Integritetspolicy Sverige (GDPR-kompatibel)
INTEGRITETSPOLICY
[Ansvarig Namn]
Webbplats: [Webbplats Doman]
1. INLEDNING
[Ansvarig Namn], organisationsnummer [Ansvarig Orgnr], med adress [Ansvarig Adress] (nedan kallat 'Bolaget', 'vi' eller 'oss'), är personuppgiftsansvarig för behandlingen av personuppgifter som beskrivs i denna integritetspolicy. Webbplatsen [Webbplats Doman] används för [Webbplats Andamal].
Denna integritetspolicy upprättas i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (allmänna dataskyddsförordningen, GDPR), lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), lag (2003:389) om elektronisk kommunikation (LEK) samt övrig tillämplig svensk lagstiftning. Policyn beskriver hur Bolaget samlar in, använder, lagrar och delar personuppgifter samt vilka rättigheter du som registrerad har.
2. KONTAKTUPPGIFTER
Personuppgiftsansvarig: [Ansvarig Namn], organisationsnummer [Ansvarig Orgnr], [Ansvarig Adress]. E-post: [Ansvarig Epost]. Telefon: [Ansvarig Telefon].
Dataskyddsombud: [Dpo Namn], e-post: [Dpo Epost]. Dataskyddsombudet är direkt kontaktbart vid GDPR-relaterade frågor enligt artikel 38.4 GDPR.
3. KATEGORIER AV PERSONUPPGIFTER SOM BEHANDLAS
Bolaget behandlar följande kategorier av personuppgifter: [Uppgifts Kategorier].
Personuppgifter samlas in direkt från dig genom användning av webbplatsen, ditt kundkonto, kundtjänstkontakter, beställningar samt nyhetsbrev. I vissa fall samlas uppgifter in från tredje part (betaltjänster, leverantörer, sociala medier) inom ramen för befintliga avtal eller med ditt samtycke.
4. ÄNDAMÅL OCH RÄTTSLIGA GRUNDER FÖR BEHANDLINGEN
Bolaget behandlar dina personuppgifter för följande ändamål och med stöd av följande rättsliga grunder enligt artikel 6 GDPR: [Rattsliga Grunder].
Vid samtycke som rättslig grund enligt artikel 6.1.a GDPR har du rätt att när som helst återkalla samtycket. Återkallandet påverkar inte lagligheten av behandling som skett före återkallandet. Vid berättigat intresse enligt artikel 6.1.f GDPR har Bolaget genomfört en intresseavvägning enligt artikel 21 GDPR, där dina rättigheter och friheter har vägts mot Bolagets intressen. Vid behandling för marknadsföring har du alltid rätt att invända kostnadsfritt enligt artikel 21.2 GDPR.
5. MOTTAGARE AV PERSONUPPGIFTER
Bolaget kan dela dina personuppgifter med följande kategorier av mottagare: (a) personuppgiftsbiträden som behandlar uppgifter på Bolagets uppdrag (IT-leverantörer, hosting, e-postutskickstjänster, betaltjänster, logistik) under personuppgiftsbiträdesavtal enligt artikel 28 GDPR; (b) banker, kortinlösen och betaltjänstleverantörer enligt lag (2010:751) om betaltjänster; (c) myndigheter vid lagstadgad rapporteringsplikt eller rättsligt förfarande (Skatteverket, Polismyndigheten, Domstolsverket); (d) bokförings- och revisionsbyråer enligt bokföringslagen (1999:1078) och revisionslagen (1999:1079); (e) företag inom samma koncern enligt definitionen i aktiebolagslagen (2005:551) 1 kap. 11 §.
Vid eventuell överföring till tredje land utanför EU/EES tillämpas skyddsåtgärder enligt artiklarna 44 till 49 GDPR, främst standardavtalsklausuler antagna av EU-kommissionen genom beslut (EU) 2021/914 eller bindande företagsregler enligt artikel 47 GDPR. Adekvansbeslut för viss tredje land (USA via EU-US Data Privacy Framework, Storbritannien, Schweiz, Japan) tillämpas där sådant beslut är giltigt enligt artikel 45 GDPR.
6. LAGRINGSTIDER
Personuppgifter lagras endast så länge som det är nödvändigt för de ändamål som de samlades in för eller som krävs enligt lag. Konkreta lagringstider: [Lagringstid].
Bokföringsuppgifter lagras i sju år enligt bokföringslagen (1999:1078) 7 kap. 2 §. Avtalshandlingar och kundkommunikation kan lagras under preskriptionstiden enligt preskriptionslagen (1981:130), normalt tio år för fordringar och tre år för konsumentfordringar enligt konsumentköplagen (2022:260) 3 kap. 13 §. Efter angiven lagringstid raderas eller anonymiseras personuppgifterna.
7. DINA RÄTTIGHETER SOM REGISTRERAD
Som registrerad har du följande rättigheter enligt GDPR och lag (2018:218):
Rätten till information enligt artiklarna 13 och 14 GDPR - att få information om behandlingen av dina personuppgifter, som beskrivs i denna policy.
Rätten till tillgång enligt artikel 15 GDPR (registerutdrag) - att få bekräftelse på att vi behandlar dina uppgifter och få kopia av uppgifterna.
Rätten till rättelse enligt artikel 16 GDPR - att få felaktiga eller ofullständiga uppgifter rättade.
Rätten till radering enligt artikel 17 GDPR (rätten att bli bortglömd) - att få dina uppgifter raderade när någon av sex grunder enligt artikel 17.1 GDPR är tillämplig.
Rätten till begränsning av behandling enligt artikel 18 GDPR - att kräva att behandlingen begränsas vid tvist om korrekthet eller laglighet.
Rätten till dataportabilitet enligt artikel 20 GDPR - att få ut dina uppgifter i strukturerat, allmänt använt och maskinläsbart format för överföring till annan personuppgiftsansvarig.
Rätten att invända enligt artikel 21 GDPR - att invända mot behandling som vilar på berättigat intresse eller mot direkt marknadsföring.
Rätten att inte bli föremål för automatiserat beslutsfattande enligt artikel 22 GDPR - att inte bli föremål för beslut som enbart vilar på automatiserad behandling, inklusive profilering, som har rättsliga följder för dig.
Rätten att återkalla samtycke enligt artikel 7.3 GDPR - att när som helst återkalla samtycke som vi vilar behandling på.
Rätten att inge klagomål till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR samt rätten till effektivt rättsmedel inför domstol enligt artikel 79 GDPR.
För att utöva dina rättigheter kontakta oss via [Ansvarig Epost] eller [Dpo Epost]. Vi besvarar din begäran utan onödigt dröjsmål och senast inom en månad enligt artikel 12.3 GDPR.
8. COOKIES OCH SPÅRNINGSTEKNIKER
Webbplatsen använder cookies (kakor) och liknande spårningstekniker enligt 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK) som implementerar ePrivacy-direktivet 2002/58/EG. För andra cookies än sådana som är strikt nödvändiga för tjänstens funktion krävs ditt samtycke. Samtycke samlas in via cookie banner vid besök på webbplatsen.
Cookies används för (a) tekniskt nödvändiga funktioner (kundvagn, inloggning, säkerhet); (b) statistik och analys (Google Analytics, anonymiserad data); (c) marknadsföring och personalisering (om du samtyckt); (d) tredjepartscookies från sociala medier (Facebook, Instagram, LinkedIn) om du samtyckt. Du kan när som helst ändra dina cookieinställningar via vår cookie-inställningssida eller via din webbläsare.
9. SÄKERHETSÅTGÄRDER
Bolaget vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR för att skydda dina personuppgifter mot obehörig åtkomst, olaglig behandling, oavsiktlig förlust, förstöring eller skada. Säkerhetsåtgärderna inkluderar kryptering (SSL/TLS för dataöverföring, AES-256 för lagring), åtkomstkontroll med behörighetsstyrning, tvåfaktorsautentisering för administrativa system, regelbunden säkerhetstestning, säkerhetskopiering och katastrofplaner samt utbildning av personal i informationssäkerhet.
Vid personuppgiftsincident enligt artikel 33 GDPR (datalack) anmäler vi inom 72 timmar till Integritetsskyddsmyndigheten (IMY) och vid risk för dina rättigheter och friheter informerar vi dig enligt artikel 34 GDPR.
10. ÄNDRING AV INTEGRITETSPOLICYN
Denna integritetspolicy kan komma att ändras vid förändringar i vår behandling av personuppgifter, ny lagstiftning eller praxis från Integritetsskyddsmyndigheten (IMY) eller EU-domstolen. Vid väsentliga ändringar informerar vi dig via webbplatsen eller direkt om du har konto hos oss. Senaste version finns alltid tillgänglig på [Webbplats Doman].
