Hur fungerar GDPR? Regler, skyldigheter och vanliga misstag

Publicerad av Lucas Rosvall

den 6 maj 2025

Om du hanterar personuppgifter så måste du förhålla dig till GDPR. Det gäller oavsett om du utvecklar en app, driver en e-handel eller bygger interna system.

Om du är helt ny till dataskyddsförordningen kan det kännas överväldigande, men det behöver det inte vara. I den här artikeln hjälper vi dig att förstå grunderna i GDPR, vad som räknas som personuppgifter, och vilka skyldigheter du har som personuppgiftsansvarig eller personuppgiftsbiträde.

Vad är egentligen GDPR och varför finns det?

GDPR är EU:s gemensamma regelverk för att skydda all information som direkt eller indirekt kan kopplas till en person. Det reglerar hur organisationer får samla in, behandla, lagra och dela personuppgifter inom hela unionen, vilket beskriv i GDPR art. 1.

Personuppgifter är till exempel:

• Namn
• E-postadress
• Telefonnummer
• IP-adress
• Köphistorik

Det spelar ingen roll om uppgifterna finns i ett formulär, ett CRM-system eller en molntjänst. Så fort du behandlar personuppgifter omfattas du av GDPR.

Vad är då syftet? Syftet med GDPR är:

• Stärka individens kontroll: Du ska ha makten över dina egna personuppgifter.
• Öka transparensen: Företag måste vara tydliga med hur de hanterar personuppgifter.
• Skapa enhetliga regler inom EU: Detta underlättar för företag som verkar i flera EU-länder och skapar en likvärdig skyddsnivå för alla.

Vilka krav ställer GDPR på dig som bygger en produkt?

Nu när vi har bättre koll på vad GDPR är och varför den finns, är det dags att titta på vad lagen faktiskt kräver av dig som bygger digitala lösningar.

Om din produkt hanterar personuppgifter, vilket i princip alla appar, system och webbplatser gör, så måste du följa ett antal grundläggande principer inom GDPR:

• Laglig grund och transparens: Du måste ha en tydlig och laglig grund för att samla in och använda personuppgifter, till exempel samtycke, avtal eller berättigat intresse. Du ska också vara öppen med hur och varför uppgifterna behandlas. Detta görs vanligtvis via en integritetspolicy.
• Ändamålsbegränsning: Uppgifterna får bara användas för det syfte du angett från början. Du får inte återanvända informationen för andra ändamål som inte är förenliga. För att ge ett exempel, om du samlar in e-postadresser för att skicka en orderbekräftelse, då får du inte senare börja skicka marknadsföring till samma adress utan att ha fått separat samtycke.
• Dataminimering: Samla bara in det du faktiskt behöver. Om personnummer, födelsedatum eller adress inte är nödvändigt, samla inte in det. Varför då? Jo, för desto fler uppgifter du samlar in, desto större ansvar har du och desto högre blir risken vid en eventuell dataläcka.
• Korrekthet: Du ansvarar för att personuppgifterna är korrekta och uppdaterade. Felaktig information ska rättas så snart den upptäcks.
• Lagringsminimering: Spara inte personuppgifter längre än nödvändigt. När syftet upphör ska uppgifterna raderas eller anonymiseras.
• Skydd och säkerhet: Du måste skydda personuppgifterna mot obehörig åtkomst, läckor eller förlust. Det brukar normalt sätt innebära kryptering, rollbaserad åtkomst och säker backup.
• Ansvar och dokumentation: Du är ansvarig för att följa GDPR, och måste kunna visa att du gör det. Det innebär dokumenterade rutiner, interna riktlinjer och tekniska lösningar som stödjer efterlevnaden.

Utöver dessa principer har individer också ett antal rättigheter som du måste respektera, till exempel rätten till tillgång till sina uppgifter, rätten till rättelse, rätten till radering ("rätten att bli glömd"), rätten till begränsning av behandling och rätten till dataportabilitet.

Hur ska man arbeta med GDPR?

Det bästa sättet att arbeta med GDPR är att bygga in dataskydd direkt i systemet från start, inte lägga till det i efterhand. Detta kallas Privacy by Design och beskrivs i GDPR art. 25. Det innebär att du planerar för säker hantering av personuppgifter i varje steg av produktutvecklingen.

Du gör detta genom att arbeta proaktivt och integrera GDPR i både teknik och rutiner. Här är några konkreta sätt att komma igång:

1. Bygg ett register över dina behandlingar av personuppgifter. Detta kallas ibland för behandlingsregister eller registerförteckning och det ska innehålla uppgifter om vilka data du samlar in, varför du gör det, hur länge du sparar dem, vem som har tillgång, och vilken rättslig grund du stödjer dig på.
2. Skapa tydliga rutiner för samtycke. Använder du samtycke som laglig grund behöver du ha ett system för att dokumentera och hantera dessa. Det kan vara inbyggt i din produkt eller hanteras via en extern samtyckesplattform.
3. Genomför konsekvensbedömningar (DPIA – Data Protection Impact Assessment) för funktioner som innebär hög risk för individens integritet. Det kan till exempel handla om när du utför automatiserade beslut, övervakar användarbeteende eller behandlar känslig data som hälsodata om individen.
4. Implementera åtkomstloggar och behörighetsstyrning när du behandlar känsliga eller särskilt skyddsvärda personuppgifter. För enklare lösningar med begränsad behandling räcker enklare åtkomstkontroller, men grundprincipen är: endast behöriga ska ha tillgång, och du ska ha spårbarhet.
5. Automatisera rättighetsförfrågningar. Detta innefattar rätten att bli raderad eller få ett utdrag av sina uppgifter. Det sparar tid och minskar fel.
6. Håll information uppdaterad. Många börjar med ett Excel-dokument för att hålla koll på personuppgiftsbehandling, men tänk på det snabbt blir svårt att underhålla när organisationen växer. Ett GDPR-system eller verktyg för dataskyddsarbete kan göra det betydligt enklare att sköta exempelvis register, rapportering och dokumentation löpande.

Att arbeta med GDPR behöver inte vara svårt, men det kräver struktur. Genom att ha kontroll på dina dataprocesser från början slipper du stress, minskar risken för misstag och bygger ett starkare förtroende hos både användare och tillsynsmyndigheter.