Sveriges dataskyddslagar: GDPR, dataskyddslagen och IMY (2026)

Sverige tillämpar EU:s allmänna dataskyddsförordning (GDPR, förordning (EU) 2016/679) direkt som EU-rätt och kompletterar den med dataskyddslagen (2018:218), som sätter åldern för barns samtycke till 13 år, ger förstärkt skydd för svenska personnummer och reglerar brottsdatabehandling. IMY utövar tillsyn över båda regelverken.
Sverige har en av världens äldsta dataskyddstraditioner. Den ursprungliga datalagen är från 1973, vilket placerade landet decennier före de flesta andra länder när det gäller att erkänna personuppgifters rättsliga betydelse. I dag tillämpar Sverige ett flerskiktat regelverk: EU:s allmänna dataskyddsförordning gäller direkt som EU-rätt, dataskyddslagen (2018:218) fyller igen de nationella luckorna, och Integritetsskyddsmyndigheten (IMY) utövar tillsyn över hela strukturen.
Den här guiden går igenom hela omfånget av Sveriges dataskydd: den konstitutionella grunden och dess spänningar med GDPR, de lagar som reglerar behandlingen, myndigheten som utövar tillsyn, de sanktionsavgifter som beslutats och de krav på regelefterlevnad som varje organisation i Sverige måste uppfylla under 2026.
För det bredare europeiska sammanhanget, se vår guide om EU:s dataskyddslagar. Sveriges regler om inspelning och avlyssning behandlas separat i Sveriges inspelningslagar.
Snabbt svar: Sveriges dataskyddsregelverk i korthet
Sveriges dataskyddsregelverk vilar på tre pelare.
För det första gäller EU:s allmänna dataskyddsförordning (GDPR, förordning (EU) 2016/679) direkt som EU-rätt utan att behöva införlivas i nationell lagstiftning. Den har varit i kraft sedan den 25 maj 2018.
För det andra kompletterar dataskyddslagen (lag 2018:218 med kompletterande bestämmelser till EU:s dataskyddsförordning) GDPR i de frågor där medlemsstaterna har utrymme för egna regler, bland annat barns samtyckesålder, det förstärkta skyddet för svenska personnummer och privata aktörers behandling av brottsdata.
För det tredje är Integritetsskyddsmyndigheten (IMY, som fram till 2021 hette Datainspektionen) den oberoende tillsynsmyndighet som utreder klagomål, genomför granskningar, utfärdar vägledning och beslutar om sanktionsavgifter.
Organisationer som är etablerade i Sverige, eller som behandlar personuppgifter om personer i Sverige, måste följa samtliga tre nivåer.
GDPR: Sveriges centrala rättsliga instrument
GDPR är en direkt tillämplig EU-förordning. Den behövde inte omvandlas till svensk lag. Samtliga bestämmelser i GDPR har gällt i Sverige sedan den 25 maj 2018, med samma rättsliga verkan som en svensk lag.
GDPR fastställer dataskyddets grundläggande principer: laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet. Dessa principer binder varje organisation som behandlar personuppgifter om personer i Sverige, oavsett om organisationen har sitt säte i Sverige eller inte.
GDPR:s territoriella räckvidd är medvetet vid. Ett företag etablerat utanför EU måste följa GDPR när det erbjuder varor eller tjänster till personer i Sverige, eller när det bevakar beteendet hos personer i Sverige. Denna extraterritoriella räckvidd innebär att även icke-europeiska företag som betjänar svenska användare måste förstå de svenska dataskyddskraven.
Dataskyddslagen (2018:218)
Dataskyddslagen trädde i kraft den 25 maj 2018, samma dag som GDPR. Den ersätter inte GDPR, utan fyller i de områden där GDPR uttryckligen tillåter eller kräver nationell lagstiftning.
En anmärkningsvärd utvidgning är att den svenska lagens kompletterande bestämmelser inte bara gäller behandling inom EU-rättens tillämpningsområde, utan även behandling inom verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget (polissamarbete och straffrättsligt samarbete). Det innebär att GDPR-ramverket styr svensk databehandling i bredare utsträckning än vad som kan vara fallet i andra medlemsstater.
Lagens viktigaste nationella bestämmelser omfattar:
Samtyckesålder för barn. Sverige har satt den lägsta samtyckesåldern för informationssamhällets tjänster till 13 år, en av de lägsta som tillåts enligt GDPR artikel 8 (som medger åldrar mellan 13 och 16 år). Denna gräns gäller barn som bor i Sverige, oavsett var den personuppgiftsansvarige är etablerad.
Personnummer. Varje person som är bosatt i Sverige har ett personnummer, en universell identifierare som används inom sjukvård, bankverksamhet, beskattning och officiella register. Dataskyddslagen ger personnummer ett förstärkt skydd utöver vanliga personuppgifter. Behandling av personnummer utan samtycke är endast tillåten när det är "klart motiverat" med hänsyn till ändamålet, behovet av säker identifiering eller något annat beaktansvärt skäl. Denna i praktiken nästan särskilda kategoristatus förhindrar rutinmässig insamling.
Brottsdata. Lagen reglerar hur personuppgifter om fällande domar i brottmål och lagöverträdelser får behandlas av privata aktörer, utöver vad som följer enbart av GDPR artikel 10.
Utvidgat tillämpningsområde. Lagens bestämmelser gäller även nationell säkerhet och annan verksamhet som ligger utanför EU:s normala lagstiftningskompetens, vilket ger IMY tillsyn över ett bredare spektrum av behandlingar än i många jämförbara länder.
Kompletteringsförordningen (2018:219)
Förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning kompletterar dataskyddslagen med processuella regler. Den anger vilka myndigheter som får behandla belastningsregisteruppgifter och fastställer processuella krav för IMY:s tillsynsbefogenheter.
