GDPR för svenska företag 2026 - praktisk guide
Allt du behöver veta om GDPR: 8 rättigheter, tekniska krav, DPO, NIS2-jämförelse och en komplett checklista för efterlevnad.
Grunderna
Vad kräver GDPR?
GDPR (General Data Protection Regulation) trädde i kraft 25 maj 2018 och är EU:s förordning för skydd av personuppgifter. Den gäller alla organisationer som behandlar personuppgifter tillhörande EU-medborgare - oavsett var organisationen finns.
350M+ SEK
Böter sedan 2018 (Sverige)
~40%
Av företag saknar full efterlevnad
72 timmar
Rapporteringstid vid incident
Rättigheter
8 rättigheter för registrerade
Rätt till information
Art. 13-14Individer ska informeras om hur deras personuppgifter behandlas. Krav på integritetspolicy, cookiebanner och informationstext vid insamling.
Rätt till åtkomst
Art. 15Individer har rätt att begära en kopia av alla personuppgifter ni behandlar om dem. Ska besvaras inom 30 dagar.
Rätt till rättelse
Art. 16Individer kan begära att felaktiga personuppgifter rättas. Ni måste rätta utan onödig fördröjning.
Rätt till radering
Art. 17"Rätten att bli glömd." Individer kan begära att deras data raderas om det inte finns laglig grund att behålla den.
Rätt till begränsning
Art. 18Individer kan begära att behandlingen begränsas, t.ex. under tid då en invändning utreds.
Rätt till dataflytt
Art. 20Individer har rätt att få sina uppgifter i maskinläsbart format och överföra dem till annan leverantör.
Rätt att göra invändning
Art. 21Individer kan invända mot behandling baserad på berättigade intressen eller direktmarknadsföring.
Rätt att inte bli profilerad
Art. 22Individer har rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling inklusive profilering.
Teknik
Tekniska åtgärder
Kryptering
AES-256 för data at rest, TLS 1.3 för data in transit. Kryptering är inte valfritt - det är ett grundkrav.
Åtkomststyrning
Principle of least privilege. RBAC med regelbundna granskningar. MFA för alla som hanterar personuppgifter.
Loggning och övervakning
Logga alla åtkomster till personuppgifter. Bevara loggar i minst 6 månader. Automatiserade larm vid anomalier.
Pseudonymisering
Separera identifierande data från övrig data. Använd pseudonymer i analysdata och testmiljöer.
Backup och återställning
Regelbundna backups med testade återställningsprocedurer. RPO och RTO definierade för personuppgifter.
Sårbarhetshantering
Regelbunden scanning, patching och penetrationstestning. Dokumenterad process för sårbarhetshantering.
Data minimering
Samla bara in data ni faktiskt behöver. Implementera automatisk radering när lagringstiden går ut.
Incidenthantering
Dokumenterad incidentprocess. Rapportering till IMY inom 72 timmar vid personuppgiftsincident.
Jämförelse
GDPR vs NIS2
| Dimension | GDPR | NIS2 |
|---|---|---|
| Fokus | Personuppgifter | Nätverks- och informationssäkerhet |
| Vem berörs | Alla som behandlar personuppgifter | Väsentliga och viktiga entiteter (>50 anställda eller >10M EUR omsättning) |
| Sanktioner | Upp till 4% av global omsättning | Upp till 10M EUR eller 2% av global omsättning |
| Tillsynsmyndighet | IMY (Integritetsskyddsmyndigheten) | MSB (Myndigheten för samhällsskydd och beredskap) |
| Incidentrapportering | 72 timmar | 24 timmar (första varning) |
| Ledningsansvar | DPO rekommenderat/obligatoriskt | Ledningen personligt ansvarig |
Checklista
GDPR-checklista
- Registerförteckning (Art. 30) - dokumenterat alla behandlingar
- Integritetspolicy publicerad och uppdaterad
- Cookiebanner med aktivt samtycke (inte bara information)
- DPA (Data Processing Agreement) med alla leverantörer
- Process för att hantera registrerade personers rättigheter
- Incidenthanteringsplan med 72-timmarsprocedur
- Konsekvensbedömning (DPIA) för högriskbehandlingar
- Kryptering implementerad (at rest + in transit)
- Åtkomststyrning med MFA och RBAC
- Personalutbildning i GDPR genomförd årligen
- Dataskyddsombud (DPO) utsedd om krav finns
- Rutin för datatransfers utanför EU/EES
FAQ
Vanliga frågor
Behöver ni hjälp med GDPR-compliance?
Vi hjälper med GDPR-analys, tekniska åtgärder och löpande rådgivning.
Boka ett samtal