GDPR och din hemsida - Komplett checklista för webbplatsägare
Guider
Fredrik Eriksson ·

GDPR och din hemsida - Komplett checklista för webbplatsägare

Svenska webbplatsägare har under de senaste åren fått en ganska konkret påminnelse om att GDPR inte är en formalitet. Integritetsskyddsmyndigheten (IMY) har utfärdat drygt 85 miljoner kronor i sanktionsavgifter mot svenska verksamheter sedan 2022, och flera av fallen handlar om något så vardagligt som ett analysverktyg eller en tracking-pixel som körde i bakgrunden på en vanlig webbplats. Avanza fick 15 miljoner kronor för att Meta-pixeln skickade personnummer och värdepappersinnehav till Meta. Apoteket och Apohem fick tillsammans 45 miljoner kronor för liknande orsaker. Ingen av dem hade gjort det med avsikt.

Det är bakgrunden till varför checklistan nedan faktiskt spelar roll. De flesta webbplatsägare som bryter mot GDPR gör det inte med flit, utan för att ingen berättat för dem exakt vad de behöver ha på plats. Det är det vi tänker råda bot på.

Det finns en vanlig missuppfattning att GDPR bara gäller stora företag. Det stämmer inte. Lagen gäller alla som samlar in personuppgifter via sin webbplats, oavsett om du är ett multinationellt bolag eller en enskild hantverkare med en hemsida och ett kontaktformulär. Storleken på verksamheten påverkar vilka specifika krav som ställs, men den tar inte bort grundkraven.

Kortversionen: 7 saker din hemsida behöver enligt GDPR

Gå igenom den här listan och bocka av det du redan har. Det som saknas är din att-göra-lista.

  1. Cookiebanner med aktivt samtycke. Besökaren ska kunna acceptera eller avvisa cookies i ett aktivt val. Ett meddelande utan val räcker inte, och "Acceptera"-knappen får inte vara designad för att locka till klick medan "Avvisa" gömts undan.
  2. Integritetspolicy på plats. Ett dokument som förklarar vilka uppgifter du samlar in, varför, hur länge och vem du delar dem med. Skriv den på svenska och gör den begriplig, inte juridisk.
  3. Databehandlingsavtal med ditt webbhotell. Webbhotellet behandlar dina besökares uppgifter. Det kräver ett formellt avtal, ett så kallat DPA (Data Processing Agreement). Kontrollera att du har ett signerat.
  4. GDPR-anpassat kontaktformulär. Länka alltid till din integritetspolicy i formuläret. Kräv inte mer uppgifter än du faktiskt behöver. Inga förifyllda kryssrutor för marknadsföring.
  5. Ta ett aktivt beslut om ditt analysverktyg. Om du kör GA4 utan rätt konfiguration och utan giltigt samtycke riskerar du problem. Undersök alternativen eller konfigurera verktyget noggrant.
  6. Behandlingsförteckning. En dokumentation av vilka personuppgifter du hanterar, varför och på vilken grund. En enkel lista i ett kalkylblad räcker för de flesta.
  7. Plan för dataintrång. Om något går fel ska du kunna anmäla det till IMY inom 72 timmar. Vet du hur den processen fungerar och har du kontaktuppgifterna redo?

Varje punkt fördjupas nedan. Men om du bara har tid att läsa kortversionen: identifiera luckorna och ta tag i dem en i taget. GDPR-arbete är en process, inte ett engångsprojekt.

Vad kräver GDPR av dig som har en hemsida?

GDPR gäller när du samlar in personuppgifter. Det låter enkelt, men i praktiken samlar nästan alla webbplatser in personuppgifter utan att ägaren tänkt på det. Namn och e-post i ett kontaktformulär är uppenbart. Men IP-adresser som loggas av webbservern? Det är personuppgifter i de flesta fall. Beteendedata som registreras av ett analysverktyg? Det med. Cookies som identifierar en unik besökare över tid? Definitivt.

Du är "personuppgiftsansvarig" i lagens mening. Det innebär att du bestämmer varför och hur uppgifterna behandlas, och att du bär det juridiska ansvaret för att det sker korrekt. Det spelar ingen roll hur liten din webbplats är. En blogg med kontaktformulär, en lokal hantverkares hemsida med bokningsformulär, en förenings webbplats med medlemsregister: alla träffas av samma grundkrav.