Kamerabevakningslagen (2018:1200)
Sverige har en separat lag som reglerar kamerabevakning. Från och med den 1 april 2025 togs tillståndskravet för kamerabevakning på allmän plats bort. Organisationer behöver inte längre IMY:s förhandsgodkännande innan de installerar kameror på allmän plats. De måste dock fortfarande genomföra och dokumentera en intresseavvägning, och måste följa både kamerabevakningslagen och GDPR.
Lagen om elektronisk kommunikation (2022:482)
Denna lag genomför EU:s e-dataskyddsdirektiv och reglerar cookies, trafikuppgifter och konfidentialitet vid elektronisk kommunikation. Post- och telestyrelsen (PTS) utövar tillsyn över efterlevnaden av e-dataskyddsreglerna. Organisationer måste inhämta informerat samtycke innan icke nödvändiga cookies placeras på användares enheter.
Konstitutionell grund och offentlighetsprincipen
Sverige har en unik konstitutionell särdrag som direkt formar landets dataskyddslandskap: offentlighetsprincipen, det vill säga allmänhetens rätt att ta del av allmänna handlingar. Principen är inskriven i tryckfrihetsförordningen och yttrandefrihetsgrundlagen, och utgör en av hörnstenarna i den svenska demokratin.
Enligt offentlighetsprincipen är allmänna handlingar som utgångspunkt offentliga. Vem som helst kan begära ut och få del av allmänna handlingar hos svenska myndigheter utan att behöva motivera sin begäran. Principen går tillbaka till 1766 och betraktas som ett grundläggande demokratiskt skydd.
GDPR krockar direkt med denna tradition. Myndigheter måste publicera och lämna ut personuppgifter som förekommer i allmänna handlingar, samtidigt som GDPR begränsar utlämnande av personuppgifter. Svensk rätt löser denna spänning genom att undanta offentlighetsprincipen från GDPR:s tillämpningsområde: där den konstitutionella principen gäller, sätter GDPR den inte åt sidan.
Medieundantaget och dess utnyttjande
En näraliggande grundlagsbestämmelse skapar bredare undantag för medier. Enligt dataskyddslagen gäller inte GDPR och dess kompletterande bestämmelser i den mån de skulle strida mot skyddet för tryck- och yttrandefriheten.
I praktiken kan svenska webbpublicister få ett utgivningsbevis genom att registrera en ansvarig utgivare. När beviset väl beviljats behandlas tjänsten som grundlagsskyddad media, vilket potentiellt undantar den helt från GDPR:s krav.
Detta system har utnyttjats i stor omfattning. Webbplatser har använt utgivningsbevis för att sprida personuppgifter som adresser, inkomster, skatteuppgifter och brottsregister på sätt som GDPR normalt skulle förbjuda.
Domstolarna börjar sätta stopp
Rättsläget förändrades betydligt under 2024 och 2025. Flera svenska förvaltningsdomstolar slog i mars och april 2024 fast att varje enskilt fall kräver en individuell proportionalitetsbedömning mellan integritetsskyddet enligt GDPR och det grundlagsskyddade tryck- och yttrandefrihetsskyddet. Ett generellt undantag räcker inte.
I februari 2025 meddelade Högsta domstolen två vägledande avgöranden som fastslog att Sveriges sätt att lämna ut personuppgifter i brottmålsdomar strider mot EU-rätten. Domstolen fann att det nuvarande svenska regelverket om offentlighet inte är förenligt med GDPR på det sätt som grundlagsbestämmelserna ursprungligen var avsedda att fungera.
Mål C-199/24 vid EU-domstolen prövar ytterligare gränserna för Sveriges konstitutionella undantag i förhållande till EU-rätten. Utgången kommer att få stor betydelse för hur Sverige balanserar tryckfrihet och dataskydd.
Regeringens förslag till grundlagsändring
Den 20 november 2024 lade den svenska regeringen fram ett omfattande förslag till grundlagsändring: att begränsa skyddet för tryck- och yttrandefrihet när publicerat innehåll utgör en "otillbörlig integritetskränkning". Förslaget tar särskilt sikte på söktjänster som publicerar personuppgifter som adresser, inkomster och belastningsregisteruppgifter.
Om förslaget genomförs skulle ändringen göra det möjligt för GDPR att tillämpas i större utsträckning på dessa tjänster. Det föreslagna ikraftträdandedatumet är den 1 januari 2027. Remisstiden avslutades i mars 2025 och förslaget bereds för närvarande i lagstiftningsprocessen.
Integritetsskyddsmyndigheten (IMY): Sveriges tillsynsmyndighet
IMY är Sveriges oberoende nationella tillsynsmyndighet för dataskydd. Fram till januari 2021 hette myndigheten Datainspektionen. Namnbytet speglade ett utökat uppdrag och en förändrad offentlig profil.

IMY ansvarar för att:
- utöva tillsyn över efterlevnaden av GDPR, dataskyddslagen och all relaterad dataskyddslagstiftning.
- utreda klagomål från enskilda om eventuella GDPR-överträdelser.
- genomföra proaktiva granskningar och inspektioner av organisationer.
- besluta om sanktionsavgifter och förelägganden.
- tillhandahålla vägledning, rekommendationer och mallar till organisationer och allmänheten.
- delta i Europeiska dataskyddsstyrelsen (EDPB) som Sveriges representant.
- driva en regulatorisk sandlåda för organisationer som testar innovativ databehandling.
- agera som Sveriges ansvariga tillsynsmyndighet i gränsöverskridande ärenden som rör företag med sitt huvudsakliga etableringsställe inom EU i Sverige, däribland Spotify.
IMY:s prioriterade tillsynsområden för 2026
Inför 2026 har IMY pekat ut tre prioriterade områden:
Brottsförebyggande verksamhet. IMY kommer att granska hur personuppgifter används inom brottsförebyggande verksamhet, både av myndigheter och privata aktörer.
