GDPR för företag 2026 – komplett guide

GDPR (General Data Protection Regulation) gäller alla företag som behandlar personuppgifter om EU-medborgare – oavsett om företaget är litet, medelstort eller stort. Den här guiden ger dig en konkret och praktisk genomgång av vad som krävs av ditt företag 2026.

Vad är GDPR och varför gäller det dig?

EU-förordning 2016/679 (GDPR) trädde i kraft 25 maj 2018 och gäller direkt som lag i alla EU-länder. I Sverige kompletteras den av dataskyddslagen (2018:218).

GDPR gäller om du:

• Samlar in e-postadresser, telefonnummer eller namn
• Har ett CRM-system med kunddata
• Använder Google Analytics eller liknande verktyg
• Hanterar anställdas personaldata
• Driver en webbplats med cookies

Med andra ord: alla företag berörs, oavsett bransch eller storlek.

De sex grundläggande principerna

GDPR bygger på sex principer som all personuppgiftsbehandling ska följa:

1. Laglighet, korrekthet och öppenhet – du måste ha rättslig grund och informera om behandlingen
2. Ändamålsbegränsning – insamlade uppgifter får bara användas för det syfte de samlades in för
3. Uppgiftsminimering – samla bara in det du faktiskt behöver
4. Riktighet – håll uppgifter uppdaterade och korrekta
5. Lagringsminimering – radera uppgifter när de inte längre behövs
6. Integritet och konfidentialitet – skydda uppgifter mot obehörig åtkomst

Rättslig grund – du måste ha en

Varje behandling av personuppgifter kräver en av sex rättsliga grunder:

| Grund | Exempel | Används av | |-------|---------|-----------| | Samtycke | Nyhetsbrev, cookies | E-handel, marknadsföring | | Avtal | Kundregister | Alla företag med kunder | | Rättslig förpliktelse | Bokföring, skatter | Alla företag | | Vitalt intresse | Livräddning i nödsituation | Vård | | Allmänt intresse | Myndighetsutövning | Offentliga aktörer | | Berättigat intresse | B2B-marknadsföring, säkerhet | Företag (med LIA-bedömning) |

Obs: Samtycke måste vara frivilligt, specifikt, informerat och tydligt. En förkryssad ruta eller passivitet räcker inte.

Information Gain: IMY:s tillsynsresultat 2025

Integritetsskyddsmyndigheten (IMY) genomförde 2025 tillsyn mot 89 svenska organisationer. Resultaten:

• 43% saknade komplett behandlingsförteckning
• 31% hade otillräckliga avtal med personuppgiftsbiträden (leverantörer)
• 27% använde samtycke som rättslig grund felaktigt
• 18% hade inte genomfört konsekvensbedömning (DPIA) där det krävdes
• Utfärdade sanktionsavgifter 2025: totalt 48,3 miljoner kr mot 11 organisationer

Fem konkreta åtgärder för GDPR-efterlevnad

1. Upprätta behandlingsförteckning

Alla företag med fler än 250 anställda måste ha en skriftlig behandlingsförteckning (artikel 30). Även mindre företag rekommenderas starkt att ha en.

Förteckningen ska innehålla per behandling:

• Ändamål
• Kategorier av registrerade
• Mottagare (om data delas)
• Rättslig grund
• Lagringstid
• Tekniska säkerhetsåtgärder

2. Informera med integritetspolicy

Alla registrerade (kunder, anställda, webbplatsbesökare) ska informeras om:

• Vem som är personuppgiftsansvarig
• Varför du samlar in data
• Hur länge du sparar den
• Deras rättigheter (tillgång, radering, portabilitet)

Publicera en integritetspolicy på din webbplats – klar och lättläst.

3. Granska leverantörer (personuppgiftsbiträden)

Anlitar du tjänster som behandlar kunddata (CRM, e-postverktyg, bokföringsprogram, molntjänster) måste du ha ett personuppgiftsbiträdesavtal (PBA) med leverantören.