Termen "rättslig grund" återkommer i GDPR-sammanhang. Det betyder att du måste ha en giltig anledning för varje behandling av personuppgifter. De vanligaste grunderna för en webbplats är samtycke (besökaren har aktivt godkänt), berättigat intresse (du har ett legitimt affärsintresse som väger tyngre än besökarens integritet) och avtal (behandlingen krävs för att fullfölja ett avtal med den registrerade). Vilken grund som är lämplig beror på situationen, och det är ett aktivt val du behöver göra för varje behandling.

Läs IMY:s egna vägledningar på imy.se för auktoritativa svar på juridiska frågor. Den här artikeln ger dig ett praktiskt ramverk, men vid gränsfall är IMY den rätta adressen. Se även vår jämförelse av GDPR-anpassade webbhotell för den specifika webbhotellvinkeln.

Cookiebanner: mer än ett pop-up

En cookiebanner är inte en formalitet du prickar av och glömmer. Den är det verktyg genom vilket din besökare ger eller nekar samtycke till att du samlar in data om dem. Och det samtycket måste vara genuint fritt, specifikt och informerat för att ha rättslig verkan.

Tre kategorier av cookies är viktiga att känna till. Nödvändiga cookies, de som håller en session aktiv eller minns vad som lagts i en varukorg, kräver inget samtycke. Men preferenscookies och marknadsföringscookies kräver ett aktivt ja från besökaren. Inte en förvald kryssruta. Inte ett meddelande utan valmöjlighet. Ett aktivt val.

Bannern måste innehålla tre saker: möjlighet att acceptera, möjlighet att avvisa och möjlighet att ändra preferenser senare. Hur dessa presenteras är också reglerat, och det är här det ofta går fel i praktiken.

Hur tekniken under huven fungerar är också relevant. Cookiebannern bör blockera tredjepartsskript tills samtycke ges, inte bara visa ett meddelande medan skripten redan laddat och börjat samla data. En korrekt implementation innebär att exempelvis Meta-pixeln eller Google Analytics-koden inte exekveras förrän besökaren faktiskt klickat på "Acceptera". Det är en vanlig brist: bannern finns men skripten körs ändå.

Dark patterns: IMY:s beslut mot ATG, Aller Media och Warner Music

I april 2025 meddelade IMY beslut mot tre svenska aktörer, ATG, Aller Media och Warner Music Sweden, för att deras cookiebanners använde så kallade dark patterns. Problemet var asymmetrin i designen: en stor, tydlig "Acceptera alla"-knapp i en framträdande färg, medan "Neka" eller "Hantera preferenser" var liten, grå och diskret placerad. Förkryssade rutor för marknadsföring förekom också.

IMY:s ståndpunkt var tydlig. Ett fritt val kräver att alternativen presenteras på ett likvärdigt sätt. Om designen är utformad för att styra besökaren mot ett visst val är det inte ett genuint samtycke, oavsett om tekniken formellt sett ger möjlighet till avvisning. Det är IMY:s första beslut som explicit tar upp dark patterns i cookiebanners, och det sätter en standard för vad som förväntas framöver.

Testa din banner med en inkognito-webbläsare: är "Avvisa" lika lätt att hitta och klicka som "Acceptera"? Om bannern kräver att du klickar dig igenom ett extra steg för att neka medan acceptans sker med ett enda klick, är det sannolikt ett dark pattern. Korrigera det.

En detalj som många missar: cookie walls, alltså konstruktioner där besökaren nekas tillgång till webbplatsens innehåll om de inte accepterar cookies, är generellt inte tillåtna enligt Europeiska dataskyddsstyrelsen (EDPB). Samtycket ska vara frivilligt, och ett krav på samtycke som villkor för tillgång är inte frivilligt.

I Sverige är det Post- och telestyrelsen (PTS) som ansvarar för regelverket kring att cookies faktiskt sätts (via lagen om elektronisk kommunikation), medan IMY ansvarar för vad som sedan görs med datan (via GDPR). I praktiken samarbetar de, och IMY:s riktlinjer styr i stor utsträckning vad som förväntas av en compliant banner.

Värt att känna till för framtiden: EU diskuterar en reform av cookieregelverket inom ramen för EU Digital Omnibus-paketet. Förslaget, som diskuterades hösten 2025, inkluderar bland annat automatiserade samtyckessignaler från webbläsare och utökade undantag för statistikcookies. Det kan komma att förenkla situationen, men tills regelverket är fastställt och implementerat gäller nuvarande krav.

