GDPR för små företag innebär att alla verksamheter i Sverige, oavsett storlek, är skyldiga att följa EU:s dataskyddsförordning när de hanterar personuppgifter. Det spelar ingen roll om du driver en enskild firma med tre anställda eller ett aktiebolag med tjugo. Kraven på registerförteckning, integritetspolicy, personuppgiftsbiträdesavtal och incidenthantering gäller dig. År 2025 inkom 12 276 anmälningar om personuppgiftsincidenter till IMY, en ökning med nästan 90 procent jämfört med föregående år. Det visar att incidenthantering inte är ett problem reserverat för stora organisationer.
Vilka GDPR-krav gäller för småföretag?
GDPR:s grundkrav gäller alla företag som behandlar personuppgifter, och de flesta småföretag gör det dagligen utan att tänka på det. Kundregister, lönelistor, e-postkorrespondens och bokföringssystem innehåller alla personuppgifter. Nedan följer de fyra krav som är mest relevanta för dig som småföretagare.
Registerförteckning enligt artikel 30
Alla företag som regelbundet hanterar personuppgifter ska dokumentera sina behandlingar i ett artikel 30-register. Registret ska beskriva vilka personuppgifter som behandlas, varför, hur länge de sparas och vem som har tillgång till dem. Undantaget från detta krav är mycket snävt och gäller sällan vid återkommande kund- eller anställningshantering. Det innebär att de allra flesta småföretag i praktiken är skyldiga att föra ett sådant register.
Personuppgiftsbiträdesavtal med leverantörer
När du anlitar en leverantör som hanterar personuppgifter för din räkning, till exempel ett lönesystem, ett CRM-verktyg eller en molntjänst, krävs ett skriftligt biträdesavtal. Avtalet ska vara på plats innan behandlingen börjar och innehålla specifika krav enligt GDPR. Det är vanligt att småföretag antingen saknar dessa avtal helt eller har avtal som inte är kopplade till faktiska instruktioner och säkerhetskrav.
Integritetspolicy och informationskrav
Du är skyldig att informera kunder och anställda om hur deras personuppgifter behandlas. En integritetspolicy på din webbplats är ett grundläggande krav, men informationsplikten gäller även vid rekrytering, kundavtal och nyhetsbrev. Policyn ska vara tydlig, konkret och lätt att förstå.
Incidenthantering och rapportering
Personuppgiftsincidenter ska anmälas till IMY inom 72 timmar om incidenten innebär hög risk för de registrerades rättigheter. Det gäller även om incidenten beror på ett misstag, ett dataintrång hos en leverantör eller ett borttappat USB-minne. Rutiner för att snabbt bedöma och dokumentera incidenter är därför nödvändiga, inte valfria.
Proffstips: Skapa ett enkelt dokument med fyra flikar: registerförteckning, biträdesavtal, integritetspolicy och incidentlogg. Det ger dig en omedelbar överblick och gör det enkelt att visa efterlevnad vid en tillsyn.
Vanliga missuppfattningar om GDPR och småföretag
Många småföretagare underskattar sina GDPR-skyldigheter, och det leder till onödiga risker. Här är de vanligaste feluppfattningarna som Trustview möter i praktiken.
-
“GDPR gäller bara stora företag.” Det stämmer inte. Förordningen gäller alla som behandlar personuppgifter inom EU, oavsett omsättning eller antal anställda. Storleken på ett eventuellt bötesbeslut kan variera, men skyldigheten att följa lagen gör det inte.
-
“Vi behöver inte registerförteckning eftersom vi är så få.” Undantaget i GDPR artikel 30.5 gäller företag med färre än 250 anställda, men bara om behandlingen inte är regelbunden, inte innebär risk och inte avser känsliga uppgifter. Hanterar du kunduppgifter eller löner faller du utanför undantaget.
-
“Vi har ett PUB-avtal, så vi är skyddade.” Att ett avtal finns formellt räcker inte. Det är vanligt att biträdesavtal inte är operativa eller kopplade till faktiska instruktioner och säkerhetskrav. Vid en tillsyn eller incident räcker det inte att visa ett undertecknat dokument om innehållet inte tillämpas i praktiken.
-
“Vi hinner anmäla incidenter när det passar.” Tidsfristen på 72 timmar löper från det att du fått kännedom om incidenten, inte från det att du bestämt dig för att agera. Utan förberedda rutiner är det nästan omöjligt att hålla den fristen.
Proffstips: Gå igenom dina leverantörsavtal en gång per år och kontrollera att varje leverantör som hanterar personuppgifter för din räkning täcks av ett korrekt och aktuellt biträdesavtal. Sätt en påminnelse i kalendern redan nu.
Hur prioriterar småföretag GDPR-arbetet praktiskt?
