Vår support är öppen mån. - fre. kl 09.00 - 16.00

Innehållsförteckning

Hem > Foretag > Starta foretag > GDPR för företagare

30. december 2025

GDPR för företagare

Vill du marknadsföra ditt företag eller lägga upp bilder från företagsminglet på företagets sociala medier? Då behöver du följa dataskyddsförordningen – även kallad GDPR (General Data Protection Regulation). När det pratas om GDPR företag handlar det om att ditt företag ska ta ansvar för hur ni samlar in, använder och sparar personuppgifter i verksamheten.

GDPR träder i kraft

Den 25 maj 2018 började dataskyddsförordningen GDPR gälla i hela EU. Sedan maj 2018 finns därmed ett gemensamt regelverk för dataskydd som ska skydda individers integritet och göra reglerna mer enhetliga för företag och andra organisationer som verkar inom EU.

Bryter man mot reglerna kan tillsynsmyndigheten besluta om mycket höga sanktionsavgifter, i allvarliga fall upp till 20 miljoner euro eller 4 procent av företagets globala årsomsättning, beroende på vilket belopp som är högst.

I Sverige ansvarar Integritetsskyddsmyndigheten (IMY) för att säkerställa att dataskyddsförordningen följs.

Vad är GDPR i korthet?

GDPR är EU:s dataskyddsregelverk (EU:s General Data Protection Regulation) som reglerar hur personuppgifter får samlas in, lagras, användas, raderas och i övrigt behandlas.

GDPR gäller både företag, myndigheter, föreningar och andra organisationer som behandlar personuppgifter om personer inom EU. Syftet är att ge personer bättre kontroll över sina uppgifter och säkerställa ett högt skydd för den personliga integriteten.

För dig som företagare innebär GDPR bland annat att du:

  • måste ha en rättslig grund för varje behandling av personuppgifter
  • måste informera personer om hur deras uppgifter används
  • måste se till att uppgifterna hanteras säkert
  • ska kunna visa att ni följer reglerna i dataskyddsförordningen.

Enligt GDPR har den registrerade (personen vars uppgifter behandlas) rättigheter, bland annat rätten att få veta vilka uppgifter som behandlas, rätten att få felaktiga uppgifter rättade och i vissa fall rätten att bli raderad.

Vilka omfattas, och vilka omfattas inte, av GDPR?

GDPR omfattar alla företag och organisationer som på något sätt behandlar personuppgifter för personer som befinner sig i EU, oavsett storlek. Det gäller alltså både stora bolag, enskilda firmor, ideella föreningar och andra verksamheter som har kunder, användare, medlemmar eller anställda.

GDPR gäller bland annat när företaget:

  • samlar in kunduppgifter via webbplats eller formulär
  • skickar nyhetsbrev eller annan marknadsföring
  • sparar uppgifter om anställda i lönesystem
  • använder kameraövervakning eller loggar besökare i lokaler.

Däremot omfattas inte:

  • rent privat användning, till exempel om du lagrar kontaktuppgifter om familj och vänner för privat bruk
  • vissa myndigheters arbete i brottsbekämpande verksamhet.

Vad är personuppgifter?

En personuppgift kan lätt missförstås som att bara handla om namn, personnummer eller adress. Men enligt dataskyddsförordningen är personuppgifter alla slags uppgifter som direkt eller indirekt kan knytas till en person.

Det kan bland annat röra sig om namn, personnummer och kontaktuppgifter, e-postadresser som innehåller namn (till exempel förnamn.efternamn@företag.se), bilder eller videor där en person kan identifieras, ljudupptagningar där man kan höra en persons röst, samt IP-adresser eller kundnummer (om de kan kopplas till en person)

💡Kort sagt: Om någon kan identifieras, direkt eller indirekt, utifrån uppgifterna: då rör det sig om personuppgifter och GDPR:s regler gäller.

Olika typer av personuppgifter

För att kunna hantera uppgifterna med rätt skyddsnivå delas personuppgifter ofta in i olika kategorier: känsliga personuppgifter, integritetskänsliga och ”vanliga” personuppgifter.

Känsliga personuppgifter

Känsliga personuppgifter är en särskild kategori och är som huvudregel förbjudna att behandla. Det handlar bland annat om uppgifter om hälsa och sjukdom, sexualliv eller sexuell läggning, politiska åsikter, religiös eller filosofisk övertygelse samt fackligt medlemskap.

Integritetskänsliga personuppgifter

Integritetskänsliga personuppgifter är sådana uppgifter som inte tillhör kategorin ovan men ändå upplevs som särskilt skyddsvärda. De ska behandlas med stöd i lag eller efter särskilt tillstånd, och hanteras med förhöjd säkerhet.