Integritetspolicy: skriven för besökaren, inte för jurister

En integritetspolicy är ditt löfte till besökaren om hur du behandlar deras uppgifter. Den ska förklara vad du samlar in, varför du samlar in det, hur länge du sparar det och vem du eventuellt delar det med. Den ska vara skriven på ett språk som en vanlig människa förstår, inte fylld av juridisk terminologi och hänvisningar till lagparagrafer.

Policyn ska täcka följande grundläggande delar:

  • Vilka uppgifter samlas in och hur
  • Varför de samlas in (ändamålet) och på vilken rättslig grund
  • Hur länge uppgifterna sparas
  • Om de delas med tredje part, och i så fall vilka och varför
  • Hur besökaren utövar sina rättigheter: rätt till tillgång, rättelse, radering och invändning
  • Kontaktuppgifter till den personuppgiftsansvarige (du) och till IMY om besökaren vill klaga

En vanlig fälla är att kopiera en generisk mall utan att anpassa den till hur webbplatsen faktiskt fungerar. Om du skriver att du "inte delar uppgifter med tredje part" men faktiskt kör Google Analytics, Meta-pixeln och ett nyhetsbrevssystem, stämmer policyn inte med verkligheten. Det är inte bättre än ingen policy alls, och kan aktivt vilseleda besökare. En icke-korrekt policy kan vara en försvårande faktor om IMY granskar dig.

Policyn ska också uppdateras varje gång du gör en förändring som påverkar hur personuppgifter behandlas. Lägger du till ett nytt analysverktyg? Uppdatera policyn. Byter du e-postleverantör? Uppdatera policyn. Datera alltid policyn så besökare ser när den senast ändrades.

AI-genererade integritetspolicyer är populära och kan vara en bra utgångspunkt, men de kräver manuell granskning och anpassning. En AI-genererad mall beskriver ett hypotetiskt scenario, inte din specifika webbplats. Granskar du inte innehållet kritiskt finns risken att du publicerar en policy som påstår saker som inte stämmer med hur din webbplats faktiskt beter sig.

Var på webbplatsen ska integritetspolicyn finnas?

En länk i sidfoten (footer) på varje sida är branschstandard och förväntat. Men det räcker inte att bara ha den där. Länka även från cookiebannern och från kontaktformuläret, direkt i anslutning till fälten där besökaren fyller i sina uppgifter. Om du samlar in uppgifter vid registrering eller i en kassa ska länken finnas även där. Synligheten är en del av kravet: policyn ska vara lätt att hitta vid varje tillfälle då uppgifter samlas in. En policy som existerar men som ingen hittar uppfyller inte kravet på transparens.

Databehandlingsavtal med ditt webbhotell

Det är kanske det GDPR-krav som flest webbplatsägare missar helt: databehandlingsavtalet med webbhotellet. Logiken är enkel men inte uppenbar. När din webbplats lagras på ett webbhotell behandlar webbhotellet tekniskt sett dina besökares personuppgifter. IP-adresser loggas i serverloggar. Kontaktformulärsdata lagras i databaser på webbhotellets servrar. Det gör webbhotellet till ett "personuppgiftsbiträde" i GDPR:s mening, och du som personuppgiftsansvarig måste ha ett formellt skriftligt avtal med dem om hur denna behandling ska gå till.

Avtalet ska reglera vad som behandlas, i vilket syfte, hur länge, vilka säkerhetsåtgärder som gäller och vad som händer med datan när avtalet upphör. Dokumentet kallas ofta DPA (Data Processing Agreement) eller personuppgiftsbiträdesavtal. De flesta seriösa webbhotell har färdiga DPA-dokument, men du behöver aktivt söka upp dem och godkänna eller signera dem. De aktiveras sällan automatiskt i samband med ett hosting-köp.

Kontrollera ditt webbhotells juridiska dokumentation, ofta under rubriker som "Legal", "Privacy" eller "Integritetspolicy". Hittar du inget, kontakta kundtjänst och fråga specifikt om de erbjuder ett databehandlingsavtal. Kan de inte svara på frågan eller saknar dokumentet helt, är det ett tecken på att webbhotellet inte är lämpligt för en GDPR-medveten verksamhet.

Om ditt webbhotell lagrar data utanför EU och EES tillkommer ytterligare krav, bland annat standardavtalsklausuler eller andra godkända skyddsmekanismer. Det är ett av de starkaste skälen att föredra webbhotell med europeiska eller svenska servrar. Se vår guide för att jämföra GDPR-anpassade webbhotell eller hitta webbhotell med svenska servrar. Det förenklar GDPR-situationen betydligt.