11. KLAGOMÅL OCH ESKALERING
Om du är missnöjd med vår behandling av personuppgifter, kontakta oss i första hand via [Ansvarig Epost] eller [Dpo Epost]. Du har även rätt att inge klagomål till tillsynsmyndigheten enligt artikel 77 GDPR.
Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § lag (2018:218). IMY har sitt kontor på Drottninggatan 29, 111 51 Stockholm. Klagomål kan inges via imy.se, e-post [email protected] eller telefon 08-657 61 00. IMY:s beslut överklagas till Förvaltningsrätten i Stockholm enligt 7 kap. 4 § dataskyddslagen, vidare till Kammarrätten i Stockholm och slutligen Högsta förvaltningsdomstolen vid prövningstillstånd.
Vad är Integritetspolicy Sverige (GDPR-kompatibel)?
En Integritetspolicy i Sverige är ett juridiskt obligatoriskt informationsdokument som varje personuppgiftsansvarig ska tillhandahålla till registrerade enligt artiklarna 13 och 14 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR). Dokumentet kompletteras av lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), lag (2003:389) om elektronisk kommunikation (LEK) för cookies och spårningstekniker samt sektorsspecifik svensk lagstiftning. Varje organisation som behandlar personuppgifter om personer i Sverige - oavsett om det sker via webbplats, mobilapplikation, kundförhållande, anställning eller annan kontext - måste tillhandahålla en transparent, kortfattad och lättillgänglig integritetspolicy.
Artikel 13 GDPR räknar upp de obligatoriska upplysningar som ska kommuniceras till den registrerade vid insamlingstillfället: identitet och kontaktuppgifter för personuppgiftsansvarig, kontaktuppgifter för dataskyddsombud (DPO) om sådant utsetts, ändamål och rättslig grund (artikel 6 GDPR) för varje behandlingsaktivitet, kategorier av personuppgifter som behandlas, mottagare eller kategorier av mottagare till vilka uppgifter delas, överföring till tredje land utanför EU/EES med tillämpliga skyddsåtgärder enligt artiklarna 44 till 49 GDPR, lagringsperioder eller kriterier för fastställande, samt den registrerades rättigheter enligt artiklarna 15 till 22 GDPR. Artikel 14 GDPR tillämpas när uppgifterna har samlats in från annan källa än den registrerade, med kompletterande informationskrav om uppgiftens ursprung.
Lag (2018:218) kompletterar GDPR med Sverige-specifika bestämmelser. Lagen innehåller bland annat regler om Integritetsskyddsmyndigheten (IMY) som tillsynsmyndighet enligt artikel 51 GDPR (7 kap. 1 §), klagomålsrätten enligt artikel 77 GDPR (7 kap. 2 §), överklagandeordningen vid Förvaltningsrätten i Stockholm (7 kap. 4 §), behandling för forskning, statistik och arkivändamål samt skadeståndsregler enligt artikel 82 GDPR. För sektoriellt fall gäller dessutom patientdatalagen (2008:355) för sjukvård, socialtjänstlagen (2001:453) för socialtjänst, brottsdatalagen (2018:1177) för brottsbekämpning samt offentlighets- och sekretesslagen (2009:400) för myndigheter.
Lag (2003:389) om elektronisk kommunikation (LEK) implementerar ePrivacy-direktivet 2002/58/EG. Enligt 6 kap. 18 § LEK krävs för annat än strikt nödvändiga cookies användarens informerade samtycke innan lagring eller åtkomst till information på terminalutrustning. Detta tillämpas på cookies, lokal lagring (localStorage, sessionStorage), pixlar, fingeravtryck och liknande tekniker. Integritetsskyddsmyndigheten (IMY) övervakar efterlevnaden tillsammans med Post- och telestyrelsen (PTS). Den planerade ePrivacy-förordningen, som ska ersätta direktivet, har dröjt och förväntas träda i kraft tidigast under 2026 eller 2027.
Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen fram till år 2021, utövar tillsyn enligt artikel 51 GDPR. Myndigheten har sitt kontor på Drottninggatan 29, 111 51 Stockholm, och kan kontaktas via [email protected] eller telefon 08-657 61 00. Vid överträdelser kan IMY besluta om administrativa sanktionsavgifter enligt artikel 83 GDPR på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Större svenska företag som Spotify, Klarna Bank, Sveriges Television, Spendrups och fler har historiskt sett mottagit IMY-beslut med sanktionsavgifter eller förelägganden. Förvaltningsrätten i Stockholm är första instans för överklagande av IMY:s beslut enligt 7 kap. 4 § dataskyddslagen, vidare till Kammarrätten i Stockholm och slutligen Högsta förvaltningsdomstolen vid prövningstillstånd.
Integritetspolicyn skiljer sig från fyra angränsande dokument. För det första från användarvillkor som reglerar avtalsförhållandet mellan tjänsteleverantör och användare, inklusive ansvarsbegränsning, immaterialrätt och konfliktlösning, men som inte fokuserar på personuppgifter. För det andra från cookiepolicy som specifikt beskriver vilka cookies och spårningstekniker som används samt hur samtycke hanteras enligt LEK och ePrivacy-direktivet. För det tredje från personuppgiftsbiträdesavtal enligt artikel 28 GDPR som reglerar förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträden (IT-leverantörer, hosting, marknadsföringsbyråer). För det fjärde från intern dataskyddspolicy som beskriver internt arbete med GDPR-efterlevnad och inte är avsedd för externa registrerade.
Vid utformning av integritetspolicy är följande principer enligt artikel 12.1 GDPR centrala: transparens (klar och tydlig formulering), tillgänglighet (lätt att hitta på webbplatsen, vanligen i sidfot eller dedicerad sida), tillgänglig form (anpassad för olika målgrupper inklusive barn där relevant), aktuellt innehåll (uppdaterad vid förändringar) samt språk anpassat för målgruppen (svenska för svensktalande användare, eventuellt även engelska för internationella besökare). Integritetspolicyn bör vara tillgänglig vid varje insamlingstillfälle - vid registrering, vid beställning, vid nyhetsbrevsanmälan - och inte krävas läst som villkor för fortsatt användning.
När behöver du Integritetspolicy Sverige (GDPR-kompatibel)?
En Integritetspolicy i Sverige krävs i en rad olika verksamheter och situationer där personuppgifter behandlas. Nedan beskrivs centrala scenarion där integritetspolicy enligt GDPR och svensk lag är obligatorisk eller starkt rekommenderad.
E-handel och webbutiker. Företag som driver webbutiker via plattformar som Shopify, WooCommerce, Magento eller egna lösningar måste tillhandahålla integritetspolicy enligt artiklarna 13 och 14 GDPR. Större svenska aktörer som Boozt, NetOnNet, Elgiganten, ICA, Coop, H&M, IKEA och Stadium har omfattande integritetspolicys. Konsumentköplagen (2022:260), distansavtalslagen (2005:59) och marknadsföringslagen (2008:486) tillämpas parallellt med GDPR. Vid hantering av betalningsuppgifter gäller dessutom Lag (2010:751) om betaltjänster samt PCI DSS-standarden för kortdata.
Professionella tjänster och konsulter. Advokatbyråer, revisionsbyråer, rådgivningskonsulter, IT-konsultföretag, fastighetsmäklare och övriga professionella tjänsteleverantörer behandlar personuppgifter om klienter och anställda. Vid advokattjänst gäller Advokatsamfundets vägledande regler samt advokatsekretess som kompletterar GDPR. Vid revisionsbyråer gäller revisorslagen (2001:883) med särskilda bevarandetider. Vid fastighetsmäklare gäller fastighetsmäklarlagen (2021:516). Integritetspolicy bör vara tillgänglig på företagets hemsida samt levereras vid avtalsstart.
Mobilapplikationer. Appar som distribueras via App Store, Google Play eller andra appbutiker omfattas av GDPR vid behandling av användardata. Stora svenska appar som Swish, BankID, 1177 Vårdguiden, SL och Spotify har detaljerade integritetspolicys. Vid hälsoappar gäller patientdatalagen (2008:355) parallellt. Vid finansappar gäller lag (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna samt lag (2017:630) om åtgärder mot penningtvätt. Apputvecklare måste även följa appbutikernas integritetsregler (Apple App Store Review Guidelines, Google Play Developer Distribution Agreement).
Marknadsföring och kommunikation. Företag som bedriver direkt marknadsföring via e-post, sms, post eller telefon måste informera om denna behandling. Marknadsföringslagen (2008:486) och LEK 6 kap. 19 § kräver samtycke för e-post- och sms-utskick. Vid samtyckesbaserade nyhetsbrev krävs konkret information om hur samtycke ges, hur det kan återkallas och vilka kategorier av utskick som ingår. Sociala medie-marknadsföring via Facebook, Instagram, LinkedIn och TikTok kräver beskrivning av pixlar, retargeting och samkörd persondata.
