En integritetspolicy är det dokument som förklarar för dina användare och kunder hur du samlar in, använder och skyddar deras personuppgifter. Varje verksamhet som behandlar personuppgifter om EU-medborgare är skyldig att ha en sådan policy — skyldigheten framgår av GDPR art. 13–14 och preciseras i den svenska dataskyddslagen (2018:218). Utan en korrekt policy riskerar du inte bara tillsynsåtgärder utan också förlorat kundförtroende.
Legal basis: Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) art. 13-14; lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen); lag (2003:389) om elektronisk kommunikation (LEK)
integritetspolicy — free, fillable template; download as PDF or Word.
Vad är en integritetspolicy?
En integritetspolicy är ett rättsligt dokument som redogör för hur en verksamhet hanterar personuppgifter. Dokumentet vänder sig till de registrerade — det vill säga de fysiska personer vars uppgifter behandlas — och ska ge dem den information de har rätt till enligt förordningen.
GDPR art. 13 reglerar den information som ska lämnas när uppgifterna samlas in direkt från den registrerade, exempelvis via ett webbformulär eller en kundregistrering. Art. 14 tar i stället sikte på situationer då uppgifterna hämtas från en annan källa, till exempel ett köpt register eller ett tredjepartsverktyg för marknadsanalys. Båda artiklarna ställer i princip samma krav på innehållet, men tidpunkten för när informationen ska lämnas skiljer sig åt.
Skillnaden är praktiskt viktig. Vid direktinsamling — en person fyller i ett kontaktformulär på din webbplats — ska informationen lämnas i samband med att uppgifterna samlas in. Hämtas uppgifterna däremot från en annan källa ska informationen lämnas inom en skälig tid, senast när du kontaktar personen för första gången.
Dataskyddslagen (2018:218) kompletterar GDPR inom ramen för det nationella handlingsutrymmet och specificerar bland annat vilka myndigheter som ansvarar för tillsyn i Sverige. Integritetsskyddsmyndigheten (IMY) är den svenska tillsynsmyndigheten och utövar kontroll av att GDPR och dataskyddslagen efterlevs. IMY kan vid överträdelser besluta om administrativa sanktionsavgifter och påföra verksamheter att rätta sin behandling.
När behöver du en integritetspolicy?
Skyldigheten att informera de registrerade gäller så snart din verksamhet behandlar personuppgifter. Behandling är ett brett begrepp som täcker allt från insamling och lagring till analys och vidarebefordran av uppgifter. Några vanliga situationer när en integritetspolicy är nödvändig:
- Du driver en webbplats som använder cookies eller liknande spårningstekniker som identifierar besökare. Lag (2003:389) om elektronisk kommunikation ställer krav på samtycke och information vid användning av sådana tekniker, och integritetspolicyn är den naturliga platsen att samla denna information.
- Du tar emot kundbeställningar, prenumerationer eller kontaktförfrågningar via ett onlineformulär.
- Du behandlar uppgifter om anställda, leverantörer eller samarbetspartners.
- Du skickar nyhetsbrev eller andra direktmarknadsföringsmeddelanden.
En vanlig missuppfattning är att policyn enbart behövs för stora företag. Det stämmer inte. GDPR gäller alla verksamheter som behandlar personuppgifter om personer inom EU, oavsett storlek eller juridisk form.
Vad ska en integritetspolicy innehålla?
GDPR art. 13–14 specificerar vilka uppgifter som måste finnas med. En fullständig policy ska minst innehålla:
Identitet och kontaktuppgifter. Namn och kontaktuppgifter för den personuppgiftsansvarige — det vill säga din verksamhet — ska framgå tydligt. Om du har utsett ett dataskyddsombud ska även ombudets kontaktuppgifter anges.
Ändamål och rättslig grund. Du måste redovisa för vilket syfte uppgifterna behandlas och vilken rättslig grund som gäller för varje ändamål. De rättsliga grunder som finns enligt GDPR inkluderar samtycke, fullgörande av avtal, rättslig förpliktelse, skydd av grundläggande intressen, uppgift av allmänt intresse samt intresseavvägning.
Kategorier av uppgifter och mottagare. Policyn ska specificera vilka typer av personuppgifter som samlas in och om uppgifterna delas med tredje part — exempelvis betaltjänstleverantörer, marknadsföringsplattformar eller molntjänster. Om uppgifter överförs till länder utanför EU/EES måste du ange vilka skyddsåtgärder som tillämpas.
Lagringstid. Du ska ange hur länge uppgifterna sparas, eller åtminstone de kriterier som avgör lagringstiden.
De registrerades rättigheter. Policyn ska informera om rätten till tillgång, rättelse, radering, begränsning av behandling, dataportabilitet och invändning. Om behandlingen grundar sig på samtycke ska rätten att återkalla samtycket framgå. Rätten att lämna klagomål till IMY ska också nämnas.
Automatiserat beslutsfattande. Om din verksamhet använder automatiserat beslutsfattande, inklusive profilering, som har rättslig eller liknande verkan för den registrerade, måste du informera om detta samt om den logik och de konsekvenser som det innebär.