Kontaktformulär: samla in rätt, inte för mycket

Principen om dataminimering är en av GDPR:s grundpelare. Samla bara in de uppgifter du faktiskt behöver för det specifika ändamålet. Behöver du verkligen telefonnummer, födelsedag och postadress för en enkel offertförfrågan? Troligen inte. Varje extra fält ökar risken, ökar mängden data du ansvarar för och signalerar att du samlar in mer än nödvändigt.

Varje formulär på din webbplats bör uppfylla tre grundkrav. Länka till integritetspolicyn, synligt och nära formuläret, vid ifyllningstillfället. Ha inga förifyllda kryssrutor för nyhetsbrev eller marknadsföring: samtycket måste vara ett aktivt val, inte ett val som kräver aktiv avmarkering. Ha klart för dig hur länge du sparar formulärdata, och ha en rutin för att radera uppgifter som inte längre är nödvändiga.

Formulärdata har en tendens att samlas i databaser och glömmas bort. En kontaktförfrågan från 2019 som fortfarande ligger i din WordPress-databas är inte harmlöst. Den representerar personuppgifter du fortfarande ansvarar för och som kan exponeras vid ett intrång. Sätt gallringsrutiner och håll dem.

Använder du ett tredjepartsverktyg för formuläret, ett WordPress-plugin eller en extern formulärtjänst, kontrollera att leverantören hanterar personuppgifter på ett GDPR-compliant sätt. Om de behandlar uppgifter på dina vägnar behöver du också ett DPA med dem.

Analysverktyg: GA4, Tele2-fallet och vad du ska göra nu

Google Analytics är det analysverktyg som flest webbplatsägare använder och det som vållat mest juridisk debatt i GDPR-sammanhang. Låt oss gå igenom var vi faktiskt befinner oss 2026.

I oktober 2023 fällde IMY Tele2 för att Google Analytics överförde personuppgifter till USA utan tillräckliga skyddsåtgärder. CDON fick ett liknande beslut. Besluten gällde den dåvarande situationen, utan EU-US Data Privacy Framework. Förvaltningsrätten avslog Tele2:s överklagande i oktober 2024, vilket bekräftade IMY:s bedömning och ger den fortsatt vikt som vägledning.

Sedan dess har rättsläget förändrats. EU-US Data Privacy Framework (DPF) antogs i juli 2023 och skapar en ny rättslig grund för dataöverföringar till USA, inklusive till Google. GA4 är tekniskt sett lagligt att använda inom DPF:s ram, förutsatt att du har ett giltigt samtycke och konfigurerat verktyget korrekt. Men grunden är politiskt bräcklig. Trump-administrationen avvecklade styrelseorganen för PCLOB (Privacy and Civil Liberties Oversight Board) tidigt 2025, vilket undergrävt de garantier som DPF bygger på. Organisationen NOYB har aviserat att man ifrågasätter DPF:s giltighet i EU-domstolen, och ett nytt ärende förväntas. Det är ett rörligt rättsläge.

Vad innebär det i praktiken? Om du kör GA4 behöver du ett aktivt samtycke från besökaren (via cookiebannern, och skriptet får inte köras förrän samtycke ges) och du behöver konfigurera verktyget restriktivt: begränsa datadelning och annonsanpassning, se till att IP-anonymisering är aktiverad. Det är inte en garanti för full compliance under alla omständigheter, och situationen kan förändras om DPF ifrågasätts framgångsrikt i domstol. Att "bara låta det vara" utan att ha tagit ett aktivt och dokumenterat beslut är inte ett godtagbart förhållningssätt.

Alternativ som i dag är enklare att göra GDPR-compliant:

  • Matomo: öppen källkod som kan installeras på din egen server, vilket innebär att data aldrig lämnar ditt webbhotell. Används av EU-kommissionen och av Skatteverket. Finns också som molntjänst med europeisk serverplacering. Ger detaljerad statistik liknande GA.
  • Plausible: cookiefritt som standard, samlar inte in personuppgifter i traditionell mening, kräver normalt inget samtyckesbanner för grundfunktionen. Data lagras på europeiska servrar. Enklare gränssnitt men täcker de vanligaste behoven.

Det finns också ett mellanalternativ för de som av affärsskäl måste behålla GA4: serverside-tagging, där data filtreras på din server innan den skickas vidare till Google. Det minskar mängden data som overifierat skickas till Google men löser inte alla problem, och kräver teknisk kompetens att sätta upp korrekt.