Det kan till exempel vara löneuppgifter och andra ekonomiska uppgifter om individen, uppgifter om misstänkta eller begångna lagbrott, sociala och personliga förhållanden, värderande uppgifter, till exempel resultat av ett arbetstest eller anteckningar från utvecklingssamtal.

”Vanliga” personuppgifter

Okänsliga eller ”vanliga” personuppgifter är sådant som normalt sett anses mindre integritetskänsligt och därför kan hanteras med en mer normal skyddsnivå – men lagen måste ändå följas. Exempel är namn, postadress, e-postadress, telefonnummer samt arbetsgivare eller befattning.

Jag har skapat en hemsida till företaget – vad behöver jag tänka på?

Att driva företag idag innebär ofta att du behöver en hemsida där kunder kan läsa mer, köpa produkter eller hitta kontaktuppgifter. Så fort webbplatsen involverar personuppgifter – till exempel genom formulär, cookies, bilder eller inloggning – blir det en behandling av personuppgifter och dataskyddsförordningen kommer in i bilden.

I kommande avsnitt går vi igenom vanliga situationer på företagets webbplats och hur du kan se till att hantera uppgifterna på ett korrekt sätt enligt lagen.

Publicera bilder på hemsidan

Om du publicerar bilder på hemsidan där personer kan identifieras är det en personuppgiftsbehandling. Då måste du säkerställa att du har rättslig grund för att publicera bilderna, till exempel:

  • Samtycke: personen har sagt ja till att vara med på bild
  • Berättigat intresse: företagets intresse av att publicera bilden är nödvändigt samt väger tyngre än personens intresse av skydd för sin integritet.

Den vanligaste grunden är samtycke, som du kan få genom att fråga personerna på fotot om de vill vara med på hemsidan. Tänk på att samtycke alltid ska vara frivilligt, tydligt och dokumenterat – och att personen när som helst kan ta tillbaka sitt samtycke.

Publicera anställdas kontaktuppgifter på hemsidan

Att lägga upp kontaktuppgifter till anställda är också en behandling av personuppgifter, men ofta mindre integritetskänslig än bilder. Här kan publicering ofta ske med stöd av berättigat intresse – exempelvis att kunder ska kunna komma i kontakt med rätt person i organisationen.

Det kan ändå vara bra att informera de anställda om vilka uppgifter som kommer publiceras, ha interna regler för vilka kontaktuppgifter som ska finnas på hemsidan samt se till att uppgifterna är aktuella och uppdateras löpande.

Omfattas företagsmejl av GDPR?

Ja, företagsmejl omfattas också av GDPR när de går att koppla till en enskild person. En adress som förnamn.efternamn@företag.se är en personuppgift. Även innehållet i mejl kan innebära hantering av personuppgifter, till exempel om ni skriver om kunders ärenden, hälsa eller andra privata förhållanden. Funktionsadresser som info@företag.se kan vara mindre känsliga, men bedömningen beror på om det ändå går att koppla uppgifterna till en viss person.

Användandet av cookies på hemsidan

En cookie är en liten textfil som lagras i besökarens webbläsare när hen besöker en webbplats. Cookies kan bland annat komma ihåg inloggningsuppgifter, spara varor i en kundkorg, spara vad besökaren sökt efter, användas för statistik och analys av hur hemsidan används eller användas för riktad marknadsföring.

När det gäller cookies måste du ha koll på både dataskyddsförordningen och EU:s direktiv om integritet och elektronisk kommunikation (e-privacy-direktivet), som i Sverige finns i lagen om elektronisk kommunikation (LEK).

Här kan du läsa mer om vad som gäller för cookies.

Annonser på Facebook, Instagram och andra sociala plattformar

När du marknadsför i sociala medier behandlas ofta personuppgifter – både av dig som företag och av plattformen. Det kan till exempel handla om att du laddar upp en e-postlista med befintliga kunder, att uppgifter om vem som klickar på annonsen delas med plattformen eller att personer spåras via pixels eller liknande teknik från din webbplats.

All sådan hantering av personuppgifter måste vara laglig, dokumenterad och beskriven i företagets integritetspolicy. Det behöver bland annat framgå:

  • vilka uppgifter som samlas in
  • för vilka ändamål uppgifterna används
  • hur länge uppgifterna sparas
  • vilka mottagare som får ta del av uppgifterna.

Eftersom plattformen i många fall agerar personuppgiftsbiträde när annonseringen sker, ska företaget också se till att det finns ett personuppgiftsbiträdesavtal. Avtalet ska tydligt beskriva vem som ansvarar för vilka uppgifter och hur dataskyddet säkerställs.

När en person klickar på en annons och skickas vidare till din webbplats ska personen direkt få information om hur personuppgifterna kommer att behandlas – exempelvis genom en integritetspolicy och en cookie-banner.

