Gäller GDPR för enmansföretag?

Ja. Om du behandlar personuppgifter om EU-medborgare gäller GDPR, oavsett företagets storlek. Behandlar du bara uppgifter om fysiska personer i rent personliga sammanhang gäller inte GDPR.

Behöver man ha ett dataskyddsombud (DPO)?

Inte alla. Krav på DPO gäller framför allt offentliga myndigheter och organisationer som behandlar känsliga personuppgifter i stor skala. De flesta SMB-företag behöver inte ha ett formellt dataskyddsombud, men det är bra att ha en ansvarig person internt.

Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?

Den personuppgiftsansvarige beslutar om ändamål och medel för behandlingen (vanligtvis ditt företag). Personuppgiftsbiträdet behandlar uppgifter å den ansvariges vägnar (en leverantör du anlitar). Relationen ska formaliseras i ett personuppgiftsbiträdesavtal.

Hur länge får man spara kunduppgifter?

Det beror på ändamålet. Bokföringslagen kräver att bokföringsunderlag (inklusive fakturor med kunduppgifter) sparas i 7 år. Kontaktuppgifter för marknadsföring bör raderas när ändamålet inte längre är relevant, typiskt efter 2 till 3 år utan aktivitet om inget annat avtalats.

Vad händer om man råkar ut för ett dataintrång?

En personuppgiftsincident (dataintrång) ska i de flesta fall anmälas till IMY inom 72 timmar om den sannolikt medför risk för de registrerade. Om risken är hög ska också de berörda personerna informeras.

Teknik & IT

GDPR för företag — vad lagen kräver och hur du uppfyller den

GDPR (General Data Protection Regulation), på svenska dataskyddsförordningen, är en EU-förordning som reglerar hur personuppgifter om EU-medborgare får samlas in, lagras och användas. Den gäller alla verksamheter som behandlar sådana personuppgifter, oavsett var verksamheten är etablerad eller hur liten den är.

Uppdaterad: maj 2025

GDPR gäller ditt företag — oavsett storlek

Det vanligaste missförståndet om GDPR är att det bara gäller stora bolag. Det stämmer inte. Alla som behandlar personuppgifter om EU-medborgare, exempelvis namn och e-postadresser i ett kundregister, omfattas.

Personuppgifter är all information som kan kopplas till en identifierbar person: namn, e-post, telefonnummer, IP-adresser, platsdata med mera. Behandlar du sådana uppgifter är GDPR tillämplig.

De sex grundprinciperna

GDPR bygger på sex grundprinciper för hur personuppgifter får behandlas:

Laglighet, korrekthet och öppenhet: behandlingen ska ha rättslig grund och den registrerade ska informeras om hur uppgifterna används.

Ändamålsbegränsning: uppgifter samlade för ett syfte får inte användas för ett annat syfte utan nytt samtycke eller annan rättslig grund.

Uppgiftsminimering: samla bara de uppgifter du faktiskt behöver för ändamålet.

Korrekthet: felaktiga uppgifter ska rättas eller raderas.

Lagringsminimering: spara inte uppgifter längre än nödvändigt.

Integritet och konfidentialitet: skydda uppgifterna mot obehörig åtkomst och otillåten behandling.

Rättsliga grunder för behandling

All behandling av personuppgifter måste ha en rättslig grund enligt GDPR. De vanligaste grunderna för ett vanligt företag är: samtycke (personen har givit aktivt samtycke), avtal (behandlingen är nödvändig för att fullgöra ett avtal med personen), rättslig förpliktelse (lagen kräver det, exempelvis bokföringslagen), och berättigat intresse (behandlingen är nödvändig för verksamhetens legitima intressen och väger tyngre än den registrerades intresse av skydd).

Vanliga misstag och hur du undviker dem

Att inte ha rättslig grund för nyhetsbrev och marknadsföring. Samtycke ska vara aktivt och specifikt. En förkryssad ruta räcker inte. Lösning: implementera ett tydligt opt-in-förfarande.

Att sakna personuppgiftsbiträdesavtal med leverantörer. Om du anlitar en leverantör som behandlar personuppgifter å dina vägnar (bokföringsprogram, CRM, molntjänst) krävs ett skriftligt PUB-avtal. Lösning: granska alla leverantörsrelationer och säkra att avtal finns.

Att behålla personuppgifter längre än nödvändigt. Lösning: dokumentera hur länge du sparar olika kategorier av uppgifter och radera när ändamålet är uppfyllt.

Att sakna en tydlig integritetspolicy på webbplatsen. Alla webbplatser som samlar in personuppgifter (inklusive via cookies) ska ha en integritetspolicy. Lösning: publicera en specifik, ärlig integritetspolicy.

Sanktioner vid GDPR-överträdelse

IMY (Integritetsskyddsmyndigheten, tidigare Datainspektionen) är tillsynsmyndigheten i Sverige. Sanktionsavgifterna kan uppgå till 20 miljoner euro eller 4% av global årsomsättning, det belopp som är högst av de två.

I praktiken riktas de största böterna mot stora bolag. Mindre verksamheter som aktivt arbetar med GDPR och har dokumentation på plats möter sällan drastiska sanktioner vid enstaka brister. Men att helt ignorera GDPR är en risk som inte är värd att ta.

Dela artikeln

LinkedIn X Facebook E-post

Läs också

Teknik & IT

Molntjänster — vad är det och vad passar ditt företag?

GDPR och molntjänster hänger ihop — guide till vad du behöver tänka på när data lagras hos en leverantör.

Läs artikeln

Juridik & ekonomi
Bolagsformer i Sverige — guide och jämförelse 2025
GDPR-ansvar påverkas av bolagsform och organisationsstruktur — guide till bolagsformerna.

Vanliga frågor om GDPR för företag

: Ja. Om du behandlar personuppgifter om EU-medborgare gäller GDPR, oavsett företagets storlek. Behandlar du bara uppgifter om fysiska personer i rent personliga sammanhang gäller inte GDPR.
: Inte alla. Krav på DPO gäller framför allt offentliga myndigheter och organisationer som behandlar känsliga personuppgifter i stor skala. De flesta SMB-företag behöver inte ha ett formellt dataskyddsombud, men det är bra att ha en ansvarig person internt.
: Den personuppgiftsansvarige beslutar om ändamål och medel för behandlingen (vanligtvis ditt företag). Personuppgiftsbiträdet behandlar uppgifter å den ansvariges vägnar (en leverantör du anlitar). Relationen ska formaliseras i ett personuppgiftsbiträdesavtal.
: Det beror på ändamålet. Bokföringslagen kräver att bokföringsunderlag (inklusive fakturor med kunduppgifter) sparas i 7 år. Kontaktuppgifter för marknadsföring bör raderas när ändamålet inte längre är relevant, typiskt efter 2 till 3 år utan aktivitet om inget annat avtalats.
: En personuppgiftsincident (dataintrång) ska i de flesta fall anmälas till IMY inom 72 timmar om den sannolikt medför risk för de registrerade. Om risken är hög ska också de berörda personerna informeras.