Ta ett aktivt beslut: välj det verktyg som passar din situation och dokumentera varför du valt som du gjort. Det är ett tecken på att du tar ditt personuppgiftsansvar på allvar och kan visa IMY att du gjort en medveten avvägning.

Tredjepartsskript och Meta-pixeln: 60 miljoner kronor i varning

Det enskilt mest kostsamma GDPR-misstaget bland svenska webbplatsägare de senaste åren handlar inte om integritetspolicyer eller kontaktformulär. Det handlar om tredjepartsskript som körs i bakgrunden på webbplatsen och gör saker du inte känner till.

Avanza fick 15 miljoner kronor i sanktionsavgift 2024 för att Meta-pixeln på deras webbplats skickade personnummer, lånebelopp, kontonummer och värdepappersinnehav till Meta i klartext. Funktionerna "Automatic Advanced Matching" och "Automatiska händelser" hade aktiverats av misstag. Drygt en miljon kunder berördes. Problemet avslöjades inte av Avanza internt utan av Sveriges Radio Ekot.

Apoteket fick 37 miljoner kronor och Apohem fick 8 miljoner kronor för liknande orsaker samma år. Funktionen "Automatic Advanced Matching" skickade hälsorelaterad data till Meta, inklusive information om köp av receptfria läkemedel, självtester och produkter relaterade till sexuell hälsa. Upp till 930 000 personer berördes hos Apoteket, 15 000 hos Apohem. Bolagen saknade rutiner för att själva identifiera att problemet hade uppstått.

Det här är kärnan i problemet med tredjepartsskript: de kan aktivera nya funktioner vid uppdateringar utan att du märker det, och du är personuppgiftsansvarig för vad som händer på din webbplats oavsett om det tekniskt sett är ett externt skript som skickar datan. Det räcker inte att säga "det var Meta:s kod". Ansvaret ligger hos dig som personuppgiftsansvarig.

Problemet är inte unikt för Meta-pixeln. Google Tag Manager kan lasta in skript från tredje part som du inte känner till. HubSpot, Intercom, Hotjar och andra analysverktyg kan skicka mer data än vad du konfigurerat. Varje tredjepartsskript du lägger till på din webbplats utökar din ansvarssida.

Vad du bör göra konkret är att börja med en inventering. Öppna webbläsarens utvecklarverktyg (F12 i de flesta webbläsare), gå till fliken "Network" och ladda om sidan. Titta på vilka externa domäner som kontaktas. Varje extern anrop är ett tredjepartsskript som behandlar data om din besökare.

Granska inställningarna för varje skript. För Meta-pixeln specifikt: stäng av "Automatic Advanced Matching" och "Automatiska händelser" om du inte aktivt valt att använda dem och förstår exakt vad de gör. Samma gäller motsvarande funktioner i andra spårningsverktyg.

Sätt sedan en rutin att upprepa inventering och granskning regelbundet, till exempel kvartalsvis. Tredjepartsskript uppdateras av sina leverantörer, och nya funktioner kan aktiveras utan att du meddelas i förväg. Det är inte rimligt att göra detta en gång och tro att det håller för alltid.

Behandlingsförteckning: dokumentera vad du gör

En behandlingsförteckning är en lista över de personuppgiftsbehandlingar din verksamhet utför. Den behöver inte vara avancerad. För en liten webbplats kan det vara ett kalkylblad med kolumnerna: vilka uppgifter behandlas, för vilket ändamål, på vilken rättslig grund, hur länge de sparas och var de lagras.

Varför du behöver det: om IMY ber att granska din GDPR-efterlevnad förväntas du kunna visa den. Det är ett krav för de flesta verksamheter, inte en rekommendation. Formellt finns ett undantag för företag med färre än 250 anställda som bara utför behandlingar som inte är "regelbundna" och inte innebär "hög risk". Men en webbplats med kontaktformulär, analysverktyg och nyhetsbrev utför vanligen behandlingar som faller utanför undantaget. Rekommendationen är att upprätta en enkel förteckning oavsett, som ett praktiskt verktyg för dig själv att hålla koll på vad du faktiskt gör.

Börja med det uppenbara: kontaktformuläret, nyhetsbrevet (om du har ett), analysverktyget. Lägg till webbhotellet och hur serverloggar hanteras. Bygg på allteftersom du identifierar fler behandlingar. IMY erbjuder verktyg och mallar för att upprätta en behandlingsförteckning som kan vara en bra utgångspunkt.