Barn och unga. Att stärka skyddet för minderårigas personuppgifter på nätet är ett centralt fokusområde, delvis drivet av Sportadmin-ärendet och omfattningen av 2025 års dataintrång via darknet som drabbade barn.
AI inom den offentliga sektorn. IMY kommer att granska myndigheters användning av artificiell intelligens, särskilt system som hanterar känsliga personuppgifter och situationer där enskilda inte kan välja bort AI-baserad behandling.
IMY inrättade också en särskild vägledningsenhet från och med den 1 januari 2026, för att ge organisationer mer lättillgängligt och snabbare stöd i frågor om regelefterlevnad.
Rekordmånga incidentanmälningar 2025
IMY tog emot 12 276 anmälningar om personuppgiftsincidenter under 2025, den högsta årliga noteringen sedan GDPR började tillämpas. Det motsvarar en ökning med 89 procent jämfört med 2024. IMY kopplade delvis ökningen till stora dataläckor via darknet som drabbade svenska tjänsteleverantörer, av vilka många exponerade barns personuppgifter efter utpressningsförsök mot organisationerna. Det totala antalet ärenden hos IMY ökade med 56 procent under 2025, till följd av den kombinerade ökningen av incidentanmälningar och enskilda klagomål.
Rättsliga grunder och samtyckeskrav
Varje behandling kräver en giltig rättslig grund enligt GDPR artikel 6. De sex tillgängliga grunderna är:
Samtycke. Den registrerade har lämnat ett frivilligt, specifikt, informerat och otvetydigt samtycke. Samtycke får inte vara ihopbuntat, förikryssat eller framtvingat. Det får inte finnas någon maktobalans mellan den registrerade och den personuppgiftsansvarige.
Avtal. Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade är part i, eller för att vidta åtgärder på begäran av den registrerade innan ett avtal ingås.
Rättslig förpliktelse. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Grundläggande intressen. Behandlingen är nödvändig för att skydda den registrerades eller en annan fysisk persons grundläggande intressen.
Myndighetsutövning eller uppgift av allmänt intresse. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Svenska myndigheter använder ofta denna grund, men får inte åberopa grunden om berättigat intresse.
Berättigat intresse. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, under förutsättning att dessa intressen inte åsidosätts av den registrerades intressen eller grundläggande rättigheter. Myndigheter får inte åberopa denna grund. IMY bekräftade i ett beslut 2025 att en dokumenterad intresseavvägning krävs, och att ansvaret för att visa efterlevnad vilar helt på den personuppgiftsansvarige.
Särskilda kategorier av personuppgifter
Behandling av särskilda kategorier av personuppgifter, inklusive hälsouppgifter, genetiska uppgifter, biometriska uppgifter som används för unik identifiering, uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös övertygelse och medlemskap i fackförening, kräver både en rättslig grund enligt artikel 6 och ett specifikt undantag enligt GDPR artikel 9. Huvudregeln är att behandling av särskilda kategorier är förbjuden. Laglig behandling förutsätter att båda villkoren är uppfyllda.
Registrerades rättigheter
GDPR ger enskilda en omfattande uppsättning rättigheter som svenska organisationer måste respektera.
Rätt till tillgång. Enskilda kan begära bekräftelse på om deras personuppgifter behandlas, samt en kopia av uppgifterna. Tillsynsärendet mot Spotify uppkom delvis på grund av att Spotify inte tydligt förklarade hur de uppgifter som lämnades ut användes.
Rätt till rättelse. Enskilda kan få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade.
Rätt till radering (rätten att bli bortglömd). Enskilda kan begära radering av sina uppgifter under vissa förutsättningar, bland annat när uppgifterna inte längre är nödvändiga för det ändamål de samlades in för. Googles sanktionsavgift uppkom på grund av systematiska brister i att respektera begäranden om avindexering. IMY beslutade ursprungligen om 75 miljoner kronor i mars 2020, vilket efter överklagande sänktes till 50 miljoner kronor (slutligt, november 2021).
Rätt till begränsning. Enskilda kan begränsa behandlingen medan en tvist om uppgifternas korrekthet eller laglighet pågår.
Rätt till dataportabilitet. När behandlingen grundar sig på samtycke eller avtal och utförs automatiserat kan enskilda få ut sina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format.
Rätt att invända. Enskilda kan invända mot behandling som grundar sig på berättigat intresse eller som sker för direktmarknadsföring. H&M:s sanktionsavgift på 350 000 kronor 2023 uppkom på grund av fortsatt direktmarknadsföring trots invändningar från registrerade.
Rättigheter kopplade till automatiserat beslutsfattande. Enskilda har rätt att inte bli föremål för beslut som fattas helt automatiserat, inklusive profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar dem.
Krav vid personuppgiftsincidenter

Sverige följer GDPR:s regelverk för anmälan av personuppgiftsincidenter.
Anmälan till IMY: 72-timmarsregeln
Personuppgiftsansvariga måste anmäla en personuppgiftsincident till IMY inom 72 timmar efter att de fått kännedom om den, förutsatt att incidenten sannolikt medför en risk för enskildas fri- och rättigheter. Anmälan krävs inte om incidenten sannolikt inte medför någon risk.
Anmälningar lämnas in via IMY:s elektroniska anmälningssystem. Om inte all information finns tillgänglig inom 72 timmar kan den personuppgiftsansvarige lämna en preliminär anmälan och komplettera med ytterligare uppgifter inom fyra veckor.
Information till berörda registrerade
När en incident sannolikt medför en hög risk för enskildas fri- och rättigheter måste den personuppgiftsansvarige även utan onödigt dröjsmål informera de berörda registrerade. Informationen ska förklara incidentens karaktär, sannolika konsekvenser och vidtagna eller föreslagna åtgärder.
