Lagkrav för dataskydd definieras av EU:s dataskyddsförordning GDPR och kompletteras i Sverige av dataskyddslagen (2018:218). Dessa två regelverk styr hur företag, myndigheter och organisationer får samla in, lagra och använda personuppgifter. GDPR trädde i kraft den 25 maj 2018 och gäller direkt i Sverige utan att riksdagen behöver omvandla den till nationell lag. Integritetsskyddsmyndigheten, IMY, ansvarar för tillsyn och kan utdöma sanktioner vid överträdelser. För jurister och företag handlar vad är lagkrav för dataskydd om att förstå exakt vilka skyldigheter som gäller, inte bara i teorin utan i den dagliga verksamheten.
Vilka rättsliga grunder styr behandling av personuppgifter?
Artikel 6 i GDPR fastställer sex lagliga grunder för behandling av personuppgifter. Varje behandling måste vila på minst en av dessa grunder, annars är den olaglig. GDPR omfattar all automatiserad behandling av personuppgifter och viss manuell behandling kopplad till EU-aktiviteter. Det innebär att i princip alla svenska företag med digitala system berörs.
De sex grunderna är:
- Samtycke: Den registrerade har lämnat ett frivilligt, specifikt och informerat samtycke.
- Avtal: Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade.
- Rättslig förpliktelse: Behandlingen krävs enligt lag, till exempel bokföringslagen.
- Skydd av grundläggande intressen: Behandlingen är nödvändig för att skydda någons liv.
- Uppgift av allmänt intresse: Behandlingen utförs som ett led i myndighetsutövning.
- Intresseavvägning: Den personuppgiftsansvariges intressen väger tyngre än den registrerades.
Ett vanligt missförstånd är att samtycke alltid är den säkraste rättsliga grunden. Samtycke kan dras tillbaka när som helst, vilket gör det till en instabil grund för löpande behandlingar. Organisationer bör ofta basera behandling på intresseavvägning eller rättslig förpliktelse i stället för enbart samtycke. Jurister betonar att rättslig grund ska bedömas per behandling, inte per system eller per avdelning.
Proffstips: Dokumentera valet av rättslig grund för varje behandling i ditt artikel 30-register. Om du väljer intresseavvägning, skriv ned den faktiska avvägningen du gjort. IMY kan begära att se den vid tillsyn.
Vad innebär svensk dataskyddslag (2018:218)?
Dataskyddslagen är Sveriges nationella lag som kompletterar GDPR. Den fyller luckor och preciserar områden där GDPR ger medlemsstaterna handlingsutrymme. Lagen trädde i kraft samma dag som GDPR, den 25 maj 2018.

Dataskyddslagen reglerar bland annat hantering av personnummer, känsliga uppgifter och bakgrundskontroller. Det är ett område där Sverige valt att ställa strängare krav än vad GDPR kräver som minimum. Personnummer får till exempel bara behandlas när det finns tydlig anledning med hänsyn till ändamålet, identifieringsbehovet eller något annat beaktansvärt skäl.
Fyra centrala tillägg i dataskyddslagen:
- Personnummer: Behandling kräver ett tydligt och berättigat skäl utöver vad GDPR kräver.
- Känsliga uppgifter: Lagen preciserar undantag för behandling av hälsodata, genetiska uppgifter och biometriska uppgifter i svenska sammanhang.
- Bakgrundskontroller: Regler för när arbetsgivare får inhämta och använda uppgifter om anställda och kandidater.
- Tillsyn och sanktioner: IMY har rätt att granska, utfärda påbud och bötfälla vid överträdelser av både GDPR och dataskyddslagen.
IMY:s sanktionsmöjligheter är betydande. Administrativa sanktionsavgifter kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, beroende på vilket belopp som är högst. Det gör dataskyddslagstiftning till en fråga för styrelserummet, inte bara för juridikavdelningen.
En praktisk konsekvens för svenska företag är att de måste följa båda regelverken parallellt. GDPR sätter golvet, dataskyddslagen höjer det på vissa punkter. Att bara läsa GDPR räcker inte för att förstå de fullständiga kraven i Sverige. En extern guide om dataskydd för företag kan ge ytterligare perspektiv på hur liknande krav tillämpas i andra EU-länder.
När krävs ett dataskyddsombud enligt artikel 37?