En viktig sak att komma ihåg: behandlingsförteckningen är ett levande dokument. Den ska reflektera hur din webbplats faktiskt fungerar just nu, inte hur den fungerade när du satte upp den. Uppdatera den varje gång du gör en förändring som påverkar personuppgiftsbehandlingen.

Om något går fel: plan för dataintrång

I februari 2025 drabbades Sportadmin av en ransomware-attack. Data om 2,1 miljoner personer, varav en stor andel barn och unga i föreningsidrott, publicerades på darknet. Namn, personnummer och uppgifter om vilken idrott och förening de tillhörde exponerades. IMY:s utredning konstaterade att Sportadmin "under lång tid känt till svagheter i sina system" men gjort för lite för att åtgärda dem. Sanktionsavgiften blev 6 miljoner kronor.

Det är ett extremfall, men det illustrerar något viktigt: GDPR kräver inte att du ska vara ogenomtränglig, men det kräver att du vidtagit rimliga skyddsåtgärder utifrån den risk du hanterar. Och om något väl går fel behöver du veta exakt vad som krävs av dig, och du behöver kunna agera snabbt.

Kravet är tydligt: om ett dataintrång inträffar som sannolikt innebär en risk för enskildas rättigheter och friheter ska du anmäla det till IMY inom 72 timmar. Inte sju dagar. Inte "så snart som möjligt". 72 timmar, räknat från det att du fått kännedom om intrånget.

För en liten webbplats kan ett dataintrång vara en hackad WordPress-installation som exponerat e-postadresser, en läckt databas med kontaktuppgifter eller obehörig åtkomst till kunddata. Inte alla tekniska incidenter utlöser anmälningsplikten. Kravet utlöses av risken för enskildas rättigheter och friheter. Om inga personuppgifter exponerats finns typiskt ingen anmälningsskyldighet. Men bedömningen behöver göras, och den behöver dokumenteras internt oavsett om du anmäler eller inte.

Ha tre saker på plats innan något händer:

  1. Veta hur du anmäler till IMY. Det görs via imy.se och anmälningsformuläret finns tillgängligt där.
  2. Ha kontaktuppgifter till ditt webbhotells supportteam tillgängliga och veta hur du snabbt når dem vid en incident. Om du kör WordPress, veta hur du snabbt kan ta ner webbplatsen eller byta lösenord om något är komprometterat.
  3. Ha en aktuell backup att återgå till. Backup är inte primärt ett GDPR-krav, men det är avgörande för hur snabbt du kan hantera och begränsa skadan vid ett intrång.

Se även vår kommande artikel om att välja ett säkert webbhotell för fördjupning om tekniska säkerhetsåtgärder på infrastrukturnivå.

Branschspecifika komplikationer: vissa webbplatser bär mer ansvar

GDPR är samma lag för alla, men riskbilden ser mycket olika ut beroende på vilken typ av verksamhet du driver och vilka personuppgifter din webbplats hanterar. Nedan går vi igenom de branscher och sammanhang där webbplatsägare behöver vara extra uppmärksamma, och vad som specifikt gäller för dem.

Vård och hälsa

Hälsodata är "särskild kategori" av personuppgifter under GDPR (artikel 9) och ges ett starkare skydd än vanliga personuppgifter. Det innebär strängare krav på rättslig grund, tydligare dokumentation och i de flesta fall obligatoriskt dataskyddsombud (DPO). Det är inte frivilligt för de flesta vårdgivare.

Problemet är att hälsodata kan samlas in indirekt, utan att du tänkt på det. Apoteket-fallet illustrerar detta: att köpa ett visst receptfritt läkemedel eller ett test för sexuellt överförd infektion är hälsorelaterad information. Om Meta-pixeln fångar upp sådana köp och skickar dem till Meta har du hanterat hälsodata utan att du kanske insett det. Samma logik gäller ett bokningsformulär hos en fysioterapeut, psykolog eller tandhygienist: redan formulärets fält, vad du ber patienten beskriva, kan utgöra hälsodata.

Utöver GDPR gäller patientdatalagen för vård som ges av legitimerad personal, med sina egna specifika krav. IMY har prioriterat vård och hälsa i sin tillsynsverksamhet 2025. Om du driver en webbplats i den här branschen och inte ännu haft juridisk hjälp för GDPR-granskning är det hög tid att ta det steget.

E-handel

Profilerings- och marknadsföringsaspekterna är huvudrisken för e-handlare. GDPR:s artiklarna 21 och 22 ger kunder rätt att invända mot profilering baserad på köphistorik och mot automatiserat beslutsfattande. Det innebär att du måste informera om när och hur profilering sker, och att kunder aktivt ska kunna säga nej.