Personuppgiftsbiträdens skyldigheter
Om en incident inträffar hos ett personuppgiftsbiträde ska biträdet utan onödigt dröjsmål underrätta den personuppgiftsansvarige. Den rättsliga skyldigheten att anmäla till IMY ligger kvar hos den personuppgiftsansvarige.
Konsekvenser av utebliven eller sen anmälan
Att underlåta att anmäla en incident utgör en fristående överträdelse av GDPR, vilket kan medföra sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen. IMY har vid flera tillfällen särskilt beivrat anmälningsskyldigheten.
Dataskyddsombud
Sverige följer GDPR:s krav på dataskyddsombud utan att införa ytterligare nationella skyldigheter utöver vad GDPR kräver.
Utnämning av ett dataskyddsombud är obligatorisk för:
- Samtliga myndigheter och offentliga organ.
- Organisationer vars kärnverksamhet kräver regelbunden och systematisk övervakning av enskilda i stor omfattning.
- Organisationer vars kärnverksamhet innefattar behandling i stor omfattning av särskilda kategorier av personuppgifter.
Utnämnda dataskyddsombud ska anmälas till IMY. Svensk lag ålägger dataskyddsombud tystnadsplikt avseende uppgifter de fått del av i sitt uppdrag. IMY tillhandahåller en anmälningsblankett och publicerar vägledning för dataskyddsombud. Ombudet ska ges de resurser som krävs för att fullgöra sina uppgifter och måste kunna arbeta oberoende.
Konsekvensbedömningar avseende dataskydd
En konsekvensbedömning avseende dataskydd är obligatorisk innan behandling som sannolikt medför en hög risk för enskildas fri- och rättigheter påbörjas. IMY har publicerat en detaljerad förteckning över de typer av behandling som kräver en konsekvensbedömning, tillsammans med vägledning i två delar och en mall i tre delar.
IMY:s kriterier för när en konsekvensbedömning behövs omfattar bland annat:
- Automatiserat beslutsfattande med rättsliga eller på liknande sätt betydande effekter.
- Behandling i stor omfattning av känsliga personuppgifter eller uppgifter av mycket personlig karaktär.
- Sammanställning av uppgifter från två eller flera källor på ett sätt som registrerade inte rimligen kan förvänta sig.
- Behandling av uppgifter om utsatta personer, till exempel anställda, barn och patienter.
- Användning av ny teknik eller nya organisatoriska lösningar.
- Behandling av uppgifter i syfte att hindra enskilda från att få tillgång till en tjänst eller ingå ett avtal.
Fallet med ansiktsigenkänning i en skola i Skellefteå, Sveriges första GDPR-sanktion, grundades delvis på att skolan inte genomförde någon konsekvensbedömning innan den införde biometrisk närvarokontroll.
Gränsöverskridande dataöverföringar

Sverige inför inga överföringsbegränsningar utöver vad GDPR kräver. Överföringar inom Europeiska ekonomiska samarbetsområdet (EES) sker utan begränsning.
Vid överföring till länder utanför EES som saknar ett beslut om adekvat skyddsnivå från EU-kommissionen måste organisationer använda lämpliga skyddsåtgärder:
- Standardavtalsklausuler som antagits av Europeiska kommissionen.
- Bindande företagsbestämmelser som godkänts av en behörig tillsynsmyndighet.
- Uppförandekoder eller certifieringsmekanismer med bindande åtaganden från mottagaren.
IMY har visat att myndigheten tar överföringsreglerna på stort allvar. Sanktionsavgifterna 2023 mot Tele2 (12 miljoner kronor) och CDON (300 000 kronor) för användning av Google Analytics var bland de första sanktionerna i hela EU för otillräckliga skyddsåtgärder vid överföringar mellan EU och USA efter Schrems II-domen. Sanktionsavgifterna 2024 mot Apoteket, Apohem och Avanza Bank gällde samtliga överföring av personuppgifter till Meta via spårningspixlar utan adekvata skyddsåtgärder.
Sverige som ansvarig tillsynsmyndighet
Enligt GDPR:s system med en enda kontaktpunkt (one-stop-shop) står ett företag med sitt huvudsakliga etableringsställe inom EU i Sverige i första hand under tillsyn av IMY som ansvarig tillsynsmyndighet. Spotify AB, med huvudkontor i Stockholm, är det mest kända exemplet. IMY:s sanktionsavgift på 58 miljoner kronor mot Spotify 2023 följde av IMY:s roll som ansvarig tillsynsmyndighet i det gränsöverskridande ärendet.
EU:s AI-förordning och dess samspel med GDPR
EU:s AI-förordning (förordning (EU) 2024/1689) trädde i kraft i augusti 2024. Den gäller i Sverige som EU-rätt och överlappar i stor utsträckning med GDPR:s skyldigheter.
Centrala beröringspunkter
AI-system med hög risk enligt AI-förordningen måste uppfylla både förordningens krav och GDPR. När ett AI-system behandlar personuppgifter gäller båda regelverken samtidigt. Personuppgiftsansvariga som använder högrisksystem som behandlar personuppgifter måste uppfylla både GDPR:s krav på rättslig grund och AI-förordningens krav på överensstämmelse.
IMY och andra dataskyddsmyndigheter inom EU har signalerat att GDPR-tillsynen kommer att omfatta AI-system som behandlar personuppgifter på ett olagligt sätt, vilket skapar överlappande regulatorisk exponering.
Sveriges nationella styrningsram för AI
Den svenska regeringen publicerade utredningsbetänkandet SOU 2025:101, som föreslår en nationell AI-lag och AI-förordning för att komplettera EU:s AI-förordning. Det föreslagna regelverket:
- utser Post- och telestyrelsen (PTS) till huvudsaklig samordnande myndighet och nationell kontaktpunkt för tillsyn enligt AI-förordningen.