Dataskyddsombudet, ofta kallat DPO efter engelskans Data Protection Officer, är en obligatorisk roll för vissa verksamheter. DPO måste utses för offentliga myndigheter, företag som övervakar registrerade i stor skala eller behandlar känsliga uppgifter i stor omfattning. Kravet gäller oavsett om organisationen är stor eller liten, privat eller offentlig.
De tre kriterierna för obligatoriskt DPO är:
- Verksamheten är en offentlig myndighet eller ett offentligt organ.
- Kärnverksamheten innebär storskalig, regelbunden och systematisk övervakning av registrerade, till exempel ett teknikföretag som analyserar användarbeteende.
- Kärnverksamheten innebär storskalig behandling av känsliga uppgifter enligt artikel 9 eller uppgifter om brottmålsdomar enligt artikel 10.
DPO ska vara självständig och oberoende, informera internt, ge råd och samarbeta med IMY utan att ha ansvar för eventuella överträdelser. Det är en viktig distinktion. DPO är inte den som är ansvarig om något går fel. Ansvaret ligger alltid hos den personuppgiftsansvarige.
En vanlig felbedömning är att blanda ihop DPO-rollen med en allmän GDPR-ansvarig eller juridisk rådgivare. DPO har ett specifikt mandat enligt artikel 39 och måste ha tillräckliga resurser och tillgång till ledningen för att kunna utföra uppdraget. Läs mer om DPO:s ansvar och uppgifter för en fullständig genomgång av vad rollen faktiskt innebär i praktiken.
Proffstips: Om din verksamhet inte är skyldig att utse ett DPO, dokumentera ändå varför du kommit fram till det. IMY kan fråga om din bedömning, och en skriftlig motivering visar att du tagit frågan på allvar.
Hur visar företag att de följer dataskyddslagstiftningen?
Efterlevnad av krav på dataskydd handlar inte bara om att ha rätt policyer på plats. GDPR bygger på principen om ansvarsskyldighet, vilket innebär att du aktivt ska kunna bevisa att du följer reglerna. IMY förväntar sig dokumentation, inte bara goda avsikter.
Konkreta krav för att visa efterlevnad:
- Artikel 30-register: Organisationer ska kartlägga och dokumentera sina behandlingar i ett register över behandlingsaktiviteter. Registret ska innehålla ändamål, kategorier av uppgifter, mottagare och lagringstider.
- Integritetspolicy: En tydlig och lättläst integritetspolicy som förklarar hur personuppgifter behandlas, publicerad på webbplatsen och tillgänglig vid insamlingstillfället.
- Konsekvensbedömning (DPIA): Vid behandlingar med hög risk för den registrerades rättigheter ska en konsekvensbedömning enligt GDPR genomföras innan behandlingen påbörjas.
- Incidenthantering: Rutiner för att upptäcka, rapportera och hantera personuppgiftsincidenter. Allvarliga incidenter ska anmälas till IMY inom 72 timmar.
- Personuppgiftsbiträdesavtal: Skriftliga avtal med alla leverantörer som behandlar personuppgifter för din räkning.
| Krav | Vad det innebär i praktiken |
|---|---|
| Artikel 30-register | Dokumentera varje behandling med ändamål, rättslig grund och lagringstid |
| Integritetspolicy | Publicera en tydlig policy som täcker alla behandlingar mot registrerade |
| DPIA | Genomför konsekvensbedömning vid högriskbehandlingar innan start |
| Incidentrutin | Ha en process för att identifiera och anmäla incidenter inom 72 timmar |
| Biträdesavtal | Teckna skriftliga avtal med alla personuppgiftsbiträden |
Att visa att du följer GDPR kräver ett löpande arbete, inte ett engångsprojekt. Regler förändras, verksamheter växer och nya behandlingar tillkommer. En organisation som dokumenterar sitt arbete kontinuerligt är bättre rustad vid en tillsynsgranskning än en som försöker rekonstruera underlag i efterhand. Information om hur du skriver en korrekt integritetspolicy enligt GDPR ger ytterligare vägledning om vad en policy faktiskt ska innehålla.
Viktiga insikter
Lagkrav för dataskydd i Sverige styrs av GDPR och dataskyddslagen tillsammans, och efterlevnad kräver dokumentation, rättslig grund per behandling och tydliga rutiner för incidenter och tillsyn.

