – kräver GDPR artikel 28 att ni tecknar ett personuppgiftsbiträdesavtal (Data Processing Agreement, DPA).

Vad ska biträdesavtalet innehålla?

Enligt artikel 28.3 ska avtalet bland annat reglera:

  • Ämnet och varaktigheten för behandlingen
  • Behandlingens art och ändamål
  • Typen av personuppgifter och kategorier av registrerade
  • Att biträdet bara behandlar uppgifter enligt dina instruktioner
  • Att biträdet vidtar lämpliga säkerhetsåtgärder (artikel 32)
  • Att biträdet inte anlitar underbiträden utan ditt godkännande
  • Att biträdet hjälper dig att uppfylla registrerades rättigheter
  • Att biträdet raderar eller återlämnar alla uppgifter när avtalet upphör
  • Att biträdet medger granskningar och inspektioner

Vanliga situationer där biträdesavtal behövs

  • Extern löneadministration
  • Molnbaserade CRM-system (Salesforce, HubSpot)
  • E-postmarknadsföring (Mailchimp, Brevo)
  • Extern IT-drift och hosting
  • Google Analytics och liknande verktyg

Kontrollera att dina befintliga leverantörer har biträdesavtal på plats. Många SaaS-leverantörer erbjuder standardiserade DPA:er som du kan ladda ner från deras webbplats. Läs mer om avtal generellt i vår avtalsguide.

Samtycke i praktiken

Krav på giltigt samtycke

Samtycke är en av de lagliga grunderna och ställer höga krav. Integritetsskyddsmyndigheten (IMY), som är tillsynsmyndighet i Sverige, har tydliggjort att:

  • Tystnad, förmarkerade rutor eller inaktivitet räknas inte som samtycke.
  • Samtycke ska dokumenteras – du måste kunna bevisa att det gavs.
  • Samtycke ska kunna återkallas lika enkelt som det gavs.
  • Barn under 13 år i Sverige kräver vårdnadshavares samtycke för informationssamhällets tjänster (t.ex. sociala medier, appar).

Enligt lagen om elektronisk kommunikation (LEK) och GDPR måste du inhämta samtycke innan du placerar cookies (utöver de som är strikt nödvändiga) på besökarens enhet. En cookie-banner ska:

  • Aktivt fråga om samtycke (inte bara informera)
  • Erbjuda möjlighet att välja vilka cookies som accepteras
  • Fungera korrekt – inga cookies sätts före samtycke
  • Ge möjlighet att ändra sitt val i efterhand

Dataskyddsombud (DPO)

Vem måste ha ett dataskyddsombud?

Enligt artikel 37 i GDPR måste du utse ett dataskyddsombud (Data Protection Officer, DPO) om:

  • Du är en myndighet eller offentligt organ
  • Din kärnverksamhet innebär regelbunden och systematisk övervakning av registrerade i stor skala
  • Din kärnverksamhet innebär behandling i stor skala av känsliga personuppgifter (hälsodata, genetiska data, etc.)

De flesta småföretag behöver inte utse ett DPO, men det kan ändå vara en god idé att ha en person som ansvarar för dataskyddsfrågor.

DPO:ns uppgifter

Ett dataskyddsombud ska:

  • Informera och ge råd om GDPR-skyldigheter
  • Övervaka efterlevnaden
  • Vara kontaktpunkt mot IMY
  • Vara tillgänglig för de registrerade

DPO:n ska ha en oberoende ställning och får inte instrueras om hur uppdraget ska utföras.

Registrerades rättigheter

GDPR ger individer starka rättigheter som ditt företag måste kunna hantera:

Rätt till tillgång (artikel 15)

En person har rätt att få veta om du behandlar dess personuppgifter och i så fall få en kopia av dem. Du har en månad på dig att svara på en sådan begäran.

Rätt till rättelse (artikel 16)

En person har rätt att få felaktiga uppgifter rättade utan onödigt dröjsmål.

Rätt till radering – "rätten att bli bortglömd" (artikel 17)

En person kan begära att du raderar dess uppgifter, bland annat om:

  • Uppgifterna inte längre behövs för ändamålet
  • Samtycket återkallas
  • Behandlingen är olaglig

Observera att du inte behöver radera uppgifter som du är skyldig att behålla enligt lag, exempelvis bokföringsmaterial enligt bokföringslagen.

Rätt till dataportabilitet (artikel 20)

En person har rätt att få ut sina uppgifter i ett maskinläsbart format och överföra dem till en annan tjänsteleverantör.

Rätt att göra invändningar (artikel 21)

En person kan invända mot behandling som grundar sig på berättigat intresse. Vid direkt marknadsföring har den registrerade alltid rätt att invända.

Praktiska steg för GDPR-compliance

Steg 1: Kartlägg era personuppgiftsbehandlingar

Börja med att göra en registerförteckning (artikel 30 i GDPR). Dokumentera:

  • Vilka personuppgifter ni behandlar
  • Varför (ändamålet)
  • Vilken laglig grund
  • Vem som har tillgång
  • Hur länge ni lagrar dem
  • Vilka tekniska och organisatoriska skyddsåtgärder ni har

Företag med fler än 250 anställda är skyldiga att föra register, men även mindre företag måste göra det om behandlingen inte är tillfällig, eller om den omfattar känsliga uppgifter.

