Uncategorized @da

GDPR i Sverige

By december 4, 2025No Comments

GDPR i Sverige 

Den 25. maj 2018 ændrede spillereglerne for databeskyttelse i hele Europa. Den Generelle Databeskyttelsesforordning (GDPR) trådte i kraft og skabte en ensartet ramme for, hvordan virksomheder skal håndtere persondata. Ligesom i Danmark gælder GDPR også direkte i Sverige, men vores naboland har også deres egne nationale tilpasninger og en proaktiv tilsynsmyndighed, der sætter dagsordenen. 

Men hvad betyder GDPR specifikt i en svensk kontekst? 

Den svenskedataskyddslagen 

Selvom GDPR er en EU-forordning, giver den plads til nationale særregler på visse områder. I Sverige suppleres GDPR af “Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning” – ofte bare kaldet “dataskyddslagen”. 

Denne lov præciserer, hvordan GDPR skal anvendes i Sverige, og dækker områder som: 

  • Behandling af personnumre (svarende til CPR-numre). 
  • Databeskyttelse i forbindelse med ytrings- og informationsfrihed. 
  • Specifikke regler for offentlige myndigheder. 

For enhver virksomhed, der opererer i Sverige, er det altså ikke nok kun at læse GDPR-teksten; man skal også forstå “dataskyddslagen”. 

Tilsynet: Integritetsskyddsmyndigheten (IMY) 

Den svenske vagthund, der sikrer, at GDPR overholdes, er Integritetsskyddsmyndigheten (IMY). Mange husker dem måske under deres tidligere navn, Datainspektionen. 

IMY er en aktiv myndighed, der ikke tøver med at udstede vejledninger og bøder. De har markeret sig med flere principielle sager, der har sendt klare signaler til svenske virksomheder. 

Vigtige sager der definerer GDPR i Sverige 

To sager illustrerer særligt godt, hvordan IMY fortolker og håndhæver reglerne: 

  1. Skolebøde for ansigtsgenkendelse: En kommune fik en bøde på 200.000 SEK for at bruge ansigtsgenkendelsesteknologi til at registrere fremmøde på en gymnasieskole. IMY slog fast, at behandlingen af så følsomme biometriske data var ulovlig. Sagen var principiel, fordi den understregede, at et “samtykke” fra elever (der er i et afhængighedsforhold til skolen) sjældent kan betragtes som “frit” og gyldigt. 
  1. Stop for Google Analytics: I 2023 udstedte IMY bøder til fire svenske virksomheder for deres brug af Google Analytics. Problemet var overførslen af persondata til USA i lyset af Schrems II-dommen. IMY konkluderede, at de tekniske foranstaltninger, virksomhederne havde truffet, ikke var tilstrækkelige til at beskytte dataene mod amerikanske efterretningstjenesters adgang. Denne afgørelse har sat massivt pres på svenske (og europæiske) virksomheders brug af amerikanske skytjenester. 

Hvad betyder det for dig? 

  • At drive forretning i Sverige kræver det samme stærke fokus på GDPR som i Danmark. Den primære forskel ligger i den nationale særlovgivning og de signaler, som IMY sender.

Kort sagt: 

  • GDPR gælder, men husk at tjekke den svenske “dataskyddslagen” for nationale tilføjelser. 
  • Hold øje med IMY, da deres afgørelser (især omkring dataoverførsler og samtykke) har direkte indflydelse på, hvad der anses for at være bedste praksis i Sverige. 
  • Behandl persondata med respekt – det er kernen i lovgivningen og den bedste måde at undgå sanktioner på. 

Træn hele organisationen med et GDPR Kursus

Tjek vores GDPR kursus det giver et fælles, dokumenterbart niveau og kan tilpasses jeres organisation.

 

SE MERE om GDPR