GDPR och din säkerhet — Så skyddar lagen dina uppgifter 2026

1. Vad är GDPR och varför berör det dig?

GDPR — den allmänna dataskyddsförordningen — trädde i kraft den 25 maj 2018 och gäller i hela EU och EES. Det är den mest omfattande dataskyddslagen i världen och den har fundamentalt förändrat hur företag och organisationer hanterar personuppgifter. För dig som privatperson innebär det att du har långtgående rättigheter över din egen data — oavsett om det rör sig om ett svenskt telekombolag, en amerikansk e-handelsjätte eller en lokal förening.

GDPR gäller för alla organisationer som behandlar personuppgifter om EU-medborgare, oavsett var organisationen är registrerad. Det innebär att Facebook, Google och Amazon måste följa GDPR precis som ett lokalt Swedish startup. En personuppgift är all information som kan kopplas till en identifierbar person: namn, e-postadress, IP-adress, platsdata, cookies — ja, även en kombination av uppgifter som tillsammans kan identifiera dig.

I Sverige är det Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet och ansvarar för att GDPR efterlevs. IMY kan utdöma böter på upp till 20 miljoner euro eller 4 procent av ett företags globala omsättning — det högre beloppet gäller. Under 2024 utfärdade IMY böter mot flera svenska företag, inklusive ett teknikbolag som hanterade anställdas data på ett otillåtet sätt. Trenden är tydlig: tillsynen skärps.

Som privatperson är det viktigt att förstå dina rättigheter under GDPR inte bara för att skydda din integritet, utan för att aktivt använda dem. En begäran om registerutdrag kan avslöja vilken data företag har om dig — information som kan vara värdefull om du misstänker att dina uppgifter har missbrukats.

2. Dina rättigheter enligt GDPR

GDPR ger dig ett antal specifika rättigheter som du aktivt kan utöva gentemot alla organisationer som behandlar dina personuppgifter. Det är viktigt att känna till dessa rättigheter och veta hur du kan använda dem.

• Rätt till tillgång (registerutdrag) — Du kan begära att få veta vilka personuppgifter ett företag har om dig, varför de behandlas och hur länge de sparas. Företaget måste svara inom en månad.
• Rätt till rättelse — Om uppgifterna är felaktiga eller ofullständiga har du rätt att kräva att de korrigeras utan onödigt dröjsmål.
• Rätt till radering (rätten att bli glömd) — I många fall kan du kräva att dina uppgifter raderas, till exempel om de inte längre är nödvändiga för det ändamål de samlades in för, eller om du återkallar ditt samtycke.
• Rätt till dataportabilitet — Du kan begära att få dina uppgifter i ett maskinläsbart format för att kunna flytta dem till en annan tjänsteleverantör.
• Rätt att invända — Du kan invända mot att dina uppgifter behandlas för direktmarknadsföring. Invändningen måste alltid respekteras.
• Skydd mot automatiserade beslut — Du har rätt att inte bli föremål för helt automatiserade beslut som har rättsliga eller liknande effekter utan möjlighet till mänsklig granskning.

3. Hur begär du ut dina personuppgifter?

Att begära ett registerutdrag är enklare än många tror. Processen är i princip densamma oavsett vilket företag eller organisation det handlar om. Börja med att identifiera vem som är personuppgiftsansvarig — det kan du oftast hitta i företagets integritetspolicy eller på deras webbplats.

Skicka en skriftlig begäran, helst via e-post för att ha dokumentation. Du behöver inte ange skäl för din begäran. Beskriv vilka uppgifter du vill ha tillgång till och ange att du åberopar din rätt till tillgång enligt artikel 15 i GDPR. Exempelformulering:

"Jag begär härmed ett registerutdrag enligt artikel 15 i GDPR (EU) 2016/679. Vänligen bekräfta vilka personuppgifter ni behandlar om mig, ändamålet med behandlingen, hur länge uppgifterna sparas och om de delas med tredje part."

Företaget är skyldigt att svara inom en månad. Om begäran är komplex kan de begära en förlängning med ytterligare två månader, men de måste meddela dig detta inom den första månaden. Svaret ska normalt vara kostnadsfritt — undantag gäller bara vid uppenbart orimliga eller repetitiva begäranden.

Vad får du? Du bör få en kopia av alla uppgifter som behandlas om dig: namn, adress, e-post, köphistorik, beteendedata, profilering och eventuella tredjeparter som uppgifterna delas med. Det kan vara överraskande att se hur mycket data ett enda företag faktiskt har samlat in.

4. Rätten att bli glömd — hur fungerar det?

Rätten till radering, populärt kallad rätten att bli glömd, är en av de starkaste rättigheterna i GDPR. Den regleras i artikel 17 och ger dig rätt att kräva att ett företag raderar alla personuppgifter de har om dig under vissa förutsättningar.

Rätten till radering gäller bland annat när: uppgifterna inte längre är nödvändiga för det ändamål de samlades in för, du återkallar det samtycke som behandlingen baserades på, du invänder mot behandlingen och det inte finns övervägande skäl för att fortsätta, eller uppgifterna har behandlats på ett olagligt sätt.