| Punkt | Detaljer |
|---|---|
| GDPR och dataskyddslagen | Båda regelverken gäller parallellt; dataskyddslagen höjer kraven på vissa punkter i Sverige. |
| Rättslig grund per behandling | Bedöm och dokumentera rättslig grund för varje behandling, inte per system. |
| Dataskyddsombud | DPO är obligatoriskt för myndigheter, storskalig övervakning och känsliga uppgifter i stor skala. |
| Artikel 30-register | Kartläggning och dokumentation av behandlingar är ett grundkrav för att visa efterlevnad. |
| Incidenthantering | Allvarliga personuppgiftsincidenter ska anmälas till IMY inom 72 timmar. |
Juridikens blinda fläckar i dataskyddsarbetet
Många organisationer jag möter har lagt ned tid på att skriva en integritetspolicy och tror att arbetet därmed är klart. Det är ett misstag som kostar dyrt vid tillsyn. Policyn är bara fasaden. Det som IMY faktiskt granskar är om behandlingarna bakom policyn är dokumenterade, motiverade och begränsade till vad som är nödvändigt.
Det vanligaste juridiska felet är att välja samtycke som rättslig grund för behandlingar som egentligen borde vila på intresseavvägning eller rättslig förpliktelse. Samtycke låter tryggt men skapar ett beroende av att den registrerade inte ångrar sig. När samtycket dras tillbaka måste behandlingen upphöra, vilket kan lamslå affärsprocesser som byggts på fel grund från start.
Ett annat mönster jag ser är att artikel 30-registret behandlas som ett engångsdokument. Verksamheter uppdaterar det vid implementering och glömmer det sedan. När en ny tjänst lanseras, ett nytt system köps in eller en leverantör byts ut, ska registret uppdateras. Det är ett levande dokument, inte ett arkiv.
Min starkaste rekommendation är att bygga dataskyddsarbetet som en process, inte ett projekt. Tilldela tydliga ägarskap för varje behandling, sätt upp rutiner för regelbunden genomgång och se till att juridik och verksamhet kommunicerar löpande. En åtgärdsplan för compliance ger en strukturerad startpunkt för det arbetet.
— Jesper
Trustview stödjer ditt dataskyddsarbete
Trustview är en plattform för compliancehantering som samlar juridik, styrning och operativt arbete på ett ställe. Med Trustview kan du bygga och underhålla ditt artikel 30-register, genomföra konsekvensbedömningar, hantera incidenter och följa upp åtgärder utan att tappa tråden.

Plattformen är byggd för organisationer som vill arbeta strukturerat med dataskydd och GDPR, inte bara bocka av krav. Trustview kombinerar juridisk expertis med automatiserade arbetsflöden som minskar den administrativa bördan. Läs om hur du kan uppnå fullständig efterlevnad och vad det faktiskt innebär i praktiken för svenska företag och organisationer.
Vanliga frågor
Vad är GDPR och vad reglerar den?
GDPR är EU:s dataskyddsförordning som reglerar hur personuppgifter får samlas in, lagras och användas. Den gäller alla företag och myndigheter som behandlar personuppgifter om personer i EU.
Vad är skillnaden mellan GDPR och dataskyddslagen?
GDPR är ett EU-direktiv som gäller direkt i alla medlemsstater. Dataskyddslagen (2018:218) är en svensk kompletterande lag som preciserar och skärper kraven på vissa punkter, till exempel hantering av personnummer och bakgrundskontroller.
Vilka rättsliga grunder finns för behandling av personuppgifter?
Artikel 6 i GDPR anger sex lagliga grunder: samtycke, avtal, rättslig förpliktelse, skydd av grundläggande intressen, uppgift av allmänt intresse och intresseavvägning. Varje behandling måste ha stöd i minst en av dessa.
Måste alla företag utse ett dataskyddsombud?
Nej. DPO är obligatoriskt för offentliga myndigheter, verksamheter som bedriver storskalig systematisk övervakning och verksamheter som behandlar känsliga uppgifter i stor skala. Övriga företag kan utse ett DPO frivilligt.
Hur snabbt måste en personuppgiftsincident anmälas till IMY?
Allvarliga personuppgiftsincidenter ska anmälas till IMY inom 72 timmar från det att organisationen fick kännedom om incidenten. Om anmälan inte kan göras i tid ska den ändå lämnas in med en förklaring till förseningen.