Exempel:

Farmor Elsas café AB har drivit café länge och ska nu börja sälja kakor online. 

När hemsidan är lanserad vill ägaren marknadsföra försäljningen på Facebook och Instagram. Plattformarna ska endast förmedla personuppgifterna vidare till Farmor Elsas café AB och inte använda dem för egna syften. 

Farmor Elsas café AB tecknar därför personuppgiftsbiträdesavtal med båda plattformarna. Av avtalen framgår att Facebook och Instagram följer de regler som gäller i dataskyddsförordningen samt tydligt informerar användarna om att personuppgifter delas med Farmor Elsas café AB i marknadsföringssyfte när de klickar på annonsen. 

När användaren sedan slussas vidare till caféets webbplats får hen mer information direkt, bland annat via cookie-bannern och företagets integritetspolicy.

Skicka ut mejl till befintliga kunder

En vanlig missuppfattning är att man alltid får skicka marknadsföring till sina kunder bara för att de handlat tidigare. Riktigt så enkelt är det inte.

Som huvudregel gäller följande:

  • Du får skicka marknadsföring om liknande produkter eller tjänster som kunden tidigare köpt, utan samtycke – så länge kunden inte tydligt har sagt nej.
  • Du måste alltid ge mottagaren möjlighet att avregistrera sig från fler utskick.
  • Om du vill marknadsföra andra typer av produkter eller tjänster än de kunden redan köpt, kan samtycke vara den säkraste vägen.
  • Om kunden inte har lämnat sitt samtycke eller köpt liknande produkter tidigare, kan marknadsföringen ändå vara tillåten om kunden i förväg fått tydlig information om att uppgifterna kan användas för direktmarknadsföring, hur länge det kommer ske och hur uppgifterna hanteras.

Företaget kan ibland stödja sig på berättigat intresse vid marknadsföring av liknande produkter eller tjänster som kunden köpt tidigare. Gäller det helt andra produkter kan samtycke vara mer lämpligt.

Exempel:

Videomix AB säljer en prenumerationstjänst för film. När kunden beställer sitt abonnemang får kunden aktivt kryssa i om hen vill ta del av erbjudanden och kampanjer från företaget. I anslutning till rutan finns en text som förklarar hur personuppgifterna används, hur länge de sparas och hur kunden när som helst kan ta tillbaka sitt samtycke. På så vis säkerställer Videomix AB att företaget bara behandlar personuppgifter som kunden samtyckt till – och att kunden har tydlig kontroll över sina uppgifter.

Vad får man inte göra enligt GDPR?

Det finns många exempel på sådant som inte är tillåtet enligt dataskyddsförordningen, bland annat:

  • samla in fler uppgifter än vad som är nödvändigt för ändamålet
  • använda personuppgifter för ett nytt ändamål utan ny rättslig grund
  • spara uppgifter längre än nödvändigt
  • sakna tillräckliga säkerhetsåtgärder för att skydda uppgifterna
  • strunta i att informera personer om att deras uppgifter behandlas
  • ignorera en begäran om registerutdrag eller rättelse.

Kortfattat innebär GDPR att all behandling av personuppgifter måste vara laglig, korrekt, transparent och ske på ett säkert sätt.

Generella tips till företagare

Företag måste vara vaksamma på hur personuppgifter hanteras och se till att behandlingen sker på ett säkert sätt. Här kommer några grundläggande saker att tänka på, utöver att all behandling ska följa dataskyddsförordningen:

  • Radera kontinuerligt personuppgifter du inte längre behöver.
  • Se till att de uppgifter du lagrar skyddas mot obehörig åtkomst och läckor.
  • Skicka inte personuppgifter via mejl om det kan undvikas – använd säkrare kanaler när det går.
  • Använd skärmlås på dator, mobil och andra tekniska hjälpmedel i företaget.
  • Använd starka och unika lösenord till dina konton och aktivera flerfaktorsautentisering där det är möjligt.
  • Dokumentera hur er hantering av personuppgifter går till, så att ni vid behov kan visa att ni följer reglerna.
Trustpilot

Kontakt

Jurio drivs av Legaldesk.dk ApS

CVR/Org. nr. 37 89 02 35

Genvägar

Vanliga frågor
Om Jurio
Möt teamet
Företag
Privatperson
Priser

Populära dokument

Starta aktiebolag
Lagerbolag
Framtidsfullmakt
Testamente
Fullmakt
Gåvobrev
Enkelt skuldebrev

Information

Revisorer, redovisare och rådgivare
Advokat- och juristbyråer
För välgörande organisationer
Allmänna villkor
Integritetspolicy
Dataskyddspolicy
Priser
Cookie-inställningar