Företagswebbplatser med kontaktformulär. Selv mindre webbplatser med endast kontaktformulär eller nyhetsbrevsanmälan måste ha integritetspolicy enligt artikel 13 GDPR. Detta gäller hantverkare, restauranger, fysiska butiker med webbnärvaro, lokala tjänsteleverantörer och frilansare. Vid mycket små organisationer kan policyn vara kortare, men måste fortfarande täcka grundläggande informationskrav. Sveriges Företagares webbplats erbjuder vägledning för småföretagare.
Myndigheter, kommuner och regioner. Statliga myndigheter, kommuner, regioner och övriga organ som utför uppgifter på uppdrag av det allmänna är personuppgiftsansvariga. Integritetspolicy ska finnas tillgänglig på myndighetens hemsida med information om behandling, rättslig grund (vanligen artikel 6.1.c eller 6.1.e GDPR), registrerades rättigheter och eskalering. Offentlighets- och sekretesslagen (2009:400) och arkivlagen (1990:782) ger ytterligare ramverk. Större myndigheter som Försäkringskassan, Skatteverket, Migrationsverket och Polismyndigheten har sektorsspecifika integritetspolicys. Kommuner och regioner ofta har egna policys. Förvaltningslagen (2017:900) tillämpas parallellt.
Föreningar, ideella organisationer och stiftelser. Idrottsföreningar, religiösa samfund, kulturella föreningar och stiftelser som behandlar personuppgifter om medlemmar, deltagare eller donatorer omfattas av GDPR. Riksidrottsförbundet (RF) erbjuder vägledning för idrottsföreningar. Stora svenska föreningar som Cancerfonden, UNICEF Sverige, Röda Korset och Svenska kyrkan har detaljerade integritetspolicys. För religiösa samfund och politiska partier kan känsliga personuppgifter (religiös övertygelse, politisk åsikt) behandlas under särskilda villkor enligt artikel 9 GDPR.
Utbildningsinstitutioner. Universitet, högskolor och övriga utbildningsinstitutioner behandlar personuppgifter om studenter, forskare och anställda. Stockholms universitet, Uppsala universitet, Lunds universitet, Karolinska Institutet och Kungliga Tekniska högskolan har omfattande integritetspolicys. Skollagen (2010:800) tillämpas parallellt för grund- och gymnasieskolor. Universitetskanslersämbetet (UKÄ) granskar högre utbildning.
Fastighetsbranschen. Bostadsrättsföreningar, hyresvärdar, fastighetsmäklare och bostadsförvaltningsföretag behandlar personuppgifter om hyresgäster, köpare och säljare. Bostadsrättslagen (1991:614), hyreslagen (jordabalken kap. 12) och fastighetsmäklarlagen (2021:516) tillämpas parallellt med GDPR. Sveriges Allmännyttiga Bostadsföretag (SABO) och Fastighetsägarna erbjuder vägledning för medlemsföretag.
Media, tidningar och förlag. Tidningar, magasin, förlag och övriga mediahus behandlar personuppgifter om läsare, prenumeranter och källor. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen ger journalistisk verksamhet särskilt skydd som kan undanta från vissa GDPR-bestämmelser enligt 1 kap. 7 § dataskyddslagen. Bonnier News, Schibsted Sverige och övriga stora mediahus har detaljerade integritetspolicys.
Vad ska Integritetspolicy Sverige (GDPR-kompatibel) innehålla
En giltig Integritetspolicy i Sverige bör innehålla följande element för att uppfylla informationskraven enligt artiklarna 13 och 14 GDPR samt övrig tillämplig svensk lagstiftning.
Identifiering av personuppgiftsansvarig. Fullständigt företagsnamn enligt Bolagsverkets register, organisationsnummer (tio siffror enligt lag (1974:174) om identitetsbeteckning för juridiska personer), företagets registrerade adress samt kontaktuppgifter för integritetsfrågor (e-post, telefonnummer). Vid koncerner anges koncernmodersbolaget och eventuella dotterbolag som omfattas. Vid utländska företag med svensk verksamhet ska företagets ombud i EU enligt artikel 27 GDPR också anges.
Kontaktuppgifter för dataskyddsombud. Om dataskyddsombud (Data Protection Officer, DPO) har utsetts enligt artikel 37 GDPR ska kontaktuppgifter anges (e-post, eventuellt telefonnummer). DPO är obligatoriskt för myndigheter samt vissa privata organisationer med storskalig systematisk övervakning eller storskalig behandling av särskilda kategorier av uppgifter enligt artikel 9 GDPR. Vid frivilligt utsedd DPO kan funktionsbeteckning anges utan personnamn. DPO är direkt kontaktbar vid GDPR-relaterade frågor enligt artikel 38.4 GDPR.
Kategorier av personuppgifter. Konkret beskrivning av vilka kategorier av personuppgifter som behandlas. Vanliga kategorier inkluderar kontaktuppgifter (namn, adress, e-post, telefon), identifikationsuppgifter (personnummer i format ÅÅÅÅMMDD-XXXX enligt folkbokföringslagen (1991:481)), faktureringsuppgifter, betalningsuppgifter, beställningsuppgifter, kommunikationshistorik, IP-adress och tekniska data (enhet, webbläsare, operativsystem), kakdata och spårningsuppgifter, prestationsdata vid anställning, hälsouppgifter vid sjukvård. Vid känsliga personuppgifter enligt artikel 9 GDPR (hälsa, ras, politisk åsikt, religion, biometriska uppgifter) ska detta särskilt markeras med rättslig grund.
Ändamål med behandlingen. Konkreta ändamål för varje typ av behandling. Vanliga ändamål inkluderar fullgörande av avtal (kundförhållande, leverans), administrativa rutiner (fakturering, bokföring), marknadsföring (nyhetsbrev, riktade annonser), analys och förbättring av tjänsten, kundsupport och tvistlösning, säkerhet och bedrägeribekämpning, rättsliga skyldigheter (bokföring, skatt, AML/KYC). Varje ändamål ska kopplas till rätt rättslig grund.
Rättsliga grunder enligt artikel 6 GDPR. För varje ändamål anges en eller flera rättsliga grunder. (a) Samtycke (artikel 6.1.a) för nyhetsbrev, marknadsföring och frivilliga funktioner. (b) Avtal (artikel 6.1.b) för kundförhållande, leverans och betalning. (c) Rättslig förpliktelse (artikel 6.1.c) för bokföring enligt bokföringslagen (1999:1078), skattekrav enligt skatteförfarandelagen (2011:1244), AML-krav enligt lag (2017:630) om åtgärder mot penningtvätt. (d) Grundläggande intressen (artikel 6.1.d) i sällsynta fall. (e) Allmänt intresse (artikel 6.1.e) för myndigheter och vissa offentliga uppgifter. (f) Berättigat intresse (artikel 6.1.f) för marknadsföring, analys, säkerhet och bedrägeribekämpning, efter intresseavvägning. Vid känsliga uppgifter enligt artikel 9 GDPR krävs grund enligt artikel 9.2.
Mottagare av personuppgifter. Kategorier av mottagare som personuppgifter delas med. Vanliga mottagare inkluderar personuppgiftsbiträden under personuppgiftsbiträdesavtal enligt artikel 28 GDPR (IT-leverantörer, hosting hos Amazon AWS eller Microsoft Azure, e-postutskickstjänster som Mailchimp eller Klaviyo, betaltjänster som Klarna eller Stripe), banker och kortinlösen, myndigheter vid lagstadgad rapporteringsplikt, koncernbolag enligt aktiebolagslagen (2005:551) 1 kap. 11 §, professionella rådgivare (advokater, revisorer). Vid varje mottagare anges syftet med delning samt eventuella skyddsåtgärder vid tredjeland.
Överföring till tredje land. Vid överföring av personuppgifter utanför EU/EES ska tillämpliga skyddsåtgärder enligt artiklarna 44 till 49 GDPR anges. Vanliga skyddsåtgärder inkluderar standardavtalsklausuler antagna av EU-kommissionen genom beslut (EU) 2021/914, bindande företagsregler (BCR) enligt artikel 47 GDPR, adekvansbeslut enligt artikel 45 GDPR (USA via EU-US Data Privacy Framework, Storbritannien, Schweiz, Japan). Efter Schrems II-domen (EU-domstolen mål C-311/18 av den 16 juli 2020) krävs dessutom kompletterande tekniska och organisatoriska åtgärder vid överföring till USA.