- pekar ut elva marknadskontrollmyndigheter med ansvar för AI-tillsyn inom olika sektorer.
- inrättar en nationell regulatorisk sandlåda för AI.
- hanterar sekretess- och tystnadspliktsfrågor som är specifika för svensk rätt.
Den nationella AI-lagen och AI-förordningen ska enligt planen träda i kraft senast den 2 augusti 2026, det datum då AI-förordningens huvudsakliga krav för högrisksystem börjar tillämpas.
IMY har utsett "AI inom den offentliga sektorn" till ett prioriterat tillsynsområde för 2026, vilket signalerar att offentliga organ som använder AI-system som hanterar personuppgifter kommer att granskas direkt. I januari 2025 gav IMY och Myndigheten för digital förvaltning (Digg) tillsammans ut riktlinjer för att stödja användningen av generativ AI inom offentlig förvaltning samtidigt som dataskyddsreglerna följs.
Ansiktsigenkänning: från tillsyn till lagstiftning
Sveriges föränderliga syn på ansiktsigenkänning illustrerar de praktiska spänningar som AI-förordningen ger upphov till.
År 2019 beslutade IMY om Sveriges första GDPR-sanktion någonsin, 200 000 kronor, mot en skola i Skellefteå för att ha använt ansiktsigenkänning för att registrera elevers närvaro. År 2021 ålade IMY Polismyndigheten en sanktionsavgift på 2,5 miljoner kronor för att olovligen ha behandlat biometriska uppgifter med hjälp av applikationen Clearview AI, utan att ha genomfört den konsekvensbedömning som krävdes.
I en tydlig kursändring lämnade den svenska regeringen proposition 2025/26:150 till riksdagen, med förslag om ett uttryckligt lagstöd för polisens användning av AI-baserad ansiktsigenkänning i realtid. Om lagen antas skulle den omfatta grova brott med ett straffvärde på fyra års fängelse eller mer, däribland mord, våldtäkt och vapenbrott, samt förebyggande av terrorism och eftersökning av försvunna personer. Användning kräver förhandstillstånd från åklagare. Polisen får använda tekniken utan tillstånd i brådskande fall, men måste då inhämta tillstånd inom 24 timmar. All användning ska rapporteras till IMY.
EU:s AI-förordning klassificerar biometrisk fjärridentifiering i realtid på allmän plats som högrisk och, med begränsade undantag för brottsbekämpande myndigheter, som förbjuden. Sveriges föreslagna lag ligger i den yttersta gränsen av vad AI-förordningen tillåter för brottsbekämpande ändamål. IMY och organisationer för medborgerliga fri- och rättigheter har uttryckt farhågor om proportionalitet och risken för att tillämpningsområdet gradvis vidgas.
Uppmärksammade tillsynsbeslut från IMY
IMY har avsevärt ökat sin tillsynsverksamhet under den tid GDPR har varit i kraft. Följande ärenden utgör de mest betydelsefulla besluten.
Skellefteå-skolan: 200 000 kronor (2019). Sveriges första GDPR-sanktion. En skola testade ansiktsigenkänning för att registrera 22 elevers närvaro under tre veckor. IMY konstaterade överträdelser av uppgiftsminimeringsprincipen (artikel 5), olovlig behandling av biometriska uppgifter (artikel 9) och underlåtenhet att genomföra en konsekvensbedömning (artiklarna 35-36). Ärendet visade att Sverige var berett att bestraffa offentliga aktörer och blev vägledande för tillsyn av biometriska uppgifter.
Google: 50 miljoner kronor, slutligt belopp (2020-2022). IMY beslutade om 75 miljoner kronor i mars 2020, efter en granskning 2017 och en uppföljande granskning 2018 som visade fortsatta brister i efterlevnaden av begäranden om avindexering. Förvaltningsrätten i Stockholm sänkte sanktionsavgiften till 52 miljoner kronor i november 2020. Kammarrätten i Göteborg sänkte den ytterligare till 50 miljoner kronor i november 2021. Högsta förvaltningsdomstolen meddelade inte prövningstillstånd i december 2022, vilket gjorde 50 miljoner kronor till det slutliga beloppet. Vid tidpunkten för det ursprungliga beslutet var det en av de största GDPR-sanktionerna som beslutats av någon nordisk dataskyddsmyndighet.
Polismyndigheten: 2,5 miljoner kronor (2021). IMY beslutade om en sanktionsavgift mot Polismyndigheten för olovlig behandling av biometriska uppgifter med hjälp av ansiktsigenkänningsapplikationen Clearview AI. Polisen underlät att genomföra en konsekvensbedömning och bröt mot brottsdatalagen. IMY beslutade också om obligatorisk personalutbildning.
Klarna: 7,5 miljoner kronor (2022). IMY konstaterade att Klarna Bank inte lämnade tillräcklig information om den rättsliga grunden och syftet med behandlingen av personuppgifter i en av sina tjänster, lämnade vilseledande information om mottagare av uppgifter vid utlämning till kreditupplysningsföretag, samt gav ofullständig information om registrerades rättigheter.
Spotify: 58 miljoner kronor (2023). I egenskap av ansvarig tillsynsmyndighet i detta gränsöverskridande ärende konstaterade IMY att Spotify lämnade ut personuppgifter när enskilda utövade sin rätt till tillgång, men inte tydligt förklarade hur uppgifterna användes. Beskrivningarna av uppgiftskategorier, lagringstider och överföringar till tredjeland var otillräckliga. Motsvarar cirka 5 miljoner euro.
Trygg-Hansa: 35 miljoner kronor (2023). Försäkringsbolaget Trygg-Hansa fick en sanktionsavgift på cirka 2,8 miljoner euro efter att IMY konstaterat att kunduppgifter för 650 000 kunder var åtkomliga utan korrekt autentisering mellan oktober 2018 och februari 2021, till följd av en felkonfigurerad webbapplikation.
