Hoppa till innehåll
// Dataskydd

GDPR — dataskyddsförordningen

Förordning (EU) 2016/679 (CELEX 32016R0679) · I kraft sedan 25 maj 2018 i hela EU/EES

GDPR (General Data Protection Regulation) styr hur personuppgifter får samlas in och behandlas i EU/EES. Den gäller alla organisationer som behandlar personuppgifter om personer i EU — oavsett var organisationen finns.

// I korthet

  • Gäller direkt i hela EU/EES sedan 25 maj 2018 (Förordning (EU) 2016/679).
  • Bygger på sju principer i artikel 5 — bl.a. ändamålsbegränsning, uppgiftsminimering och ansvarsskyldighet.
  • All behandling kräver en laglig grund (artikel 6): t.ex. samtycke, avtal, rättslig förpliktelse eller berättigat intresse.
  • Personuppgiftsincidenter ska anmälas till IMY inom 72 timmar (artikel 33).
  • Sanktioner upp till 20 MEUR eller 4 % av global årsomsättning (artikel 83). Tillsyn i Sverige: IMY.

Vem och vad omfattas?

GDPR gäller behandling av personuppgifter — varje uppgift som direkt eller indirekt kan kopplas till en levande person (namn, e-post, IP-adress, kund-id, m.m.). Den gäller både personuppgiftsansvariga (den som bestämmer ändamål och medel) och personuppgiftsbiträden (den som behandlar för någon annans räkning).

Territoriellt (artikel 3) gäller den för verksamheter etablerade i EU, men också för företag utanför EU som erbjuder varor/tjänster till eller övervakar beteende hos personer i EU.

De sju principerna (artikel 5)

  • Laglighet, korrekthet och öppenhet — behandla lagligt och transparent.
  • Ändamålsbegränsning — samla in för specifika, uttryckliga ändamål.
  • Uppgiftsminimering — bara det som behövs.
  • Korrekthet — håll uppgifter riktiga och uppdaterade.
  • Lagringsminimering — spara inte längre än nödvändigt.
  • Integritet och konfidentialitet — skydda mot obehörig åtkomst.
  • Ansvarsskyldighet — kunna visa att ni följer reglerna.

Laglig grund (artikel 6)

Ingen behandling utan laglig grund. De sex grunderna är: samtycke, fullgörande av avtal, rättslig förpliktelse, skydd av vitala intressen, uppgift av allmänt intresse och berättigat intresse. För känsliga uppgifter (artikel 9) krävs dessutom ett särskilt undantag.

Registrerades rättigheter

Individen har rätt till bl.a. information, tillgång (registerutdrag), rättelse, radering ("rätten att bli glömd"), begränsning, dataportabilitet och att invända mot behandling — samt skydd mot enbart automatiserat beslutsfattande (artikel 22).

Skyldigheter i praktiken

Beroende på verksamhet kan ni behöva: register över behandlingar (artikel 30), biträdesavtal (artikel 28), konsekvensbedömning (DPIA) vid hög risk (artikel 35), ett dataskyddsombud (artikel 37) och inbyggt dataskydd (privacy by design, artikel 25). Vid incident: anmäl till IMY inom 72 timmar och informera drabbade vid hög risk.

Så hjälper ZORC

Vi bygger med dataskydd i grunden: laglig grund och samtyckeshantering på plats, EU-baserad drift, kryptering, åtkomstkontroll och tydlig dokumentation. Se hur vi skyddar personuppgifter →

Den här sidan är informativ och faktagranskad mot primärkällan, men utgör inte juridisk rådgivning. För bindande bedömning av just er verksamhet — prata med oss eller ert juridiska ombud.

Vanliga frågor

Vad är GDPR enkelt förklarat?

GDPR är EU:s dataskyddsförordning som bestämmer hur företag och myndigheter får samla in och hantera personuppgifter. Syftet är att skydda individers integritet och ge dem kontroll över sina uppgifter.

Vilka företag omfattas av GDPR?

Alla organisationer som behandlar personuppgifter om personer i EU/EES — oavsett storlek och oavsett var organisationen själv finns. Även enmansföretag och föreningar omfattas.

Vad är straffet för att bryta mot GDPR?

Sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket som är högst. Lägre överträdelser kan ge upp till 10 MEUR eller 2 %.

Måste man rapportera en personuppgiftsincident?

Ja. En personuppgiftsincident ska anmälas till Integritetsskyddsmyndigheten (IMY) utan onödigt dröjsmål och senast inom 72 timmar. Drabbade individer ska informeras om risken är hög.

Vad är skillnaden mellan GDPR och dataskyddslagen?

GDPR är EU-förordningen som gäller direkt. Dataskyddslagen (2018:218) är den svenska kompletterande lagen som fyller i nationella detaljer, t.ex. åldersgränser och undantag.

// Primärkällor

Senast faktagranskad: 2026-06-02.

// Fler lagar

NIS2

EU:s cybersäkerhetsdirektiv — vilka som omfattas, krav och hur det gäller i Sverige.

Cybersäkerhetslagen

Sveriges nya lag som genomför NIS2 — vilka som omfattas, skyldigheter och sanktionsavgifter.

AI Act

EU:s AI-förordning — riskklasser, krav på högrisk-AI, tidslinje och sanktioner.

Behöver ni hjälp att efterleva GDPR?

Vi bygger säkra, regelefterlevda lösningar och hjälper er kartlägga vad som gäller för just er verksamhet.

Planera din idé Kontakta oss