Lagringstider. Konkreta lagringstider för olika kategorier av uppgifter. Bokföringsuppgifter lagras sju år enligt bokföringslagen (1999:1078) 7 kap. 2 §. Avtalshandlingar lagras under preskriptionstiden tio år enligt preskriptionslagen (1981:130). Konsumentfordringar lagras tre år enligt konsumentköplagen (2022:260). Anställningsuppgifter lagras enligt arbetsrättsliga bevarandetider. Marknadsföringsdata lagras tills samtycke återkallas eller tre år efter senaste interaktion. Cookies lagras enligt cookiepolicy. Efter angiven tid raderas eller anonymiseras uppgifterna.
Registrerades rättigheter enligt artiklarna 15 till 22 GDPR. Komplett uppräkning av samtliga rättigheter med hänvisning till relevant artikel. Rätten till information (art. 13-14), rätten till tillgång (art. 15), rätten till rättelse (art. 16), rätten till radering (art. 17), rätten till begränsning (art. 18), rätten till dataportabilitet (art. 20), rätten att invända (art. 21), rätten att inte bli föremål för automatiserat beslutsfattande (art. 22), rätten att återkalla samtycke (art. 7.3), rätten att inge klagomål till tillsynsmyndighet (art. 77). Konkreta instruktioner för att utöva rättigheter (e-postadress, formulär, postadress).
Cookies och spårningstekniker. Avsnitt om cookies enligt 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK) som implementerar ePrivacy-direktivet 2002/58/EG. Beskrivning av typer av cookies (strikt nödvändiga, statistik, marknadsföring, tredjeparts), syften, varaktighet samt hur samtycke samlas in och hanteras. Hänvisning till cookieinställningssida eller cookie banner. Vid Google Analytics, Facebook Pixel eller liknande tredjepartscookies anges leverantörer och syfte. På forms-legal.com finns även mallar för GDPR-begäran om Registerutdrag, GDPR-begäran om Radering och relaterade integritetsdokument enligt svensk rätt.
Säkerhetsåtgärder. Beskrivning av tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR. Vanliga åtgärder inkluderar kryptering (SSL/TLS för dataöverföring, AES-256 för lagring), åtkomstkontroll med behörighetsstyrning, tvåfaktorsautentisering, regelbunden säkerhetstestning och penetrationstester, säkerhetskopiering och katastrofplaner, utbildning av personal, processer för anmälan av personuppgiftsincidenter (datalack) enligt artikel 33 GDPR inom 72 timmar till IMY och vid risk för registrerade enligt artikel 34 GDPR.
Klagomål och eskalering. Konkreta instruktioner för att framföra klagomål. Steg ett: kontakta personuppgiftsansvarig eller DPO direkt. Steg två: inge klagomål till Integritetsskyddsmyndigheten (IMY) på Drottninggatan 29, 111 51 Stockholm, [email protected] eller telefon 08-657 61 00. Steg tre: rättslig prövning enligt artikel 79 GDPR och eventuellt skadestånd enligt artikel 82 GDPR. Förvaltningsrätten i Stockholm är första instans för överklagande av IMY:s beslut.
Updateringar och version. Datum för senaste uppdatering, version eller revisionsnummer. Information om hur ändringar i policyn kommuniceras till registrerade (e-post, webbplatsannouncement, banner). Vid väsentliga ändringar i behandlingen krävs i vissa fall nytt samtycke från registrerade.
Så fyller du i Integritetspolicy Sverige (GDPR-kompatibel)
En Integritetspolicy i Sverige fylls i genom följande steg som säkerställer korrekt utformning enligt artiklarna 13 och 14 GDPR samt övrig svensk lagstiftning.
Steg 1 - Identifiera personuppgiftsansvarig. Fyll i företagets fullständiga namn enligt Bolagsverkets register, organisationsnummer (tio siffror), registrerad adress samt kontakt-e-post för integritetsfrågor. Vid koncern ange moder- och dotterbolag. Bolagsverkets webbplats bolagsverket.se ger sökning på företagsuppgifter. Vid utländska företag med svensk verksamhet ange EU-ombud enligt artikel 27 GDPR.
Steg 2 - Bedöm behov av dataskyddsombud. Granska om dataskyddsombud (DPO) krävs enligt artikel 37 GDPR. DPO är obligatoriskt för myndigheter samt privata organisationer som har som kärnverksamhet storskalig systematisk övervakning av registrerade eller storskalig behandling av särskilda kategorier av uppgifter (hälsa, biometriska data, känsliga uppgifter). Vid utsedd DPO ange namn eller funktionsbeteckning och kontakt-e-post. Vid frivilligt utsedd DPO kan funktionsnamnet 'Dataskyddsombudet' användas utan personnamn.
Steg 3 - Beskriv webbplats och syften. Ange webbplatsens domännamn och huvudsakliga syfte (e-handel, tjänsteleverans, kundkonton, marknadsföring). Tydligt beskriva vilka tjänster som tillhandahålls och vilka målgrupper som riktas. Detta sätter ramen för efterföljande beskrivning av personuppgiftsbehandling.
Steg 4 - Lista kategorier av personuppgifter. Beskriv konkret vilka kategorier av personuppgifter som webbplatsen samlar in. Exempel: 'Kontaktuppgifter (namn, adress, e-post, telefon), beställningsuppgifter (vara, mängd, leveransadress), betalningsuppgifter (kortnummer hanteras av betaltjänstleverantör Klarna eller Stripe), IP-adress och tekniska data (webbläsare, operativsystem), kakdata, kommunikationshistorik vid kundsupport, konto- och inloggningsuppgifter, beteendedata via Google Analytics i anonymiserad form.' Var konkret men inte uttömmande - 'och liknande' undanröjer behov av uppdatering vid mindre justeringar.
Steg 5 - Ange rättsliga grunder enligt artikel 6 GDPR. För varje ändamål ange en eller flera rättsliga grunder. Vanliga kopplingar: kundförhållande och leverans = avtal (art. 6.1.b); nyhetsbrev = samtycke (art. 6.1.a); bokföring och skatt = rättslig förpliktelse (art. 6.1.c); marknadsföring och analys = berättigat intresse (art. 6.1.f); säkerhet och bedrägeribekämpning = berättigat intresse (art. 6.1.f). Vid känsliga uppgifter enligt artikel 9 GDPR (hälsa, biometriska data) krävs grund enligt artikel 9.2 (vanligen samtycke 9.2.a eller rättslig förpliktelse 9.2.b).
Steg 6 - Definiera lagringstider. Ange konkreta lagringstider för olika kategorier. Bokföringsuppgifter sju år enligt bokföringslagen (1999:1078) 7 kap. 2 §. Avtalshandlingar tio år enligt preskriptionslagen (1981:130). Konsumentfordringar tre år enligt konsumentköplagen (2022:260). Anställningsuppgifter enligt arbetsrättsliga bevarandetider. Marknadsföringsdata tills återkallat samtycke eller tre år efter senaste interaktion. Cookies enligt cookiepolicy (sessionscookies, 30 dagar, 12 månader, 24 månader beroende på typ). Efter angiven tid raderas eller anonymiseras uppgifter.
Steg 7 - Lista mottagare av personuppgifter. Beskriv kategorier av mottagare. Vanliga mottagare: personuppgiftsbiträden (IT-leverantörer som Amazon AWS, Microsoft Azure, Google Cloud; e-postutskickstjänster som Mailchimp, Klaviyo, SendGrid; CRM-system som Salesforce, HubSpot; analyssystem som Google Analytics, Hotjar; betaltjänster som Klarna, Stripe, Adyen, Swish), banker och kortinlösen, myndigheter (Skatteverket, Polismyndigheten, Domstolsverket), koncernbolag enligt aktiebolagslagen (2005:551) 1 kap. 11 §, professionella rådgivare (advokater, revisorer). Vid varje mottagare ange syftet med delning.
Steg 8 - Hantera tredje land. Vid överföring utanför EU/EES ange tillämpliga skyddsåtgärder. Standardavtalsklausuler antagna av EU-kommissionen genom beslut (EU) 2021/914 är vanligast. Vid USA-baserade tjänsteleverantörer (Google, Microsoft, AWS, Salesforce) ange dessutom EU-US Data Privacy Framework som adekvansbeslut samt eventuella kompletterande åtgärder efter Schrems II-domen. Vid större koncerner med globala verksamheter kan bindande företagsregler (BCR) enligt artikel 47 GDPR komma ifråga.
Steg 9 - Lista registrerades rättigheter. Komplett uppräkning av samtliga rättigheter enligt artiklarna 15 till 22 GDPR med hänvisning till relevant artikel. Konkreta instruktioner för att utöva rättigheter: 'För att utöva rättigheter kontakta oss via [email protected]. Vi besvarar din begäran utan onödigt dröjsmål och senast inom en månad enligt artikel 12.3 GDPR.' Hänvisa även till klagomålsrätten till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR och rätten till effektivt rättsmedel enligt artikel 79 GDPR.
