SäkerhetsFokus
GDPR och dataskydd
← Tillbaka till artiklar
GDPR11 min läsning

GDPR för småföretag: Praktisk guide utan juridisk jargong

GDPR gäller alla företag som hanterar personuppgifter — oavsett storlek. Men kraven behöver inte vara överväldigande. De flesta småföretag kan uppfylla sina skyldigheter med några timmar arbete och sunda rutiner. Den här guiden visar exakt vad du behöver göra.

Vad räknas som personuppgifter?

Allt som kan identifiera en person, direkt eller indirekt: namn, e-post, telefonnummer, IP-adresser, personnummer, foton, kundnummer kopplade till annan data. Om du har kunder, anställda eller en webbplats med kontaktformulär hanterar du personuppgifter.

De sex lagliga grunderna

Du måste ha en laglig grund för varje typ av personuppgiftsbehandling. De vanligaste för småföretag:

  • Avtal — Du behöver kundens adress för att leverera en vara. Lagligt utan samtycke.
  • Berättigat intresse — Du skickar relevant information till befintliga kunder. Kräver intresseavvägning.
  • Samtycke — Nyhetsbrev, marknadsföring till icke-kunder. Kräver aktivt val (inte förkryssat).
  • Rättslig förpliktelse — Bokföring, skatteuppgifter. Du måste spara dem enligt lag.

Registerförteckning — börja här

Registerförteckningen dokumenterar vilka personuppgifter du hanterar, varför och hur länge. Det behöver inte vara komplicerat — ett enkelt kalkylblad räcker.

Dokumentera för varje behandling: vilka uppgifter samlas in, varför (laglig grund), vem har åtkomst, hur länge sparas de, och vilka tekniska skydd finns.

Integritetspolicy

Din webbplats behöver en integritetspolicy som förklarar vilka personuppgifter du samlar in, varför, hur länge de sparas, och vilka rättigheter besökarna har. Skriv den på ren svenska — inte juristspråk.

Informera om: vilka uppgifter som samlas in, syftet, laglig grund, lagringstid, mottagare (t.ex. e-postleverantör), registrerades rättigheter, och kontaktuppgifter till personuppgiftsansvarig.

Cookies och spårning

Analytiska och marknadsföringscookies kräver samtycke. Nödvändiga cookies (sessionshantering, kundvagn) kräver inget samtycke men ska dokumenteras. En cookie-banner med valmöjlighet att avvisa är obligatorisk om du använder Google Analytics, Facebook Pixel eller liknande.

Registrerades rättigheter

Dina kunder har rätt att:

  • Få veta vilka uppgifter du har om dem (registerutdrag)
  • Få felaktiga uppgifter rättade
  • Begära radering ("rätten att bli glömd")
  • Invända mot behandling baserad på berättigat intresse
  • Återkalla samtycke

Du ska kunna hantera dessa förfrågningar inom 30 dagar. I praktiken innebär det att du vet var alla personuppgifter finns lagrade.

Personuppgiftsincidenter

Om personuppgifter läcker (databas hackad, e-post skickad till fel mottagare, laptop stulen) ska du anmäla till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Dokumentera vad som hänt, vilka uppgifter som berörts, och vilka åtgärder du vidtagit.

Ha en plan redo — vänta inte tills det händer. De flesta småföretag behöver inte ett dataskyddsombud (DPO), men du behöver en person som ansvarar för dessa frågor.

Sammanfattning

GDPR-efterlevnad för småföretag handlar om sunda rutiner, inte komplicerade juridiska konstruktioner. Skapa en registerförteckning, skriv en integritetspolicy, hantera cookies korrekt och ha en plan för incidenter. Det tar en arbetsdag att komma igång — och det skyddar både dina kunder och ditt företag.

Läs mer om cybersäkerhet i vår guide om vanliga cyberhot mot svenska företag och säkerhetskultur på arbetsplatsen.