Google Analytics: Tele2 12 miljoner kronor, CDON 300 000 kronor (2023). Efter 101 klagomål som utlöstes av Schrems II-domen beslutade IMY om de första sanktionerna i EU för användning av Google Analytics utan adekvata skyddsåtgärder vid dataöverföringar till USA. Ärendena var vägledande och signalerade tillsynsmyndigheternas förväntningar på analysverktyg som används av europeiska företag.
H&M: 350 000 kronor (2023). IMY beslutade om en sanktionsavgift mot modekedjan för att ha fortsatt att använda personuppgifter för direktmarknadsföring efter att ha mottagit invändningar från registrerade, i strid med GDPR artikel 21.
Apoteket: 37 miljoner kronor (2024). Apotekskedjan Apoteket använde Metas spårningspixel på sin webbplats utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda kundernas personuppgifter, inklusive potentiellt känsliga hälsorelaterade surfuppgifter. Detta utgjorde en olovlig överföring av personuppgifter till Meta.
Apohem: 8 miljoner kronor (2024). Nätapoteket Apohem fick en liknande sanktionsavgift för samma typ av överträdelse med Meta-pixeln.
Avanza Bank: 15 miljoner kronor (2024). Avanza Bank överförde oavsiktligt personuppgifter för mellan 500 000 och en miljon kunder till Meta via en spårningspixel som varit aktiv mellan november 2019 och juni 2021.
Sportadmin: 6 miljoner kronor (2026). I ett beslut daterat den 28 januari 2026 beslutade IMY om en sanktionsavgift mot Sportadmin efter en cyberattack i januari 2025 som exponerade personuppgifter för över 2,1 miljoner personer. De läckta uppgifterna omfattade namn, kontaktuppgifter, personnummer och idrottsklubbstillhörighet, mycket av det tillhörande barn. IMY fann att Sportadmin hade känt till säkerhetsbrister under en längre tid utan att åtgärda dem tillräckligt. Företaget saknade övervakning av intrångsförsök i realtid och adekvata rutiner för att identifiera säkerhetsluckor. Ärendet är anmärkningsvärt eftersom Sportadmin agerade som personuppgiftsbiträde, vilket gör det till ett av de sällsynta EU-tillsynsärendena mot ett biträde snarare än en personuppgiftsansvarig.
Sanktionsstruktur
Följande tabell sammanfattar det regelverk för sanktionsavgifter som gäller i Sverige.
| Överträdelsekategori | Maxbelopp: företag | Maxbelopp: myndigheter |
|---|---|---|
| Mindre allvarliga överträdelser (art. 83.4) | 10 miljoner euro eller 2 % av global årsomsättning | 5 miljoner kronor |
| Allvarliga överträdelser (art. 83.5-6) | 20 miljoner euro eller 4 % av global årsomsättning | 10 miljoner kronor |
| Bristande efterlevnad av IMY:s beslut | 20 miljoner euro eller 4 % av global årsomsättning | 10 miljoner kronor |
IMY fastställer sanktionsavgiftens storlek utifrån överträdelsens art, allvar och varaktighet, om den skett uppsåtligen eller av oaktsamhet, vilka åtgärder som vidtagits för att begränsa skadan för registrerade, i vilken grad den personuppgiftsansvarige bär ansvar med hänsyn till vidtagna åtgärder, eventuella tidigare överträdelser, vilka kategorier av personuppgifter som berörts samt hur överträdelsen kommit till IMY:s kännedom.
Utöver sanktionsavgifter kan IMY utfärda varningar för planerad behandling som sannolikt skulle strida mot GDPR, reprimander för pågående överträdelser samt förelägganden om att anpassa behandlingen till reglerna eller upphöra med specifika aktiviteter. Sverige har valt att låta myndigheter omfattas av sanktionsavgifter, till skillnad från vissa medlemsstater som helt undantar offentliga organ.
Senaste utvecklingen (2024-2026)
Tillsyn mot vilseledande designmönster (april 2025). IMY utfärdade formella reprimander mot flera företag för att ha använt manipulativa "dark patterns" i cookiebanners, bland annat mediebolaget Aller Media AB. Att göra knappen "acceptera alla" mer framträdande än alternativet att neka bedömdes utgöra en överträdelse av kraven på ett genuint samtycke.
Avreglering av kamerabevakning (1 april 2025). Tillståndskravet för kamerabevakning på allmän plats togs bort. Organisationer förlitar sig numera på dokumenterade intresseavvägningar i stället för IMY:s förhandsgodkännande.
IMY:s vägledningsenhet (1 januari 2026). En särskild vägledningsenhet inrättades inom IMY för att ge organisationer mer lättillgängligt stöd.
Vägledning om AI inom offentlig förvaltning (januari 2025). IMY och Myndigheten för digital förvaltning (Digg) publicerade tillsammans riktlinjer som stödjer användningen av generativ AI inom offentlig förvaltning inom ramen för GDPR.
Föreslagen grundlagsändring (november 2024). Den svenska regeringen föreslog att begränsa skyddet för offentlighetsprincipen när publicerat innehåll utgör en otillbörlig integritetskränkning, med sikte på söktjänster som publicerar personuppgifter med stöd av utgivningsbevis. Planerat ikraftträdande: den 1 januari 2027.
Förslag till nationell AI-lag, SOU 2025:101. Regeringens utredning rekommenderar PTS som samordnande tillsynsmyndighet för AI, med elva marknadskontrollmyndigheter, en nationell AI-sandlåda och nya bestämmelser om sekretess, med sikte på tillämpning från augusti 2026.