Steg 10 - Säkerhetsåtgärder, cookies, klagomål och version. Beskriv tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR (kryptering, åtkomstkontroll, tvåfaktorsautentisering, säkerhetstestning, säkerhetskopiering, utbildning, datalackshantering enligt artiklarna 33 och 34 GDPR). Avsnitt om cookies enligt 6 kap. 18 § LEK med beskrivning av typer, syften, varaktighet och samtyckehantering. Avsnitt om klagomål med kontaktuppgifter till IMY (Drottninggatan 29, 111 51 Stockholm, [email protected], telefon 08-657 61 00) och eskalering till Förvaltningsrätten i Stockholm. Datum för senaste uppdatering. Publicera på webbplatsen i sidfot eller på dedikerad sida som är lättillgänglig från varje sida.
Juridiska krav för Integritetspolicy Sverige (GDPR-kompatibel)
En Integritetspolicy i Sverige är underkastad en omfattande uppsättning rättsliga krav från EU-rätt, svensk lag och tillsynsmyndigheters vägledning.
Grundläggande EU-rättslig grund. Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) trädde i kraft den 25 maj 2018 och är direkt tillämplig i samtliga EU:s medlemsstater enligt artikel 288 i fördraget om Europeiska unionens funktionssätt (FEUF). Artiklarna 13 och 14 GDPR specificerar informationskraven vid insamling av personuppgifter direkt från den registrerade respektive från annan källa. Artikel 12 GDPR kräver att informationen tillhandahålls i en koncis, transparent, lättförståelig och lättillgänglig form med klart och enkelt språk, särskilt vid information riktad till barn.
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Trädde i kraft den 25 maj 2018 samtidigt som GDPR. Lagen innehåller bestämmelser om Integritetsskyddsmyndigheten (IMY) som tillsynsmyndighet enligt artikel 51 GDPR (7 kap. 1 §), klagomålsrätten enligt artikel 77 GDPR (7 kap. 2 §), överklagandeordningen vid Förvaltningsrätten i Stockholm (7 kap. 4 §), behandling av personuppgifter inom forskning, statistik och arkiv samt skadeståndsregler enligt artikel 82 GDPR.
Lag (2003:389) om elektronisk kommunikation (LEK). Implementerar ePrivacy-direktivet 2002/58/EG om integritet och elektronisk kommunikation. Centrala bestämmelser för integritetspolicy är 6 kap. 18 § om cookies och liknande spårningstekniker som kräver användarens informerade samtycke för annat än strikt nödvändiga cookies, samt 6 kap. 19 § om obeställd elektronisk post (spam) som kräver samtycke för marknadsföring via e-post och sms. Post- och telestyrelsen (PTS) övervakar LEK tillsammans med Integritetsskyddsmyndigheten (IMY). Den planerade ePrivacy-förordningen ska ersätta direktivet men har dröjt och förväntas träda i kraft tidigast under 2026 eller 2027.
Marknadsföringslagen (2008:486). Reglerar marknadsföringsåtgärder och tillämpas parallellt med GDPR vid samtyckesbaserad marknadsföring. Lagen kräver att marknadsföring ska följa god marknadsföringsetik och inte vara vilseledande. Vid direktmarknadsföring krävs informerat samtycke som kan återkallas. Konsumentverket och Konsumentombudsmannen (KO) övervakar marknadsföringslagen.
Konsumentköplagen (2022:260) och distansavtalslagen (2005:59). Tillämpas vid e-handel och kundförhållande med konsumenter. Lagen kräver tydlig information om köpeskilling, leverans, ångerrätt (14 dagar för distansavtal) samt kontaktuppgifter. Integritetspolicyn ska kompletteras av användarvillkor som täcker avtalsförhållandet. Allmänna reklamationsnämnden (ARN) prövar konsumenttvister enligt lag (2015:671) om alternativ tvistlösning.
Bokföringslagen (1999:1078) och skatteförfarandelagen (2011:1244). Tillämpas vid företagsbehandling av personuppgifter med rättslig grund i rättslig förpliktelse enligt artikel 6.1.c GDPR. Bokföringslagen 7 kap. 2 § kräver bevarande av räkenskapsinformation i sju år efter räkenskapsårets utgång. Skatteförfarandelagen ställer krav på skatterapportering. Skatteverket tillämpar dessa regler.
Lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen). Tillämpas vid banker, försäkringsbolag, fastighetsmäklare, advokater, revisorer och övriga verksamhetsutövare. Lagen implementerar EU:s penningtvättsdirektiv och kräver kundkännedom (KYC), uppföljning och rapportering av misstänkta transaktioner. Vid sådan behandling krävs särskild beskrivning i integritetspolicyn med rättslig grund i artikel 6.1.c GDPR.
Kategorier av särskilda uppgifter enligt artikel 9 GDPR. Vid behandling av särskilda kategorier (ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, fackföreningstillhörighet, genetiska data, biometriska data, hälsouppgifter, sexuell läggning) krävs grund enligt artikel 9.2. Vanliga grunder är samtycke (9.2.a), rättslig förpliktelse (9.2.b), grundläggande intressen (9.2.c), behandling inom ramen för stiftelser och föreningar (9.2.d) eller folkhälsoändamål (9.2.h-i). Integritetspolicyn ska tydligt markera sådana kategorier och rättslig grund.
Uppgifter om barn enligt artikel 8 GDPR. Vid samtyckesbaserad behandling av personuppgifter om barn under 13 år enligt 5 § dataskyddslagen krävs samtycke från vårdnadshavare. Integritetspolicyn ska beskriva detta särskilt om tjänsten riktas till barn. Vid spelplattformar, utbildningsappar och liknande tjänster måste särskilda åtgärder vidtas. Sveriges Konsumentverk och Barnombudsmannen erbjuder vägledning.
Automatiserat beslutsfattande och profilering enligt artikel 22 GDPR. Vid beslut som enbart vilar på automatiserad behandling, inklusive profilering, som har rättsliga eller liknande betydande följder för den registrerade, ska den registrerade informeras särskilt. Vanliga exempel är kreditbedömning, prisindividualisering och försäkringsbedömning. Integritetspolicyn ska beskriva sådan behandling med meningsfull information om logiken samt betydelsen och de förväntade följderna.
Gränsöverskridande överföring enligt artiklarna 44 till 49 GDPR. Vid överföring till tredje land utanför EU/EES krävs tillämpliga skyddsåtgärder. Adekvansbeslut enligt artikel 45 (USA via EU-US Data Privacy Framework, Storbritannien, Schweiz, Japan, Sydkorea, Kanada med begränsningar). Standardavtalsklausuler enligt beslut (EU) 2021/914. Bindande företagsregler enligt artikel 47 GDPR. Efter Schrems II-domen från EU-domstolen (mål C-311/18 av den 16 juli 2020) krävs dessutom kompletterande tekniska och organisatoriska åtgärder vid överföring till USA.
Personuppgiftsbiträdesavtal enligt artikel 28 GDPR. Vid anlitande av personuppgiftsbiträden (IT-leverantörer, hosting, e-postutskickstjänster, betaltjänster) ska skriftligt avtal upprättas som täcker biträdets skyldigheter enligt artikel 28.3 GDPR. Avtalet är inte del av integritetspolicyn men måste finnas separat. Integritetspolicyn beskriver dock kategorier av biträden och syftet med delning.
Datalackshantering enligt artiklarna 33 och 34 GDPR. Vid personuppgiftsincident (datalack) ska personuppgiftsansvarig anmäla incidenten till tillsynsmyndighet utan onödigt dröjsmål och senast inom 72 timmar enligt artikel 33 GDPR. Vid risk för registrerades rättigheter och friheter ska den registrerade informeras enligt artikel 34 GDPR. Integritetspolicyn bör beskriva incidenthanteringsprocesser översiktligt.
Konsekvensbedömning enligt artikel 35 GDPR (DPIA). Vid behandling som sannolikt leder till hög risk för registrerades rättigheter och friheter ska konsekvensbedömning utföras innan behandlingen påbörjas. Detta är obligatoriskt vid systematisk och omfattande utvärdering av personliga aspekter (automatiserat beslutsfattande), storskalig behandling av särskilda kategorier eller storskalig systematisk övervakning av allmänt tillgängliga platser.