Bokföringslagen kräver sju års lagring av verifikationer. Men det är en missuppfattning att det motiverar att spara all köphistorik lika länge. Verifikationerna (faktura, betalning) ska sparas, men personuppgifter som samlats in för marknadsföring bör gallras betydligt tidigare. Separera lagringsplikten för bokföringen från marknadsföringsdata och ha tydliga gallringsrutiner för varje kategori.

Meta-pixeln är en särskild risk för e-handlare, precis som Apoteket-fallet visar. "Automatic Advanced Matching" i kombination med ett kassaflöde kan skicka betalningsrelaterade uppgifter till Meta. Granska dina tracking-skript noggrant och stäng av funktioner du inte aktivt behöver och förstår.

Skola och utbildning

Barn ges ett särskilt skyddsvärde i GDPR. I Sverige kräver behandling av uppgifter om barn under 13 år, baserad på samtycke, att samtycket lämnas av en vårdnadshavare. Märk att samtycke sällan är en giltig rättslig grund för skolor och förskolor överhuvudtaget, eftersom relationen mellan skola och elev präglas av ett ojämnt maktförhållande. Eleven kan inte fritt säga nej utan konsekvenser för sin skolgång, och ett sådant samtycke uppfyller inte GDPR:s krav på att det ska vara frivilligt.

IMY har angivit att tillsyn av barn och unga är ett prioriterat område för 2025 och 2026. Sportadmin-fallet, där data om 2,1 miljoner människor (varav de flesta barn och unga i föreningsidrott) läckte ut, är det tydligaste exemplet på konsekvenserna av bristfällig datasäkerhet i den här kategorin. Har din webbplats ett barn som registrerade användare eller samlar in uppgifter om barn på annat sätt? Se till att ha juridisk vägledning för just den behandlingen.

Föreningar och ideella organisationer

Styrelsen i en förening är personuppgiftsansvarig för föreningens databehandling. Det är inte alltid känt och inte alltid förberett. Att publicera ett medlemsregister på föreningens webbplats, även bakom ett lösenord, kräver tydlig rättslig grund och information till medlemmarna om hur deras uppgifter behandlas.

Är föreningen ett fackförbund, en religiös organisation eller en politisk organisation? Då behandlar du "särskild kategori" av personuppgifter (artikel 9) redan i och med att du för ett medlemsregister. Skyddet är starkare, kraven är strängare. För barn i föreningar gäller att samtycke för behandling av uppgifter om barn under 13 år behöver komma från en vårdnadshavare.

Sportadmin-fallet berör direkt den här kategorin och bör vara obligatorisk läsning för alla som driver system för föreningsidrott, hanterar digitala registreringar eller publiserar laguppställningar och tävlingsresultat med personuppgifter.

Fastighet och mäkleri

Fastighetsmäklare samlar in personnummer och ID-kopior som en naturlig del av affärsprocessen. Penningtvättslagen kräver fem års lagring av viss kundkännedomsdata. Fastighetsmäklarlagen ställer egna krav på dokumentation i upp till tio år. Lagringskraven är alltså längre än i många andra branscher, och det finns goda skäl för dem.

Men spekulantdata, alltså uppgifter om potentiella köpare som tittade på en visning men inte lade bud eller köpte, faller i en annan kategori. Dessa uppgifter har inget lagstiftningsstyrt krav på lång lagring, och en rimlig gallringsrutin är att radera dem inom ett till två år. Har du ett intresseanmälningsformulär på webbplatsen? Kontrollera hur länge de uppgifterna faktiskt sparas.

Rekrytering

Karriärsidor och rekryteringsformulär samlar in känslig persondata: CV, personliga brev, ibland referensuppgifter och löneanspråk. IMY:s rekommendation är att spara kandidatdata i ungefär sex månader efter avslutad rekrytering. Diskrimineringslagen kan ge skäl för lagring upp till två år om en kandidat vill driva ett diskrimineringsärende, men det är ett gränsfall som bör hanteras med försiktighet och tydlig dokumentation.

Spontanansökningar är en gråzon som många webbplatsägare inte tänkt igenom. Det finns ingen tydlig rättslig grund att spara dem längre tid utan att aktivt be om samtycke, och samtycket bör begränsas i tid med en tydlig kommunikation om hur länge uppgifterna sparas. Har du ett formulär för spontanansökningar på din webbplats? Kontrollera att du kommunicerar lagringstiden och att du faktiskt gallrar enligt det du lovat.