Föreslagen lag om ansiktsigenkänning i realtid (Prop. 2025/26:150). Regeringen lämnade lagförslag till riksdagen om att ge polisen laglig rätt att använda AI-baserad ansiktsigenkänning i realtid vid grova brott, förebyggande av terrorism och eftersökning av försvunna personer.
Högsta domstolens avgöranden om brottmålsdomar (februari 2025). Högsta domstolen fastslog att Sveriges regelverk för att lämna ut personuppgifter i brottmålsdomar strider mot EU-rätten, vilket stärkte grunden för att kräva proportionalitetsbedömningar mellan tryckfrihet och dataskydd.
Regelefterlevnad för företag: vad organisationer i Sverige måste göra
Organisationer som behandlar personuppgifter om personer i Sverige bör ta hänsyn till följande områden.
Fastställ en dokumenterad rättslig grund. Innan personuppgifter samlas in eller behandlas, identifiera vilken av GDPR:s sex rättsliga grunder som är tillämplig. Dokumentera detta i ert register över behandlingsaktiviteter. För behandling som grundar sig på berättigat intresse, genomför och dokumentera en intresseavvägning. IMY:s tillsynsbeslut från 2025 bekräftar att den personuppgiftsansvarige inte kan delegera detta ansvar.
Hantera personnummer varsamt. Samla inte in svenska personnummer rutinmässigt. Behandling kräver antingen uttryckligt samtycke eller ett tydligt motiverat skäl baserat på ändamålet, behovet av identifiering eller något annat beaktansvärt skäl. Behandla personnummer på samma sätt som känsliga uppgifter.
Utse ett dataskyddsombud om det krävs. Myndigheter och organisationer som bedriver storskalig systematisk övervakning eller storskalig behandling av känsliga uppgifter måste utse ett dataskyddsombud och anmäla det till IMY.
Inför rutiner för 72-timmarsanmälan. Bygg upp interna processer för att upptäcka, bedöma och rapportera incidenter, så att ni kan anmäla till IMY inom 72 timmar efter att ni fått kännedom om en anmälningspliktig incident. Reglera tydliga anmälningsskyldigheter för personuppgiftsbiträden i era avtal.
Genomför konsekvensbedömningar för högriskbehandling. Tillämpa IMY:s kriterielista innan ni påbörjar en behandling som kan utlösa krav på konsekvensbedömning. Dokumentera bedömningen och samråd i förväg med IMY om den kvarstående risken fortfarande är hög.
Ge tydlig information om integritetsskydd. Skriv klara och lättillgängliga integritetspolicyer som förklarar vilka uppgifter ni samlar in, varför ni samlar in dem, hur länge ni sparar dem, vilka som tar del av dem (inklusive mottagare i andra länder) och vilka rättigheter enskilda har. Sanktionerna mot både Spotify och Klarna berodde på bristande öppenhet, inte på olaglig behandling i sig.
Granska spårningspixlar och analysverktyg. Mot bakgrund av IMY:s mönster av sanktioner mot företag som använt Metas spårningspixel och Google Analytics utan adekvata överföringsskydd, gå igenom varje tredjepartsskript som skickar uppgifter utanför EES. Kontrollera att lämpliga standardavtalsklausuler eller andra skyddsåtgärder finns på plats och att samtyckesmekanismerna är giltiga.
Använd ärliga cookiesamtyckesmekanismer. Undvik vilseledande designmönster. Presentera alternativen "acceptera" och "neka" med samma tydlighet och samma enkelhet att använda. IMY:s tillsynsbeslut från april 2025 bekräftar att manipulativ samtyckesdesign utgör en överträdelse av GDPR.
Förbered er för AI-förordningens krav. Om ni utvecklar eller använder AI-system som behandlar personuppgifter, bedöm om systemet klassificeras som högrisk enligt EU:s AI-förordning. Kraven för högrisksystem börjar gälla från den 2 augusti 2026. IMY kommer att granska AI-system inom den offentliga sektorn. Aktörer inom den privata sektorn bör följa vägledning från både IMY och de utsedda AI-tillsynsmyndigheterna.
Utbilda personalen. Se till att alla anställda som hanterar personuppgifter förstår de rättsliga kraven, organisationens dataskyddspolicyer och hur man upptäcker och rapporterar eventuella personuppgiftsincidenter.
Den här artikeln är enbart avsedd som allmän information och utgör inte juridisk rådgivning. Dataskyddslagstiftningen kan komma att ändras. Rådgör med en kvalificerad jurist verksam i Sverige för vägledning om specifika krav på regelefterlevnad.
Frequently Asked Questions
Vad är den huvudsakliga dataskyddslagen i Sverige?
Sveriges dataskyddsregelverk kombinerar EU:s allmänna dataskyddsförordning (GDPR), som gäller direkt som EU-rätt, med dataskyddslagen (2018:218) och kompletteringsförordningen (2018:219). GDPR utgör grundregelverket. Den svenska lagen lägger till nationella regler om barns samtyckesålder (13 år), det förstärkta skyddet för personnummer och behandling av brottsdata. Integritetsskyddsmyndigheten (IMY) utövar tillsyn över båda regelverken.
Vad är offentlighetsprincipen och hur samspelar den med GDPR?
Offentlighetsprincipen är en grundlagsfäst princip från 1766 som innebär att allmänna handlingar som utgångspunkt är offentliga. Den är inskriven i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Där principen gäller har GDPR historiskt inte satt den åt sidan. Svenska domstolar och Högsta domstolen fastslog dock 2024 och 2025 att ett generellt undantag från GDPR inte är förenligt med EU-rätten, och att individuella proportionalitetsbedömningar numera krävs. Regeringen har också föreslagit en grundlagsändring för att begränsa offentlighetsskyddet för söktjänster som publicerar personuppgifter.
Vad är IMY och vad gör myndigheten?