Att börja med GDPR behöver inte vara komplicerat. Nedan följer fyra konkreta steg i prioritetsordning för ett litet företag som vill bygga en hållbar grund.
-
Upprätta en levande registerförteckning. Börja med att kartlägga vilka personuppgifter ni faktiskt hanterar och i vilka system. Gör registerförteckningen till ett levande arbetsdokument som uppdateras vid systembyten och nya leverantörer. Det förenklar både löpande efterlevnad och eventuell granskning.
-
Säkra biträdesavtal med alla relevanta leverantörer. Lista alla leverantörer som hanterar personuppgifter för er räkning. Kontrollera att skriftliga avtal finns på plats och att de innehåller de krav GDPR ställer. Prioritera leverantörer som hanterar känsliga uppgifter eller stora volymer kunddata.
-
Bygg enkel incidentberedskap. Ta fram en kort rutin för vad som ska göras om en incident inträffar: vem ansvarar, hur bedöms risken, och när ska IMY kontaktas? Snabb och välplanerad incidentberedskap är avgörande för att klara 72-timmarsregeln utan panik.
-
Publicera och underhåll en integritetspolicy. Se till att din webbplats har en aktuell integritetspolicy som beskriver hur ni hanterar besökares och kunders uppgifter. Uppdatera den när ni inför nya tjänster eller ändrar era behandlingar.
Proffstips: Använd registerförteckningen som utgångspunkt för hela ert GDPR-arbete. När du vet vilka uppgifter ni hanterar och varför, blir det mycket enklare att identifiera vilka biträdesavtal som saknas och vilka risker som behöver hanteras.
Tabellen nedan ger en snabb överblick över vad varje steg innebär i praktiken och hur lång tid det rimligen tar att genomföra.
| Åtgärd | Vad det innebär | Uppskattad tid |
|---|---|---|
| Registerförteckning | Kartlägg behandlingar och dokumentera i ett strukturerat register | 2 till 4 timmar |
| Biträdesavtal | Identifiera leverantörer och säkra skriftliga avtal | 1 till 3 timmar |
| Incidentrutin | Skapa ett kort dokument med roller och steg vid incident | 1 till 2 timmar |
| Integritetspolicy | Skriv eller uppdatera policyn på webbplatsen | 1 till 2 timmar |
Hur skiljer sig GDPR-kraven mellan små och stora företag?
En vanlig fråga är om stora företag har strängare krav. Svaret är mer nyanserat än ett enkelt ja eller nej.
| Krav | Stora företag | Små företag |
|---|---|---|
| Registerförteckning | Alltid obligatorisk | Obligatorisk vid regelbunden behandling |
| Dataskyddsombud (DPO) | Krävs i vissa fall | Sällan obligatoriskt |
| Konsekvensbedömning (DPIA) | Krävs vid hög risk | Krävs vid hög risk, oavsett storlek |
| Biträdesavtal | Obligatoriskt | Obligatoriskt |
| Incidentrapportering | 72-timmarsregel | 72-timmarsregel |
| Ansvarsskyldighet | Full tillämpning | Full tillämpning |
Tabellen visar att de flesta krav gäller lika för alla. Stora företag kan ha fler behandlingar och mer komplex dokumentation, men ansvarsskyldigheten kräver att även ett litet företag kan visa hur det uppfyller GDPR, inte bara försöka. Det är en viktig distinktion. Att ha en avsikt att följa lagen räcker inte vid en tillsyn.
Konsekvensbedömning, eller DPIA, är ett exempel på ett krav som gäller oavsett storlek. Om din verksamhet behandlar uppgifter med hög risk för de registrerades rättigheter, till exempel känsliga hälsouppgifter eller storskalig profilering, ska en DPIA genomföras och dokumenteras innan behandlingen startar. Storleken på företaget påverkar inte den skyldigheten.
Det finns dock en praktisk skillnad i resurser. Stora företag har ofta dedikerade jurister, dataskyddsombud och complianceteam. Små företag måste lösa samma uppgifter med färre händer. Det gör det ännu viktigare att prioritera rätt och använda strukturerade verktyg som minskar den administrativa bördan. Trustview är byggt för att hjälpa organisationer att hantera just detta, med stöd för registerförteckning, biträdesavtal, incidenthantering och riskbedömningar i ett och samma system.