Administrativa sanktionsavgifter enligt artikel 83 GDPR. Vid överträdelse av GDPR-bestämmelserna kan IMY besluta om sanktionsavgifter. Den lägre skalan enligt artikel 83.4 GDPR omfattar belopp på upp till 10 miljoner euro eller två procent av den globala årsomsättningen. Den högre skalan enligt artikel 83.5 GDPR omfattar belopp på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. IMY beaktar omständigheter som överträdelsens art, allvar och varaktighet, antalet drabbade registrerade samt graden av skada vid sanktionsbeslutet.
Skadeståndsrätt enligt artikel 82 GDPR. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av GDPR har rätt till ersättning från personuppgiftsansvarig eller personuppgiftsbiträde. Enligt 7 kap. 1 § dataskyddslagen prövas skadeståndsanspråk av allmän domstol (tingsrätt, hovrätt, Högsta domstolen). EU-domstolen har i mål C-300/21 UI mot Österreichische Post AG av den 4 maj 2023 fastslagit att skadestånd för immateriell skada inte kräver att skadan överstiger viss tröskelnivå.
Vanliga misstag i Integritetspolicy Sverige (GDPR-kompatibel)
Följande misstag förekommer regelbundet vid utformning av Integritetspolicy i Sverige och kan leda till sanktioner från Integritetsskyddsmyndigheten (IMY) eller civilrättslig ansvarsexponering enligt artikel 82 GDPR.
Misstag 1 - För generell formulering. Att använda allmänna formuleringar som 'vi samlar in personuppgifter för att leverera var tjänst' utan konkreta kategorier, ändamål och rättsliga grunder strider mot transparensprincipen enligt artikel 12.1 GDPR. Integritetspolicyn ska vara konkret, kortfattad men uttömmande, lättförståelig och anpassad till målgruppen. Mall-baserade allmänna policys utan anpassning till den specifika verksamheten är ofta otillräckliga och kan leda till klagomål och sanktioner från IMY.
Misstag 2 - Saknad eller felaktig rättslig grund. Att inte ange rättslig grund enligt artikel 6 GDPR för varje ändamål eller att åberopa fel grund är vanliga problem. 'Samtycke' åberopas ofta felaktigt vid behandling som bör vila på avtal eller rättslig förpliktelse. Vid kundförhållande är avtal (artikel 6.1.b) korrekt grund, inte samtycke. Vid bokföring är rättslig förpliktelse (artikel 6.1.c) enligt bokföringslagen (1999:1078) korrekt grund. Vid marknadsföring är samtycke (artikel 6.1.a) eller berättigat intresse (artikel 6.1.f) tillämpliga, beroende på kanal och kontext. Felaktig rättslig grund kan leda till ogiltig behandling och sanktioner.
Misstag 3 - Saknat avsnitt om registrerades rättigheter. Att utelämna eller bristfälligt beskriva rättigheterna enligt artiklarna 15 till 22 GDPR är en allvarlig brist. Integritetspolicyn måste innehålla komplett uppräkning av rättigheter (tillgång, rättelse, radering, begränsning, dataportabilitet, invändning, ej automatiserat beslutsfattande, återkallat samtycke, klagomål till IMY) samt konkreta instruktioner för att utöva dem. Vag formulering som 'du har rättigheter' utan specificering är otillräcklig.
Misstag 4 - Bristfällig cookieinformation. Att inte beskriva cookies enligt 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK) eller endast nämna cookies utan typer, syften och varaktighet strider mot transparenskravet. Cookieinformation ska omfatta strikt nödvändiga cookies (tillåtna utan samtycke), statistik och analys (kräver samtycke), marknadsföring och personalisering (kräver samtycke), tredjepartscookies (Google, Facebook, LinkedIn) med leverantörer och syften. Cookie banner ska tillåta granulärt samtycke per kategori och möjliggöra återkallande.
Misstag 5 - Saknad eller felaktig hantering av tredje land. Vid överföring av personuppgifter till länder utanför EU/EES (USA via Google, Microsoft, AWS, Facebook; Storbritannien efter Brexit; Indien, Filippinerna för outsourcing) krävs tillämpliga skyddsåtgärder enligt artiklarna 44 till 49 GDPR. Att inte nämna sådan överföring eller att hänvisa till föråldrade mekanismer (Privacy Shield som ogiltigförklarades i Schrems II av den 16 juli 2020) är allvarliga brister. Aktuella mekanismer är standardavtalsklausuler enligt beslut (EU) 2021/914, EU-US Data Privacy Framework (för USA), bindande företagsregler enligt artikel 47.
Misstag 6 - Inaktuell information. Integritetspolicyn ska vara aktuell och spegla faktisk behandling. Vanliga inaktualiteter inkluderar: föråldrade kontaktuppgifter (gammal e-postadress, gamla telefonnummer, fel adress), inaktuella personuppgiftsbiträden (gamla IT-leverantörer som inte längre används), saknade nya tjänsteleverantörer (nya CRM-system, nya marknadsföringsverktyg), uppdaterade lagstadgade bevarandetider. Periodisk översyn (vanligen årligen och vid större förändringar) är obligatorisk. Vid större förändringar ska registrerade informeras enligt artikel 12 GDPR.
Misstag 7 - Otillgänglig placering. Att placera integritetspolicy på svårtillgänglig plats (endast i sidfot med liten text, dolt under tjockt menytråd, endast som länkad PDF utan webbsida) strider mot tillgänglighetsprincipen enligt artikel 12.1 GDPR. Policyn ska vara lättillgänglig från varje sida på webbplatsen, vanligen via sidfot eller dedikerad sida med tydligt namn ('Integritetspolicy', 'Personuppgiftsskydd', 'Privacy Policy'). Vid cookie banner ska direkt länk till policyn finnas. Vid registrering eller beställning ska policyn lätt kunna granskas innan godkännande.
Misstag 8 - Saknad beskrivning av säkerhetsåtgärder. Att utelämna avsnitt om tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR är vanligt men felaktigt. Policyn ska beskriva grundläggande säkerhetsåtgärder (kryptering, åtkomstkontroll, säkerhetskopiering, utbildning) samt processer för incidenthantering enligt artiklarna 33 och 34 GDPR. Vid datalack ska anmälan ske till IMY inom 72 timmar och vid risk för registrerade ska de informeras. Saknat avsnitt försämrar förtroendet och kan ses som otillräckligt vid IMY-granskning.
Citera den här sidan
Hänvisa till den här gratismallen i en artikel, kursplan eller forskningsanteckning:
Forms Legal. (2026). Integritetspolicy Sverige (GDPR-kompatibel) (Sverige) [Legal document template]. Forms Legal. https://forms-legal.com/sv/sverige/business/policies/integritetspolicy
"Integritetspolicy Sverige (GDPR-kompatibel) (Sverige)." Forms Legal, 2026, https://forms-legal.com/sv/sverige/business/policies/integritetspolicy.
@misc{formslegal-integritetspolicy,
author = {{Forms Legal}},
title = {Integritetspolicy Sverige (GDPR-kompatibel) (Sverige)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sv/sverige/business/policies/integritetspolicy}},
note = {Free legal document template}
}Vanliga frågor
Ja, varje organisation som behandlar personuppgifter om personer i Sverige eller övriga EU/EES måste tillhandahålla en integritetspolicy enligt artiklarna 13 och 14 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR). Skyldigheten gäller oberoende av företagets storlek, omsättning eller geografisk placering. Även mycket små företag, frilansare, hantverkare, restauranger med kontaktformulär eller liknande verksamhet måste ha integritetspolicy om personuppgifter samlas in. Artikel 13 GDPR tillämpas när personuppgifterna samlas in direkt från den registrerade (kund som registrerar konto, beställer vara, prenumererar på nyhetsbrev, kontaktar via formulär). Artikel 14 GDPR tillämpas när personuppgifterna samlas in från annan källa än den registrerade (offentliga register, partneraktörer, betalningstjänster). Vid båda artiklar ska information tillhandahållas vid eller före insamlingstillfället, vanligen via integritetspolicy på webbplatsen, vid registreringen eller i avtalshandling. Innehållet ska enligt artikel 12 GDPR vara kortfattat, transparent, lättförståeligt och lättillgängligt med klart och enkelt språk, särskilt vid information riktad till barn. Saknad eller bristfällig integritetspolicy kan leda till klagomål till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR, varning eller reprimand från IMY, föreläggande att åtgärda bristen, samt administrativa sanktionsavgifter enligt artikel 83.4 GDPR på upp till 10 miljoner euro eller två procent av den globala årsomsättningen. Vid berörda registrerade kan dessutom skadeståndskrav enligt artikel 82 GDPR och 7 kap. 1 § lag (2018:218) komma ifråga vid materiell eller immateriell skada. För svenska företag är det dessutom rekommenderat att ha integritetspolicy även på engelska om verksamheten riktas mot internationella besökare, för att uppfylla tillgänglighetskravet enligt artikel 12.1 GDPR.