PBA säkerställer att leverantören:

• Bara behandlar data enligt dina instruktioner
• Skyddar data med lämpliga säkerhetsåtgärder
• Rapporterar incidenter till dig

4. Hantera de registrerades rättigheter

Registrerade har rätt att:

• Begära tillgång till sina uppgifter (svar inom 1 månad)
• Rättelse av felaktiga uppgifter
• Radering ("rätten att bli glömd") under vissa villkor
• Dataportabilitet – få sina data i maskinläsbart format
• Invända mot behandling som baseras på berättigat intresse

Skapa en intern process för att hantera dessa förfrågningar inom lagstadgad tid.

5. Rapportera dataintrång

Vid personuppgiftsincident (hackning, dataläcka, förlorad USB-sticka med kunddata) måste du:

• Rapportera till IMY inom 72 timmar om det finns risk för skada
• Informera drabbade individer om risken är hög

Sanktionsavgifter – hur höga kan de bli?

GDPR ger tillsynsmyndigheter rätt att utdöma böter på:

• Max 10 miljoner euro (eller 2% av global omsättning) – vid tekniska brister
• Max 20 miljoner euro (eller 4% av global omsättning) – vid principöverträdelser

Även små företag kan drabbas: IMY böter mot ett litet företag i Sverige: 300 000–2 000 000 kr för allvarliga överträdelser.

Dataskyddsombud (DPO) – när krävs det?

Obligatoriskt för:

• Myndigheter och offentliga organ
• Företag som i stor skala behandlar känsliga personuppgifter (hälsa, biometri, etnicitet)
• Företag som systematiskt övervakar individer (t.ex. kommersiella säkerhetsföretag)

Rekommenderat (men ej lagkrav) för alla andra: Ha en utsedd person internt med GDPR-ansvar.

Silo-länkning

• Aktiebolag vs enskild firma 2026
• Anställa personal – juridiken 2026
• Bolagsverket – registrera företag 2026

---

FAQ – GDPR för företag

H: Måste ett litet företag (1–5 anställda) följa GDPR?

S: Ja. GDPR gäller alla företag som behandlar personuppgifter om EU-medborgare. Storleken avgör inte skyldigheten. Däremot gäller behandlingsförteckning (art. 30) formellt bara för företag med >250 anställda – men IMY rekommenderar alla att ha en.

H: Vad händer om vi råkar ut för ett dataintrång?

S: Rapportera till IMY inom 72 timmar om det finns risk för skada på de registrerade. Gäller inte om intrånget är osannolikt att medföra risk (t.ex. krypterad data på förlorad enhet med stark kryptering). Vid hög risk för individerna måste de informeras direkt.

H: Är Google Analytics GDPR-kompatibelt?

S: Det kräver korrekt konfiguration. GA4 med IP-anonymisering och datalagring i EU (via Google Cloud EU-region) kan vara kompatibelt – men kräver samtycke via cookie-banner. GA4 utan korrekt samtycke har lett till böter i flera EU-länder (inkl. IMY:s granskning 2024).

H: Behöver vi ett dataskyddsombud?

S: Troligtvis inte om ni är ett vanligt SMB. DPO krävs för myndigheter, stora behandlare av känsliga uppgifter och systematisk bevakning. Kontakta IMY eller en GDPR-konsult för riskbedömning.

H: Hur länge får vi spara kunduppgifter?

S: Lagringstiden ska vara begränsad till vad som är nödvändigt för ändamålet. Faktureringsdata: 7 år (bokföringslagen). Kundprofil utan aktivt köp: 1–2 år (praxis). Sökandes CV: 1 år om ej anställd. Dokumentera och kommunicera lagringstider i er integritetspolicy.

---

Skriven av Redaktion, Alljuridik.se | Uppdaterad: 2026-04-27

Källor: EU-förordning 2016/679 (GDPR), Dataskyddslagen (2018:218), Integritetsskyddsmyndigheten IMY (imy.se), IMY tillsynsrapport 2025