Steg 2: Uppdatera era avtal

Se till att ni har biträdesavtal med alla leverantörer som behandlar personuppgifter för er räkning. Granska även era anställningsavtal och säkerställ att de informerar om hur personalens uppgifter behandlas.

Steg 3: Skriv eller uppdatera integritetspolicyn

Följ checklistan ovan och publicera policyn på er webbplats. Se till att den är lättillgänglig – förslagsvis via en länk i sidfoten.

Steg 4: Implementera rutiner

Skapa rutiner för att hantera:

  • Begäranden från registrerade – Rätt till tillgång, rättelse, radering etc.
  • Personuppgiftsincidenter – Om det sker ett dataintrång eller uppgifter läcker ska du anmäla till IMY inom 72 timmar (artikel 33).
  • Konsekvensbedömningar (DPIA) – Krävs vid behandling som medför hög risk.

Steg 5: Utbilda personalen

GDPR-compliance handlar inte bara om dokument utan om beteende. Utbilda alla medarbetare som hanterar personuppgifter i:

  • Vad personuppgifter är
  • Hur de ska hanteras
  • Vad de ska göra vid en incident
  • Vilka rättigheter de registrerade har

Steg 6: Säkerhet

Artikel 32 kräver att du vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Det inkluderar:

  • Kryptering av känsliga data
  • Åtkomstkontroll (vem har tillgång till vad?)
  • Regelbundna säkerhetskopior
  • Uppdaterade system och programvara
  • Lösenordspolicyer

Sanktioner och tillsyn

Integritetsskyddsmyndigheten (IMY)

IMY är Sveriges tillsynsmyndighet för GDPR. De har befogenhet att:

  • Genomföra granskningar och inspektioner
  • Utfärda reprimander och förelägganden
  • Besluta om administrativa sanktionsavgifter

Sanktionsavgifter

GDPR medger sanktionsavgifter på upp till:

  • 10 miljoner euro eller 2 % av global omsättning (för vissa överträdelser)
  • 20 miljoner euro eller 4 % av global omsättning (för allvarligare överträdelser)

IMY har utfärdat sanktionsavgifter mot flera svenska organisationer, bland annat Klarna, Spotify och Region Stockholm. Även mindre företag kan drabbas.

Skadestånd

Utöver sanktionsavgifter kan registrerade kräva skadestånd av företag som bryter mot GDPR. Enligt artikel 82 har den som lidit skada – materiell eller immateriell – rätt till ersättning.

FAQ – Vanliga frågor om GDPR

Gäller GDPR även för enskilda firmor?

Ja, absolut. GDPR gäller alla organisationer som behandlar personuppgifter, oavsett storlek och bolagsform. En enskild firma som har en kundlista omfattas precis som ett stort aktiebolag.

Hur länge får jag spara personuppgifter?

Du får spara personuppgifter så länge det finns ett ändamål och en laglig grund. Personuppgifter på fakturor måste sparas i 7 år enligt bokföringslagen. Kunduppgifter för marknadsföring bör raderas när kunden inte längre är aktiv eller återkallar sitt samtycke. Det viktigaste är att du har en dokumenterad lagringstidspolicy.

Ja, om du använder cookies som inte är strikt nödvändiga (till exempel analytics-cookies, marknadsföringscookies) måste du inhämta samtycke innan dessa cookies sätts. Strikt nödvändiga cookies, som är nödvändiga för att webbplatsen ska fungera, kräver inte samtycke.

Vad ska jag göra om det sker ett dataintrång?

Du ska anmäla incidenten till IMY inom 72 timmar om den medför en risk för de registrerade. Om risken är hög ska du även informera de berörda personerna. Dokumentera alltid incidenten internt, oavsett om du anmäler till IMY eller inte.

Kan jag använda amerikanska molntjänster som Google och Microsoft?

Ja, men du måste säkerställa att det finns en giltig överföringsmekanism. Sedan juli 2023 finns EU-US Data Privacy Framework (DPF) som ger en grund för överföring till certifierade amerikanska företag. Kontrollera att din leverantör är certifierad under DPF och att du har ett biträdesavtal.

Behöver du hjälp med att göra ditt företag GDPR-compliant? En dataskyddsexpert kan genomföra en GDPR-revision och hjälpa dig att implementera rätt rutiner och dokument. Hitta en rådgivare nära dig och kom igång med ditt dataskyddsarbete idag.

Källor och referenser

MB

Om författaren

Maria Berggren

Affärsjurist

Maria är affärsjurist specialiserad på bolagsrätt, avtal och arbetsrätt. Med bakgrund från en av Sveriges ledande affärsjuridiska byråer hjälper hon idag små och medelstora företag med juridisk rådgivning och avtalshantering.

Läs fler artiklar av Maria
Dela:LinkedInX / Twitter
← Alla Juridik-artiklarHitta rådgivare