Hur fungerar GDPR? Regler, skyldigheter och vanliga misstag

Hur fungerar GDPR? Regler, skyldigheter och vanliga misstag

Lucas Rosvall

Lucas Rosvall

·

GDPR i praktiken innebär att ni alltid ska ha laglig grund för all datahantering och endast samla in det som är absolut nödvändigt (dataminimering). Det kräver inbyggt dataskydd (Privacy by Design) i era system och dokumenterade rutiner för att hantera de registrerades rättigheter, som rätten att bli glömd.

Här går vi igenom de viktigaste principerna, vad som räknas som personuppgifter och hur du bygger in regelefterlevnad i din produkt från start.

Vad är egentligen GDPR och varför finns det?

GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som trädde i kraft den 25 maj 2018. Den ersatte det tidigare dataskyddsdirektivet från 1995 och den svenska personuppgiftslagen (PUL).

Förordningen reglerar hur organisationer får samla in, behandla, lagra och dela personuppgifter – alltså all information som direkt eller indirekt kan kopplas till en levande fysisk person.

Vad räknas som personuppgifter?

Personuppgifter är bredare än många tror. Det omfattar självklara saker som namn, personnummer, e-postadress och telefonnummer, men också mindre uppenbara uppgifter som IP-adresser, cookies, användar-ID, köphistorik och inloggningsloggar. Även foton där personer är identifierbara räknas som personuppgifter.

Vissa uppgifter klassas som känsliga personuppgifter och kräver extra skydd. Det gäller hälsodata och medicinska uppgifter, uppgifter om etniskt ursprung, religiös övertygelse, politiska åsikter, fackföreningsmedlemskap, biometriska data (som fingeravtryck eller ansiktsigenkänning) samt uppgifter om sexuell läggning.

Det spelar ingen roll om uppgifterna finns i ett formulär, ett CRM-system, en molntjänst eller i en Excel-fil. Så fort du behandlar personuppgifter omfattas du av GDPR.

Varför skapades GDPR?

Innan GDPR hade varje EU-land sina egna dataskyddsregler. Ett företag som verkade i flera länder behövde följa olika regler i varje land, vilket var både dyrt och komplicerat. Samtidigt hade sociala medier, molntjänster och big data skapat nya risker som de gamla reglerna från 1995 inte täckte.

GDPR skapades därför för att stärka individens kontroll (rätt att veta vad som samlas in, rätt till radering och dataportabilitet), öka transparensen (företag måste vara tydliga med hur de hanterar personuppgifter) och skapa enhetliga regler inom hela EU.

Vilka krav ställer GDPR på dig som bygger en produkt?

Nu när vi har bättre koll på vad GDPR är och varför den finns, är det dags att titta på vad lagen faktiskt kräver av dig som bygger digitala lösningar.

Om din produkt hanterar personuppgifter, vilket i princip alla appar, system och webbplatser gör, så måste du följa ett antal grundläggande principer inom GDPR:

  • Laglig grund och transparens: Du måste ha en tydlig och laglig grund för att samla in och använda personuppgifter, till exempel samtycke, avtal eller berättigat intresse. Du ska också vara öppen med hur och varför uppgifterna behandlas. Detta görs vanligtvis via en integritetspolicy.
  • Ändamålsbegränsning: Uppgifterna får bara användas för det syfte du angett från början. Du får inte återanvända informationen för andra ändamål som inte är förenliga. För att ge ett exempel, om du samlar in e-postadresser för att skicka en orderbekräftelse, då får du inte senare börja skicka marknadsföring till samma adress utan att ha fått separat samtycke.
  • Dataminimering: Samla bara in det du faktiskt behöver. Om personnummer, födelsedatum eller adress inte är nödvändigt, samla inte in det. Varför då? Jo, för desto fler uppgifter du samlar in, desto större ansvar har du och desto högre blir risken vid en eventuell dataläcka.
  • Korrekthet: Du ansvarar för att personuppgifterna är korrekta och uppdaterade. Felaktig information ska rättas så snart den upptäcks.
  • Lagringsminimering: Spara inte personuppgifter längre än nödvändigt. När syftet upphör ska uppgifterna raderas eller anonymiseras.
  • Skydd och säkerhet: Du måste skydda personuppgifterna mot obehörig åtkomst, läckor eller förlust. Det brukar normalt sätt innebära kryptering, rollbaserad åtkomst och säker backup.
  • Ansvar och dokumentation: Du är ansvarig för att följa GDPR, och måste kunna visa att du gör det. Det innebär dokumenterade rutiner, interna riktlinjer och tekniska lösningar som stödjer efterlevnaden.

Utöver dessa principer har individer också ett antal rättigheter som du måste respektera, till exempel rätten till tillgång till sina uppgifter, rätten till rättelse, rätten till radering ("rätten att bli glömd"), rätten till begränsning av behandling och rätten till dataportabilitet.

Vanliga misstag företag gör med GDPR

Många företag tror att de följer GDPR, men gör ändå kritiska misstag som kan leda till böter och förtroendeskador. Här är de vanligaste felen:

Missuppfattning om dataskyddsombud (DPO)
Många tror att alla företag måste ha ett dataskyddsombud. Kravet gäller endast myndigheter och företag vars kärnverksamhet innebär storskalig övervakning eller behandling av känsliga personuppgifter. Men om du frivilligt utser ett ombud gäller samma krav som om det varit obligatoriskt.