Det finns dock undantag. Rätten till radering gäller inte om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (till exempel bokföringslagen kräver att kvitton sparas i sju år), för vetenskaplig eller historisk forskning av allmänt intresse, eller för att fastställa eller försvara rättsliga anspråk.

En praktisk utmaning: vad händer med dina uppgifter i säkerhetskopior? Tekniskt sett gäller raderingskravet också för backupsystem, men många företag argumenterar att det är tekniskt omöjligt att radera enskilda poster ur krypterade backuper. IMY har i vägledning angett att företag åtminstone måste säkerställa att raderade uppgifter inte återställs vid en eventuell återställning av backup.

Vill du ta bort dig från Googles sökresultat? Det är en separat process. Du kan skicka en begäran till Google via deras specifika formulär för borttagning av sökresultat. Google väger din integritetsrätt mot allmänintresset av informationen. Att begära borttagning av personlig information som personnummer, bankkontonummer eller intima bilder brukar beviljas snabbt.

5. Vad händer vid dataintrång?

Dataintrång är tyvärr vanliga. I Sverige drabbas hundratals organisationer varje år, och globalt rör det sig om tusentals incidenter. GDPR ställer tydliga krav på hur organisationer ska hantera och kommunicera dataintrång.

Organisationer är skyldiga att anmäla dataintrång till IMY inom 72 timmar från det att de fick kännedom om intrånget — om intrånget riskerar att påverka personers rättigheter och friheter negativt. Om intrånget innebär hög risk för de drabbade individerna måste organisationen också direkt meddela de berörda personerna.

Om du meddelas om ett dataintrång: agera omedelbart. Byt lösenordet för det berörda kontot och alla konton där du använt samma lösenord. Aktivera tvåfaktorsautentisering om du inte redan gjort det. Övervaka dina konton och kreditupplysningar noggrant under de följande månaderna. Bedragare kan vänta veckor eller månader innan de agerar på stulen data.

Kontrollera om dina uppgifter finns i kända dataintrång via tjänster som HaveIBeenPwned (haveibeenpwned.com). Många ID-skyddstjänster inkluderar automatisk dark web-övervakning som alertar dig om dina uppgifter dyker upp i hackade databaser.

6. Anmäla GDPR-överträdelser till IMY

Om du anser att ett företag eller organisation behandlar dina personuppgifter i strid med GDPR kan du lämna in ett klagomål till IMY. Det kostar ingenting och du behöver inte anlita en jurist. IMY:s tillsyn är vad som ger GDPR sina tänder.

Så här går du tillväga: gå till imy.se och använd deras formulär för klagomål. Du behöver uppge: vilken organisation det gäller, vilken typ av behandling du anser är problematisk, tidpunkten för när du fick kännedom om det och vad du försökt göra för att lösa det direkt med organisationen. IMY rekommenderar att du försöker ta upp ärendet med organisationen direkt innan du anmäler.

IMY granskar klagomålet och inleder tillsyn om de bedömer att det finns grund. Typiska utfall inkluderar: föreläggande att ändra behandlingen, krav på att radera uppgifter, eller — i allvarliga fall — administrativ sanktionsavgift (böter). Under 2023 och 2024 utfärdade IMY sanktionsavgifter mot bland annat ett kommunalt bolag för felaktig hantering av anställdas personuppgifter och ett marknadsföringsföretag för otillåten profilering.

Observera att IMY inte kan döma ut skadestånd till dig personligen — det sker i så fall via domstol. Men IMY-anmälningar är viktiga för att sätta press på organisationer och skydda andra i liknande situation.

7. GDPR räcker inte ensam — komplettera med ID-skydd

GDPR är ett viktigt verktyg men det är ett reaktivt skydd. Det hjälper dig att begränsa hur dina uppgifter behandlas och ge dig rätt till information och radering. Men det skyddar dig inte mot alla former av identitetsstöld, och det förhindrar inte att dina uppgifter stjäls i ett dataintrång.

Identitetsstöld kan ske utan att något enskilt GDPR-brott begåtts. Bedragare kan kombinera uppgifter från flera olika källor — sociala medier, läckta databaser, offentliga register — för att bygga upp en tillräckligt komplett bild av dig för att ta lån i ditt namn eller öppna konton. GDPR reglerar hur företag hanterar data, men kan inte stoppa kriminella från att missbruka redan läckt information.

Proaktivt ID-skydd fyller det gapet. ID-skyddstjänster från leverantörer som UC Allting, Creditsafe och Tryggsam erbjuder kontinuerlig övervakning av din kreditprofil, larm vid kreditförfrågningar och hjälp vid identitetsstöld. Tjänsterna varnar dig i realtid om någon försöker ta lån eller öppna konton i ditt namn — långt innan skadan blivit stor.

En kreditspärr är det starkaste förebyggande verktyget. Genom att lägga en spärr hos UC, Bisnode och Creditsafe blockerar du alla kreditförfrågningar — det innebär att ingen kan ta lån i ditt namn, inte ens du själv utan att tillfälligt häva spärren. Det är gratis att lägga spärr direkt hos kreditupplysningsföretagen.