Svenska GDPR-sanktioner: en sammanfattning

Tabellen nedan sammanfattar de mest uppmärksammade svenska GDPR-sanktionerna de senaste åren. Det är inte en komplett lista, men den ger en bild av var IMY ser de allvarligaste bristerna och vad som faktiskt leder till kännbara avgifter. Notera att merparten av de stora fallen handlar om tracking-skript och analysverktyg, inte om uppenbara intrång eller illvilja.

Företag År Belopp Orsak
Apoteket 2024 37 MSEK Meta-pixel skickade hälsodata (köp av läkemedel, självtester) till Meta. Upp till 930 000 berörda.
Avanza 2024 15 MSEK Meta-pixel skickade personnummer, kontonummer och värdepappersinnehav till Meta. 1 miljon kunder berörda.
Tele2 2023 12 MSEK Google Analytics överförde personuppgifter till USA utan tillräckliga skyddsåtgärder.
Apohem 2024 8 MSEK Meta-pixel skickade hälsodata till Meta. 15 000 berörda.
Klarna 2022 7,5 MSEK Bristande informationsskyldighet om hur personuppgifter behandlades.
Sportadmin 2025 6 MSEK Bristfällig IT-säkerhet. Kända svagheter åtgärdades inte. 2,1 miljoner personers data läckte på darknet.
CDON 2023 300 000 kr Google Analytics överförde personuppgifter till USA utan tillräckliga skyddsåtgärder.
Diskrimineringsombudsmannen (DO) 2025 100 000 kr Webbformulär läckte känsliga uppgifter (etnicitet, funktionsnedsättning, sexuell läggning) till analysverktyg via felkonfigurerad säkerhetsinställning.

DO-fallet förtjänar en särskild kommentar. En myndighet, med ett webbformulär specifikt avsett för anmälningar om diskriminering, råkade ut för att en felkonfigurerad säkerhetsinställning lät analysverktyget fånga upp svar i formuläret. Känsliga uppgifter om etnicitet, funktionsnedsättning och sexuell läggning registrerades utan att de berörda visste om det. Det är ett exempel på att det inte krävs aktiva felaktiga beslut för att bryta mot GDPR. En teknisk miss räcker.

Titta på mönstret i tabellen: Apoteket, Avanza, Apohem och delvis DO drabbades av skript-relaterade problem. Tele2 och CDON av analysverktygsproblematik. Sportadmin av bristfällig säkerhet. Det är inte ovanliga scenarion. Det är vardag för tusentals svenska webbplatser.

Din GDPR-checklista: sammanfattning och nästa steg

GDPR-arbete är inte ett engångsprojekt som du sätter av en dag och sedan kan glömma. Regelverket förändras, IMY ger löpande ny vägledning, webbplatser förändras och tredjepartsskript uppdaterar sina funktioner. Sätt en påminnelse att gå igenom checklistan en gång per år, och uppdatera din integritetspolicy och behandlingsförteckning varje gång du gör en förändring som påverkar hur personuppgifter behandlas.

Gå igenom punkterna nedan och identifiera vad du behöver åtgärda:

  • Cookiebanner med aktivt samtycke, lika enkel att avvisa som att acceptera. Inga dark patterns. Skript blockeras tills samtycke ges.
  • Integritetspolicy på plats, specifik för din webbplats, uppdaterad och länkad från sidfoten, bannern och formuläret.
  • Signerat databehandlingsavtal (DPA) med ditt webbhotell.
  • Kontaktformulär med länk till integritetspolicy och utan förifyllda marknadsföringskryssrutor. Gallringsrutin för formulärdata.
  • Aktivt beslut om analysverktyg, dokumenterat och konfigurerat restriktivt. Giltigt samtycke innan skriptet körs.
  • Inventering och genomgång av tredjepartsskript, särskilt Meta-pixeln och liknande tracking. Kvartalsvisa kontroller.
  • Behandlingsförteckning upprättad, aktuell och tillgänglig för granskning.
  • Plan för dataintrång: du vet hur du anmäler till IMY, hur du når ditt webbhotells support och du har en aktuell backup.

Bra nästa steg:

Är du osäker på var du ska börja? Börja med cookiebannern och integritetspolicyn. De är det mest synliga och det som besökare och IMY lättast kan granska utan teknisk kompetens. Gå sedan vidare med databehandlingsavtalet och en inventering av dina skript. En sak i taget. Det är tillräckligt för att komma en bra bit på vägen.