Hur fyller du i en integritetspolicy?
En strukturerad mall minskar risken för att viktig information utelämnas. Börja med att kartlägga all personuppgiftsbehandling i din verksamhet innan du börjar skriva. Fråga dig: vilka uppgifter samlar jag in, från vem, för vilket syfte och hur länge sparas de?
Med den kartläggningen som underlag kan du fylla i mallen avsnitt för avsnitt. Anpassa texten till din verksamhets faktiska behandling — en e-handelsbutik har andra flöden än en konsultfirma, och policyn ska spegla verkligheten, inte en generisk beskrivning. En Integritetspolicy Sverige (GDPR-kompatibel) ger dig en strukturerad utgångspunkt som täcker de obligatoriska kraven enligt GDPR art. 13–14.
Tänk på formuleringarna. GDPR kräver att information lämnas på ett koncist, transparent, begripligt och lättillgängligt sätt, med ett klart och enkelt språk. Juridisk terminologi bör förklaras i klartext, och policyn bör vara uppdelad i tydliga avsnitt med rubriker som hjälper läsaren att hitta rätt.
Publicera policyn på ett ställe som är lätt att hitta — typiskt en länk i sidfoten på webbplatsen, men även i relevanta sammanhang som vid registreringsformulär och betaltjänster. Om du samlar in uppgifter via en mobilapp bör policyn också vara tillgänglig direkt i appen.
Cookies och elektronisk kommunikation
Lag (2003:389) om elektronisk kommunikation innehåller bestämmelser om cookies och liknande tekniker som kompletterar GDPR:s krav. Verksamheter som använder analytiska cookies, marknadsföringscookies eller andra spårningstekniker utöver de som är strikt nödvändiga för tjänstens funktion måste inhämta användarens samtycke.
Samtycket ska vara aktivt och informerat — en förifylld ruta eller ett meddelande som försvinner utan åtgärd uppfyller inte kravet. Integritetspolicyn är rätt plats att samlat förklara vilka tekniker du använder, i vilket syfte och hur länge data från dem lagras. Utöver policyn brukar en separat cookiebanner eller ett samtyckesverktyg användas för att hantera samtycket vid det första besöket.
Vanliga misstag och hur du undviker dem
Kopierad mall utan anpassning. Att kopiera en annans integritetspolicy, eller att använda en mall utan att anpassa den till sin faktiska behandling, är ett av de vanligaste felen. IMY har i tillsynsbeslut uppmärksammat fall där policyn inte stämde överens med den verkliga behandlingen. Konsekvensen kan bli att du inte uppfyller informationsplikten trots att ett dokument finns publicerat.
Felaktiga rättsliga grunder. Att ange samtycke som rättslig grund när behandlingen i själva verket grundar sig på ett avtal — eller tvärtom — skapar rättslig osäkerhet. Varje ändamål behöver sin rätt rättsliga grund, och dessa ska anges separat.
Policyn uppdateras inte. En integritetspolicy är inte ett statiskt dokument. När din verksamhet förändras, när du börjar använda nya verktyg eller tjänsteleverantörer, eller när lagstiftningen ändras, måste policyn uppdateras. Sätt upp en rutin för att granska dokumentet minst en gång per år.
Vaga formuleringar om lagringstid. Det räcker inte att skriva "vi sparar uppgifter så länge det är nödvändigt." Antingen anger du konkreta tider eller beskriver de kriterier som avgör hur länge uppgifterna sparas — exempelvis den tillämpliga preskriptionstiden för avtalstvister eller det lagstadgade kravet på bokföring.
Glömd information om tredjepartsöverföringar. Många verksamheter använder molntjänster, marknadsföringsplattformar eller analysverktyg vars servrar är placerade utanför EU/EES. Dessa överföringar måste redovisas i policyn, inklusive vilka skyddsåtgärder som gäller, exempelvis standardavtalsklausuler eller ett adekvansbesked från EU-kommissionen.
En välskriven integritetspolicy är mer än ett regelefterlevnadsdokument — det är ett sätt att visa dina kunder att du tar deras personliga integritet på allvar. Med rätt struktur och ärliga formuleringar bygger policyn förtroende och minskar risken för missförstånd eller klagomål till tillsynsmyndigheten.
Policy som inte är tillgänglig. Att publicera policyn på en undanskymd undersida utan länk i sidfoten, eller att kräva att användaren scrollar förbi ett samtyckesbanner för att kunna nå den, strider mot kravet på lättillgänglighet. Länken till policyn ska vara synlig på varje sida, utan att användaren behöver interagera med något element för att hitta den.
Utebliven information om automatiserat beslutsfattande. Verksamheter som använder algoritmer för att bedöma kreditvärdighet, anpassa prissättning eller välja ut erbjudanden baserade på profilering måste redovisa detta i policyn. Kravet enligt GDPR art. 13–14 gäller även om beslutsfattandet är ett delsystem i en bredare manuell process.
Need the document itself? Download the free template →
This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.