IMY (Integritetsskyddsmyndigheten) är Sveriges oberoende tillsynsmyndighet för dataskydd. Fram till 2021 hette myndigheten Datainspektionen. IMY utreder klagomål, genomför granskningar, utfärdar vägledning, driver en regulatorisk sandlåda, beslutar om sanktionsavgifter för GDPR-överträdelser och deltar i Europeiska dataskyddsstyrelsen. IMY agerar som ansvarig tillsynsmyndighet i gränsöverskridande GDPR-ärenden som rör företag med sitt huvudsakliga etableringsställe inom EU i Sverige, till exempel Spotify. Under 2024 beslutade IMY om sammanlagt 60,6 miljoner kronor i sanktionsavgifter.
Hur höga sanktionsavgifter kan organisationer få för GDPR-överträdelser i Sverige?
Privata företag riskerar sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen (det högsta beloppet gäller) för allvarliga GDPR-överträdelser, och upp till 10 miljoner euro eller 2 procent av omsättningen för mindre allvarliga överträdelser. Svenska myndigheter har lägre tak: 5 miljoner kronor för mindre allvarliga överträdelser och 10 miljoner kronor för allvarliga. IMY:s hittills största sanktionsavgift är 50 miljoner kronor (cirka 4,5 miljoner euro) mot Google, ursprungligen beslutad till 75 miljoner kronor 2020 och sänkt efter överklagande till 50 miljoner kronor 2021 (slutligt belopp). Sverige tillåter sanktionsavgifter mot myndigheter, till skillnad från vissa andra EU-medlemsstater.
Hur snabbt måste personuppgiftsincidenter anmälas i Sverige?
Personuppgiftsansvariga måste anmäla en personuppgiftsincident till IMY inom 72 timmar efter att de fått kännedom om den. Om inte all information finns tillgänglig kan en preliminär anmälan lämnas in, med kompletterande uppgifter inom fyra veckor. Om incidenten innebär en hög risk för de berörda måste den personuppgiftsansvarige även utan onödigt dröjsmål informera dessa personer. Anmälningsskyldigheten ligger kvar hos den personuppgiftsansvarige även när incidenten inträffar hos ett personuppgiftsbiträde. IMY tog emot 12 276 incidentanmälningar under 2025, en ökning med 89 procent jämfört med 2024.
Finns det särskilda regler för behandling av svenska personnummer?
Ja. Dataskyddslagen ger personnummer ett förstärkt skydd utöver vanliga personuppgifter. Organisationer får bara behandla personnummer utan samtycke när det är klart motiverat med hänsyn till ändamålet, behovet av säker identifiering eller något annat beaktansvärt skäl. Denna tröskel förhindrar i praktiken rutinmässig insamling av personnummer och kräver en specifik motivering för varje användningsfall. Att personnumret används som en universell identifierare inom sjukvård, bankverksamhet och beskattning gör det till en särskilt känslig uppgift enligt svensk rätt.
Hur tillämpas EU:s AI-förordning i Sverige?
EU:s AI-förordning (förordning (EU) 2024/1689) gäller i Sverige som EU-rätt sedan augusti 2024, och de huvudsakliga kraven för högrisksystem börjar gälla från den 2 augusti 2026. Sveriges nationella utredning (SOU 2025:101) föreslår att Post- och telestyrelsen (PTS) utses till samordnande nationell tillsynsmyndighet för AI, med elva marknadskontrollmyndigheter inom olika sektorer. IMY har utsett AI inom den offentliga sektorn till ett prioriterat tillsynsområde för 2026, vilket signalerar skärpt granskning av offentliga organ som använder AI-system som behandlar personuppgifter.
Sources and References
- Integritetsskyddsmyndigheten (IMY), officiell webbplats(imy.se).gov
- Lag med kompletterande bestämmelser till EU:s dataskyddsförordning (SFS 2018:218), Sveriges regering(government.se).gov
- Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, Sveriges riksdag(riksdagen.se).gov
- Sveriges grundlagar och personlig integritet, Government.se(government.se).gov
- IMY, översikt över sanktionsavgifter och varningar(imy.se).gov
- IMY, sanktionsavgift mot Sportadmin (januari 2026)(imy.se).gov
- IMY, sanktionsavgifter mot Apoteket och Apohem för Meta-pixeln (2024)(imy.se).gov
- IMY, anmälan om personuppgiftsincident(imy.se).gov
- IMY, rättsliga grunder för behandling av personuppgifter(imy.se).gov
- IMY, kamerabevakning för organisationer(imy.se).gov
- EDPB, svenska tillsynsmyndigheten beslutar om sanktionsavgift mot Google (2020)(edpb.europa.eu).gov
- EDPB, IMY beslutar om sanktionsavgift mot Spotify (2023)(edpb.europa.eu).gov
- EDPB, IMY beslutar om sanktionsavgift mot Klarna (2022)(edpb.europa.eu).gov
- EDPB, IMY beslutar om sanktionsavgift mot Trygg-Hansa (2023)(edpb.europa.eu).gov
- EDPB, ansiktsigenkänning i skola ger Sveriges första GDPR-sanktion (2019)(edpb.europa.eu).gov
- EDPB, svenska tillsynsmyndigheten: polisen använde ansiktsigenkänningsapp olovligt (2021)(edpb.europa.eu).gov
- Sverige föreslår lag om ansiktsigenkänning i realtid för att bekämpa gängvåld, Riksdag Monitor (2026)(riksdagsmonitor.com)
- Sverige: regeringens proposition om polisens användning av ansiktsigenkänning klar för riksdagsbehandling, Library of Congress (2024)(loc.gov).gov
- EU:s AI-förordning, Europeiska kommissionens digitala strategi(digital-strategy.ec.europa.eu).gov
- Sverige föreslår nationell AI-lagstiftning som komplement till EU:s AI-förordning, Snellman Digital Compliance Tracker(digitalcompliance.snellman.com)