Viktiga insikter
GDPR för små företag kräver samma grundläggande efterlevnad som för stora organisationer, men med rätt prioritering och struktur är det fullt möjligt att bygga ett hållbart dataskyddsarbete utan stora resurser.
| Punkt | Detaljer |
|---|---|
| Registerförteckning är obligatorisk | De flesta småföretag uppfyller inte undantagskriterierna och måste föra ett artikel 30-register. |
| Biträdesavtal måste vara operativa | Ett undertecknat avtal räcker inte om det inte tillämpas i praktiken med tydliga instruktioner. |
| 72-timmarsregeln gäller alla | Incidentberedskap med förberedda rutiner är nödvändig för att klara rapporteringskravet. |
| Ansvarsskyldighet kräver dokumentation | Du måste kunna visa hur du följer GDPR, inte bara påstå att du gör det. |
| Prioritera i rätt ordning | Börja med registerförteckning, sedan biträdesavtal, incidentrutin och integritetspolicy. |
GDPR och småföretag: min erfarenhet av vad som faktiskt fungerar
Jesper skriver: Jag har sett många småföretagare fastna i samma tankefälla. De vet att GDPR finns, de har kanske skrivit under ett avtal eller lagt upp en integritetspolicy, och sedan tror de att de är klara. Det är sällan de är det.
Det som skiljer företag som faktiskt klarar en tillsyn från dem som inte gör det är inte hur avancerat deras system är. Det är om deras dokumentation är levande eller inte. En registerförteckning som skapades 2018 och aldrig uppdaterats är i praktiken värdelös. Ett biträdesavtal som ingen vet var det finns är inte ett skydd, det är en pappersprodukt.
Min erfarenhet är att GDPR-arbetet blir hanterbart när du slutar se det som ett juridiskt projekt och börjar se det som ett sätt att hålla ordning på din verksamhets informationsflöden. Vet du vilka uppgifter du hanterar, varför och med vem? Då har du redan gjort det svåraste. Resten är dokumentation och rutiner.
Jag brukar råda småföretagare att börja med registerförteckningen, inte för att det är det roligaste, utan för att allt annat hänger på det. När du vet vad du behandlar, ser du direkt vilka biträdesavtal som saknas, vilka risker som finns och vad din integritetspolicy behöver täcka. Det är ett konkret och avgränsat arbete som du kan göra på en eftermiddag och som ger dig en stabil grund att bygga vidare på.
Se GDPR som ett förtroendeverktyg, inte som ett hinder. Kunder och samarbetspartners märker när ett företag tar dataskydd på allvar. Det är en konkurrensfördel som de flesta småföretagare inte utnyttjar.
— Jesper
Kom igång med GDPR på ett strukturerat sätt
Att förstå kraven är första steget. Att faktiskt genomföra dem på ett hållbart sätt är nästa. Trustview hjälper småföretag att bygga ett strukturerat dataskyddsarbete utan att det kräver en heltidsjurist eller ett stort complianceteam.
Med Trustview kan du hantera registerförteckning, biträdesavtal, incidentrapportering och riskbedömningar i ett och samma system. Plattformen är byggd för att minska den administrativa bördan och ge dig full överblick över din efterlevnad. Läs mer om hur du kan upprätta en åtgärdsplan för GDPR-efterlevnad steg för steg, eller utforska om det ens är möjligt att vara helt compliant och vad det innebär i praktiken för ett litet företag.
FAQ
Måste alla småföretag följa GDPR?
Ja. GDPR gäller alla verksamheter som behandlar personuppgifter inom EU, oavsett storlek eller bransch. Det finns inga generella undantag för mikroföretag eller enskilda firmor.
Behöver mitt lilla företag en registerförteckning?
Troligtvis ja. Undantaget i artikel 30.5 gäller bara om behandlingen inte är regelbunden och inte innebär risk. Hanterar du kunduppgifter, anställdas uppgifter eller leverantörskontakter är du skyldig att föra ett artikel 30-register.
Vad händer om vi inte har personuppgiftsbiträdesavtal?
Att sakna ett korrekt biträdesavtal med en leverantör som hanterar personuppgifter för din räkning är en direkt överträdelse av GDPR och kan leda till tillsyn och böter från IMY.
Hur snabbt måste vi anmäla en personuppgiftsincident?
Anmälan till IMY ska ske inom 72 timmar från det att du fått kännedom om incidenten, förutsatt att den innebär hög risk för de registrerade. Rutiner för snabb riskbedömning är därför nödvändiga.
Behöver vi ett dataskyddsombud?
De flesta småföretag är inte skyldiga att utse ett dataskyddsombud. Kravet gäller i huvudsak offentliga myndigheter samt företag som i stor skala behandlar känsliga uppgifter eller systematiskt övervakar personer. Det hindrar dock inte att det kan vara klokt att ha en ansvarig person internt som håller koll på dataskyddsarbetet.
Rekommendation
- Så skyddar du ditt företag: Följ regler och förordningar
- Fem GDPR-utmaningar: Strategier för ledare 2026
- GDPR-böter: Kemikalietillverkare får €310 000 i sanktionsavgift för dataintrång och bristande efterlevnad – TrustView
- GDPR-Efterlevnad: Spanska DPA Bötfäller Kemikalietillverkare €310 000 för Dataintrång och Saknat Biträdesavtal – TrustView