Integritetspolicy, cookiepolicy och användarvillkor är tre distinkta dokument med olika syften och rättsliga grunder. Integritetspolicyn enligt artiklarna 13 och 14 GDPR är ett informationsdokument som beskriver hur personuppgifter behandlas av personuppgiftsansvarig. Den täcker identifiering av personuppgiftsansvarig, kategorier av personuppgifter, ändamål, rättsliga grunder, mottagare, lagringstider, registrerades rättigheter och eskalering. Syftet är att uppfylla transparensprincipen och informera registrerade om deras rättigheter. Cookiepolicy är ett kompletterande dokument som specifikt beskriver cookies och liknande spårningstekniker enligt 6 kap. 18 § lag (2003:389) om elektronisk kommunikation (LEK) som implementerar ePrivacy-direktivet 2002/58/EG. Cookiepolicy täcker typer av cookies (strikt nödvändiga, statistik, marknadsföring), syften, varaktighet, tredjepartscookies (Google Analytics, Facebook Pixel) samt hur samtycke samlas in och hanteras. Vid större webbplatser kan cookiepolicy vara ett separat dokument; vid mindre webbplatser ofta integrerat i integritetspolicyn. Användarvillkor (även kallat terms of service eller terms and conditions) är ett avtalsdokument som reglerar förhållandet mellan tjänsteleverantör och användare. Användarvillkor täcker tillåtna och förbjudna användningar, immaterialrätt, ansvarsbegränsning, betalningsvillkor, ångerrätt, garantier, konfliktlösning och avsiktlig brott av villkor. Vid e-handel kompletteras användarvillkor av specifika köpvillkor enligt konsumentköplagen (2022:260) och distansavtalslagen (2005:59). Användarvillkor är ett avtal som användaren ingår genom att använda tjänsten eller registrera konto. Tre dokumenten kompletterar varandra och bör finnas tillgängliga från varje sida på webbplatsen, vanligen via sidfot. Vid kundregistrering eller beställning ska användaren ges möjlighet att granska samtliga dokument innan godkännande. Vid ändringar i integritetspolicyn ska berörda registrerade informeras enligt artikel 12 GDPR; vid ändringar i användarvillkor ska samtycke vanligen samlas in på nytt.
Rättslig grund är den juridiska anledningen till att personuppgifter får behandlas. Enligt artikel 6 GDPR är behandling av personuppgifter endast laglig om minst en av sex rättsliga grunder är tillämplig. För det första samtycke från den registrerade för ett eller flera specifika ändamål (artikel 6.1.a). För det andra behandling som är nödvändig för fullgörande av ett avtal i vilket den registrerade är part eller för åtgärder före avtal (artikel 6.1.b). För det tredje behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar personuppgiftsansvarig (artikel 6.1.c). För det fjärde behandling som är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller annan fysisk person (artikel 6.1.d). För det femte behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1.e). För det sjätte behandling som är nödvändig för ändamål som rör personuppgiftsansvariges eller en tredjepartens berättigade intressen, om inte dessa intressen åsidosätts av den registrerades intressen eller grundläggande rättigheter och friheter (artikel 6.1.f). Vid känsliga personuppgifter enligt artikel 9 GDPR (hälsa, ras, religion, politisk åsikt, biometriska data, fackföreningstillhörighet, sexuell läggning) krävs dessutom grund enligt artikel 9.2 GDPR. Korrekt rättslig grund är central av flera anledningar. Rättigheter skiljer sig per grund: vid samtycke (artikel 6.1.a) kan den registrerade när som helst återkalla samtycket enligt artikel 7.3 GDPR. Vid avtal (artikel 6.1.b) kan inte återkallande ske; behandlingen är knuten till avtalsperioden. Vid berättigat intresse (artikel 6.1.f) kan invändning göras enligt artikel 21 GDPR med rätt till stopp om personuppgiftsansvarigs intresse inte väger tyngre. Rätten till dataportabilitet enligt artikel 20 GDPR gäller endast vid samtycke eller avtal. Felaktig rättslig grund kan leda till ogiltig behandling, klagomål till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR och sanktioner enligt artikel 83 GDPR. Vid komplexa behandlingar kan flera grunder samtidigt åberopas (avtal för kundförhållande plus rättslig förpliktelse för bokföring plus samtycke för marknadsföring).
Integritetspolicyn ska uppdateras vid varje väsentlig förändring i personuppgiftsbehandlingen samt periodiskt för att säkerställa att den är aktuell. Som tumregel rekommenderas följande. För det första vid varje väsentlig förändring i behandlingen: nya kategorier av personuppgifter, nya ändamål, nya rättsliga grunder, nya mottagare (nya personuppgiftsbiträden eller koncernbolag), nya tredjelandsöverföringar, ändrade lagringstider, nya säkerhetsåtgärder eller nya cookies och spårningstekniker. För det andra vid lagändringar: nya EU-förordningar eller direktiv (planerad ePrivacy-förordning), ändringar i svensk lagstiftning, nya beslut från Integritetsskyddsmyndigheten (IMY) eller Europeiska dataskyddsstyrelsen (EDPB), nya EU-domstolsavgöranden (Schrems II av den 16 juli 2020 krävde stora uppdateringar avseende USA-överföring). För det tredje vid årlig översyn: en gång om året granska samtliga delar av policyn för att bekräfta att den speglar faktisk behandling. För det fjärde vid revision eller granskning: vid intern revision, extern revision eller IMY-granskning kan brister upptäckas som kräver uppdatering. Vid uppdatering ska följande rutin följas. Steg ett: dokumentera ändringen internt med datum och beskrivning. Steg två: granska om ändringen är väsentlig och kräver kommunikation till registrerade enligt artikel 12 GDPR. Vid ny rättslig grund eller nytt ändamål kan nytt samtycke krävas. Steg tre: uppdatera datumet 'senast uppdaterad' och versionsnummer i policyn. Steg fyra: vid väsentliga ändringar informera registrerade via e-post (vid kontoinnehavare), banner på webbplatsen eller annan lämplig kanal. Steg fem: vid större ändringar samla in nytt samtycke från befintliga registrerade om samtycke är rättslig grund. Steg sex: arkivera tidigare versioner internt för dokumentationsändamål. Vid ändringar relaterade till känsliga personuppgifter enligt artikel 9 GDPR eller behandling av barn under 13 år enligt artikel 8 GDPR krävs särskilda åtgärder. Vid ändringar i tredje land-överföring (nytt land, ny mekanism) krävs särskild kommunikation och eventuellt nytt samtycke. Större svenska företag har vanligen kvartalsvisa interna granskningar och årliga publika uppdateringar.
Enligt GDPR har registrerade (kunder, anställda, besökare) omfattande rättigheter som personuppgiftsansvarig måste respektera. Rätten till information enligt artiklarna 13 och 14 GDPR innebär att registrerade ska informeras om behandlingen vid insamlingstillfället. Detta uppfylls vanligen genom integritetspolicy. Rätten till tillgång enligt artikel 15 GDPR (registerutdrag) ger registrerade rätt att få bekräftelse på att personuppgifter behandlas och få kopia av uppgifterna samt kompletterande information om ändamål, kategorier, mottagare, lagringstid och övriga rättigheter. Tidsfrist en månad enligt artikel 12.3 GDPR med möjlig förlängning på två månader. Rätten till rättelse enligt artikel 16 GDPR ger registrerade rätt att få felaktiga eller ofullständiga personuppgifter rättade utan onödigt dröjsmål. Rätten till radering enligt artikel 17 GDPR (rätten att bli bortglömd) ger registrerade rätt att få personuppgifter raderade när någon av sex grunder är tillämplig: ej längre nödvändiga uppgifter, återkallat samtycke, invändning enligt artikel 21, olaglig behandling, rättslig förpliktelse, uppgifter om barn under 13 år. Undantag enligt artikel 17.3 GDPR omfattar yttrandefrihet, rättslig förpliktelse, allmänt intresse, forskningsändamål och rättsliga anspråk. Rätten till begränsning enligt artikel 18 GDPR ger registrerade rätt att kräva att behandlingen begränsas (markeras men inte aktivt används) i fyra situationer: bestriden korrekthet, olaglig behandling, behov av uppgifter för rättsliga anspråk, eller pågående granskning av invändning. Rätten till dataportabilitet enligt artikel 20 GDPR ger registrerade rätt att få ut sina uppgifter i strukturerat, allmänt använt och maskinläsbart format (vanligen JSON, XML, CSV) för överföring till annan personuppgiftsansvarig. Rätten gäller vid samtyckesbaserad eller avtalsbaserad behandling som utförs automatiserat. Rätten att invända enligt artikel 21 GDPR ger registrerade rätt att invända mot behandling som vilar på berättigat intresse eller mot direkt marknadsföring. Vid direktmarknadsföring är invändningen ovillkorlig. Rätten att inte bli föremål för automatiserat beslutsfattande enligt artikel 22 GDPR ger registrerade rätt att inte underkastas beslut som enbart vilar på automatiserad behandling, inklusive profilering, som har rättsliga eller liknande betydande följder. Undantag finns för avtal, lag eller uttryckligt samtycke. Rätten att återkalla samtycke enligt artikel 7.3 GDPR ger registrerade rätt att när som helst återkalla samtycke som behandling vilar på. Återkallandet påverkar inte lagligheten av tidigare behandling. Rätten att inge klagomål enligt artikel 77 GDPR ger registrerade rätt att inge klagomål till Integritetsskyddsmyndigheten (IMY). Rätten till effektivt rättsmedel enligt artikel 79 GDPR ger registrerade rätt att väcka talan vid domstol. Rätten till skadestånd enligt artikel 82 GDPR ger registrerade rätt till ersättning för materiell eller immateriell skada från överträdelse av GDPR.
Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § lag (2018:218). IMY har sitt kontor på Drottninggatan 29, 111 51 Stockholm. IMY kan inleda granskning av personuppgiftsansvarig på flera grunder: (1) klagomål från enskild person eller organisation enligt artikel 77 GDPR, (2) eget initiativ baserat på risk eller systematisk problemområde, (3) anmälan av personuppgiftsincident (datalack) enligt artikel 33 GDPR, (4) samverkan med övriga EU-tillsynsmyndigheter via Europeiska dataskyddsstyrelsen (EDPB). En typisk granskning följer följande process. Steg ett: skriftlig begäran om information enligt 7 kap. 3 § dataskyddslagen. Företaget ges vanligen 30 dagar att svara med begärd dokumentation: integritetspolicy, register över behandlingar enligt artikel 30 GDPR, personuppgiftsbiträdesavtal enligt artikel 28 GDPR, säkerhetsdokumentation, samtyckesdokumentation, eventuell konsekvensbedömning (DPIA) enligt artikel 35 GDPR. Steg två: eventuellt platsbesök hos personuppgiftsansvarig enligt artikel 58.1.f GDPR. IMY kan begära tillgång till lokaler, datasystem och dokumentation. Steg tre: utvärdering och eventuella kompletterande frågor. Steg fyra: beslut. Vid bedömda överträdelser kan IMY enligt artiklarna 58 och 83 GDPR vidta följande åtgärder: (a) varning om misstänkt överträdelse, (b) reprimand vid bekräftad mindre allvarlig överträdelse, (c) föreläggande att efterleva GDPR (rätta brister, ändra rutiner, lämna ut registerutdrag eller radera personuppgifter), (d) tillfälligt eller permanent förbud mot specifik behandling, (e) återkallande av eventuell certifiering enligt artikel 42 GDPR, (f) administrativa sanktionsavgifter. Sanktionsskalan är upp till 10 miljoner euro eller 2% av global årsomsättning för överträdelser av administrativa skyldigheter (artikel 83.4) eller upp till 20 miljoner euro eller 4% av global årsomsättning för överträdelser av grundläggande principer och registrerades rättigheter (artikel 83.5). IMY beaktar omständigheter som överträdelsens art, allvar, varaktighet, antal drabbade, graden av skada, om överträdelsen var avsiktlig eller oaktsam, åtgärder vidtagna för att begränsa skada, tidigare överträdelser samt samarbete med IMY. Vid beslut kan företaget överklaga till Förvaltningsrätten i Stockholm enligt 7 kap. 4 § dataskyddslagen inom tre veckor från delgivningen, vidare till Kammarrätten i Stockholm och slutligen Högsta förvaltningsdomstolen vid prövningstillstånd. Praktiskt rekommenderas att samarbeta aktivt med IMY, lämna fullständig dokumentation, vidta omedelbara åtgärder mot identifierade brister samt anlita extern juridisk rådgivning vid komplexa eller stora ärenden.
Dataskyddsombud (Data Protection Officer, DPO) är obligatoriskt för vissa typer av organisationer enligt artikel 37 GDPR. För det första krävs DPO för myndigheter och offentliga organ som behandlar personuppgifter, oavsett storlek. Detta omfattar statliga myndigheter, kommuner, regioner och övriga organ som utför uppgifter på uppdrag av det allmänna. För det andra krävs DPO för organisationer vars kärnverksamhet består av behandling som kräver regelbunden och systematisk övervakning av registrerade i stor omfattning. Detta omfattar exempelvis försäkringsbolag (kreditbedömning), banker (KYC och AML), telekomoperatörer (trafikdata och lokalisering), onlineplattformar med användarprofilering (sociala medier, e-handel med personaliserade rekommendationer) och säkerhetsföretag (övervakningsvideo, biometriska data). För det tredje krävs DPO för organisationer vars kärnverksamhet består av storskalig behandling av särskilda kategorier av uppgifter enligt artikel 9 GDPR (hälsa, biometriska data, religion, politisk åsikt, sexuell läggning) eller av personuppgifter om brott och dömande domar enligt artikel 10 GDPR. Detta omfattar exempelvis sjukvårdsorganisationer, religiösa samfund och politiska partier. Vid osäkerhet om DPO krävs kan vägledning sökas hos Integritetsskyddsmyndigheten (IMY) på imy.se. Bedömningen 'stor omfattning' eller 'storskalig' är inte definierad exakt i GDPR utan ska göras kontextuellt utifrån antal registrerade, datavolym, geografisk omfattning och varaktighet. Vid frivilligt utsedd DPO gäller samma regler som vid obligatorisk utsedd DPO enligt artiklarna 38 och 39 GDPR. DPO ska enligt artikel 38 GDPR involveras i alla frågor som rör skydd av personuppgifter, ges nödvändiga resurser, säkerställas oberoende från arbetsgivare och inte avskedas eller straffas för utförande av sina uppgifter. DPO ska enligt artikel 39 GDPR (a) informera och rådgiva personuppgiftsansvarig och anställda, (b) övervaka efterlevnaden av GDPR och interna policys, (c) ge råd om konsekvensbedömningar (DPIA) enligt artikel 35 GDPR, (d) samarbeta med tillsynsmyndighet (IMY) och fungera som kontaktpunkt. DPO kan vara intern anställd eller extern konsult enligt artikel 37.6 GDPR. Vid extern DPO kan flera organisationer dela DPO-tjänst för att fördela kostnaden. DPO:s kontaktuppgifter ska publiceras enligt artikel 37.7 GDPR och meddelas IMY. Vid bristande efterlevnad av DPO-kravet kan IMY påföra sanktionsavgifter enligt artikel 83.4 GDPR på upp till 10 miljoner euro eller två procent av den globala årsomsättningen.
Denna mall tillhandahålls endast i informationssyfte och utgör inte juridisk rådgivning. Lagar varierar mellan jurisdiktioner och ändras över tid. Rådfråga en kvalificerad jurist för rådgivning som är specifik för din situation.Fullständig ansvarsfriskrivning
Hittade du ett fel? Berätta för ossRelated Documents
You may also find these documents useful:
GDPR-begäran om Registerutdrag Sverige
Skriftlig begäran om registerutdrag enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Riktas till personuppgiftsansvarig (företag, myndighet, organisation). Innehåller eskaleringsväg till Integritetsskyddsmyndigheten (IMY).
GDPR-begäran om Radering Sverige (Rätten att bli bortglömd)
Skriftlig begäran om radering av personuppgifter enligt artikel 17 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), även kallad rätten att bli bortglömd. Riktas till personuppgiftsansvarig. Anger rättslig grund enligt artikel 17.1 GDPR samt eskaleringsväg till Integritetsskyddsmyndigheten (IMY).
Användarvillkor Sverige (Terms of Service)
Användarvillkor för svensk webbplats eller digital tjänst enligt konsumentköplagen (2022:260), distansavtalslagen (2005:59), avtalslagen (1915:218) och tillämplig svensk lagstiftning. Innefattar avtalsförhållande, tillåten användning, immaterialrätt, betalning, ångerrätt, ansvarsbegränsning och tvistlösning.
Klagomål till Myndighet Sverige
Skriftligt klagomål till svensk myndighet, kommun eller region enligt förvaltningslagen (2017:900) och regeringsformen. Avser felaktigt myndighetsbeslut (begäran om omprövning enligt 37-39 §§), långsam handläggning, felaktigt bemötande eller annan brist i tjänsteutövning. Innehåller eskaleringsväg till JO, JK och Förvaltningsrätten.