Felaktig delegering av ansvar
Att anlita ett personuppgiftsbiträde (till exempel en molntjänst eller CRM-leverantör) fritar inte ditt företag från ansvar. Du är fortfarande personuppgiftsansvarig och måste ha personuppgiftsbiträdesavtal på plats samt kontrollera att leverantören faktiskt följer GDPR.

Bristande processer för registerutdrag
Många företag har ingen fungerande rutin för att hantera förfrågningar om registerutdrag. När en person begär sina uppgifter måste du kunna leverera dem inom en månad – utan detta riskerar du både klagomål och sanktioner.

Antagandet att samtycke alltid krävs
Samtycke är bara en av sex lagliga grunder. Ofta är "fullgörande av avtal" eller "berättigat intresse" mer lämpliga grunder. Att samla in samtycke när det inte behövs skapar onödig administration och förvirring.

Saknade personuppgiftsbiträdesavtal
Om du använder externa leverantörer som hanterar personuppgifter (e-posttjänster, CRM, bokningssystem) måste du ha skriftliga personuppgiftsbiträdesavtal. Många företag missar detta helt, vilket är en direkt överträdelse av GDPR art. 28.

Otillräcklig incidenthantering
Du måste kunna upptäcka och rapportera personuppgiftsincidenter till tillsynsmyndigheten inom 72 timmar om incidenten innebär en risk för individers rättigheter. Många företag saknar rutiner för effektiv incidenthantering.

Sanktioner och böter vid GDPR-brott

Böterna för GDPR-överträdelser kan uppgå till maximalt 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst. För svenska myndigheter är maxbeloppet 20 miljoner kronor.

Integritetsskyddsmyndigheten (IMY) utfärdar regelbundet sanktionsavgifter. Några exempel: Apoteket fick 37 miljoner kronor (2024) för att ha överfört känsliga personuppgifter till Meta, Google 50 miljoner kronor (2020) för brister i "rätten att bli bortglömd", och H&M 35 miljoner kronor för att ha samlat in information om anställdas privatliv utan laglig grund.

Även mindre företag drabbas – ett gymföretag fick 200 000 kronor för kameraövervakning i omklädningsrum och en vårdcentral 120 000 kronor för bristande åtkomstkontroller.

Böterna beräknas utifrån överträdelsens allvar, antalet drabbade personer, om det skett med uppsåt eller oaktsamhet, samt företagets omsättning.

Läs mer om aktuella sanktioner på IMY:s webbplats.

Hur ska man arbeta med GDPR?

Det bästa sättet att arbeta med GDPR är att bygga in dataskydd direkt i systemet från start, inte lägga till det i efterhand. Detta kallas Privacy by Design och beskrivs i GDPR art. 25. Det innebär att du planerar för säker hantering av personuppgifter i varje steg av produktutvecklingen.

Du gör detta genom att arbeta proaktivt och integrera GDPR i både teknik och rutiner. Här är några konkreta sätt att komma igång:

  1. Bygg ett register över dina behandlingar av personuppgifter. Detta kallas ibland för behandlingsregister eller registerförteckning och det ska innehålla uppgifter om vilka data du samlar in, varför du gör det, hur länge du sparar dem, vem som har tillgång, och vilken rättslig grund du stödjer dig på.
  2. Skapa tydliga rutiner för samtycke. Använder du samtycke som laglig grund behöver du ha ett system för att dokumentera och hantera dessa. Det kan vara inbyggt i din produkt eller hanteras via en extern samtyckesplattform.
  3. Genomför konsekvensbedömningar (DPIA - Data Protection Impact Assessment) för funktioner som innebär hög risk för individens integritet. Det kan till exempel handla om när du utför automatiserade beslut, övervakar användarbeteende eller behandlar känslig data som hälsodata om individen.
  4. Implementera åtkomstloggar och behörighetsstyrning när du behandlar känsliga eller särskilt skyddsvärda personuppgifter. För enklare lösningar med begränsad behandling räcker enklare åtkomstkontroller, men grundprincipen är: endast behöriga ska ha tillgång, och du ska ha spårbarhet.
  5. Automatisera rättighetsförfrågningar. Detta innefattar rätten att bli raderad eller få ett utdrag av sina uppgifter. Det sparar tid och minskar fel.
  6. Håll information uppdaterad. Många börjar med ett Excel-dokument för att hålla koll på personuppgiftsbehandling, men tänk på det snabbt blir svårt att underhålla när organisationen växer. Ett GDPR-system eller verktyg för dataskyddsarbete kan göra det betydligt enklare att sköta exempelvis register, rapportering och dokumentation löpande.

Att arbeta med GDPR behöver inte vara svårt, men det kräver struktur. Genom att ha kontroll på dina dataprocesser från början slipper du stress, minskar risken för misstag och bygger ett starkare förtroende hos både användare och tillsynsmyndigheter.

Förenkla er compliance med smartare regelefterlevnad.

Uppfyll NIS2, ISO 27001, GDPR och andra krav med ChainSec. Smarta verktyg för riskbedömning, leverantörsövervakning och dokumentation – allt i en plattform.

App screenshot