cybersäkerhet.ai

GDPR för privatpersoner — Dina rättigheter 2026

Visste du att du har rätt att radera dina personuppgifter? Komplett guide till GDPR för vanliga svenskar.

Snabbt svar

Vilka rättigheter ger GDPR mig?

GDPR ger dig rätt att begära ut, korrigera och radera dina personuppgifter hos företag. Du kan anmäla överträdelser till IMY (Integritetsskyddsmyndigheten). Företag måste svara inom 30 dagar och kan bötfällas upp till 4% av global omsättning.

Vad är GDPR?

GDPR (General Data Protection Regulation), eller dataskyddsförordningen på svenska, är EU:s lagstiftning som reglerar hur företag och organisationer samlar in, lagrar och använder personuppgifter. Förordningen trädde i kraft den 25 maj 2018 och gäller i hela EU/EES, inklusive Sverige. I Sverige kompletteras GDPR av dataskyddslagen och övervakas av IMY — Integritetsskyddsmyndigheten (tidigare Datainspektionen).

Syftet med GDPR är att ge dig som privatperson kontroll över dina personuppgifter. Innan GDPR kunde företag i princip samla in och använda dina uppgifter utan att fråga, och du hade begränsade möjligheter att påverka det. Nu har du en rad konkreta rättigheter som företag är skyldiga att respektera, och överträdelser kan leda till enorma böter.

Personuppgifter är ett brett begrepp i GDPR. Det omfattar all information som direkt eller indirekt kan kopplas till en levande person. Det inkluderar uppenbara saker som namn, personnummer och adress, men även mindre uppenbara uppgifter som IP-adresser, cookies, platsdata från mobilen, köphistorik, sökhistorik och till och med information om vilka webbplatser du besöker. Känsliga personuppgifter — som hälsodata, etniskt ursprung, religiös övertygelse, sexuell läggning och politiska åsikter — har ett extra starkt skydd under GDPR.

En viktig princip i GDPR är att företag måste ha en laglig grund för att behandla dina personuppgifter. De sex lagliga grunderna är: samtycke, avtal, rättslig förpliktelse, skydd av grundläggande intressen, uppgift av allmänt intresse och berättigat intresse. Det vanligaste är samtycke (att du aktivt godkänner, exempelvis genom att klicka "Jag accepterar") eller avtal (uppgifterna behövs för att fullgöra ett avtal du ingått, exempelvis en beställning i en webbshop).

Orolig för ID-stöld?

180 000 bedrägerier per år i Sverige. Jämför ID-skyddstjänster som övervakar dina personuppgifter.

Jämför ID-skydd →

Oberoende · Uppdaterat mars 2026

Dina 8 rättigheter enligt GDPR

GDPR ger dig som privatperson åtta konkreta rättigheter. Dessa rättigheter är kraftfulla verktyg som du kan använda för att ta kontroll över din digitala integritet. Här går vi igenom var och en i detalj.

1. Rätt till tillgång (artikel 15)

Du har rätt att begära ut all information ett företag har lagrat om dig. Företaget måste inom 30 dagar kostnadsfritt ge dig en kopia av alla dina personuppgifter de behandlar, samt information om varför de behandlar dem, vilka kategorier av uppgifter det rör sig om, vilka mottagare uppgifterna delats med och hur länge de planerar att lagra dem. Detta kallas ibland registerutdrag.

2. Rätt till rättelse (artikel 16)

Om ett företag har felaktiga eller ofullständiga uppgifter om dig har du rätt att kräva att de korrigeras. Det kan handla om felaktig adress, felstavat namn, gammal e-postadress eller annan information som inte längre stämmer. Företaget ska rätta uppgifterna utan onödigt dröjsmål.

3. Rätt till radering (artikel 17)

Den så kallade "rätten att bli glömd" innebär att du kan kräva att ett företag raderar alla dina personuppgifter. Rätten gäller om uppgifterna inte längre behövs för det ursprungliga ändamålet, om du återkallar ditt samtycke, om behandlingen var olaglig eller om du invänder mot behandlingen. Det finns undantag — företag behöver inte radera uppgifter som krävs enligt lag (exempelvis bokföringsuppgifter som måste sparas i sju år) eller för att fastställa rättsliga anspråk.

4. Rätt till begränsning (artikel 18)

Du kan kräva att ett företag begränsar behandlingen av dina uppgifter. Det innebär att de får lagra men inte aktivt använda dina uppgifter. Denna rätt gäller exempelvis medan företaget kontrollerar om uppgifterna är korrekta efter att du bestridit deras riktighet, eller om behandlingen är olaglig men du föredrar begränsning framför radering.

5. Rätt till dataportabilitet (artikel 20)

Du har rätt att få ut dina personuppgifter i ett strukturerat, maskinläsbart format och överföra dem till en annan tjänsteleverantör. I praktiken innebär det att du exempelvis kan ladda ner alla dina data från Facebook och importera dem till en annan plattform — eller ladda ner din Spotify-historik. Google, Facebook, Apple och andra stora techföretag erbjuder redan verktyg för detta.

6. Rätt att invända (artikel 21)

Du har rätt att invända mot att dina personuppgifter används för direktmarknadsföring, profilering eller behandling baserad på berättigat intresse. Vid invändning mot direktmarknadsföring måste företaget omedelbart sluta — det finns inga undantag. Vid andra invändningar måste företaget visa att de har tvingande berättigade skäl som väger tyngre än dina intressen.

7. Rätt att inte utsättas för automatiserat beslutsfattande (artikel 22)

Du har rätt att inte utsättas för beslut som enbart grundas på automatiserad behandling, inklusive profilering, om beslutet har rättsliga eller liknande betydande effekter. I praktiken innebär det att en bank inte bara kan låta en algoritm neka dig ett lån utan mänsklig granskning, eller att ett försäkringsbolag inte kan höja din premie baserat enbart på automatiserad dataanalys utan att du kan begära en mänsklig prövning.

8. Rätt att återkalla samtycke

Om du har gett samtycke till behandling av dina personuppgifter har du alltid rätt att återkalla det. Återkallandet ska vara lika enkelt som det var att ge samtycke. Om det tog ett klick att acceptera ska det ta ett klick att återkalla. Företag som gör det svårt att återkalla samtycke bryter mot GDPR.

Hur begär du ut dina uppgifter?

Att begära ut dina personuppgifter (registerutdrag) är enklare än du tror. Så här gör du steg för steg:

  1. Identifiera rätt kontaktväg: De flesta företag har en dataskyddsansvarig (DPO) eller en specifik e-postadress för GDPR-ärenden, ofta angiven i deras integritetspolicy. Stora techföretag har ofta egna verktyg — Google Takeout, Facebooks "Ladda ner din information", och liknande.
  2. Skicka en skriftlig begäran: E-post räcker. Ange tydligt att du begär ett registerutdrag enligt artikel 15 i GDPR. Inkludera ditt namn och tillräcklig information för att företaget ska kunna identifiera dig (exempelvis e-postadress du använt som kund).
  3. Vänta på svar: Företaget har 30 dagar på sig att svara. De får förlänga med ytterligare 60 dagar om begäran är komplex, men måste meddela dig om förlängningen inom de första 30 dagarna.
  4. Granska svaret: Kontrollera att du fått all information du har rätt till. Företaget ska informera om vilka uppgifter de behandlar, ändamålen, mottagare, lagringstid och dina rättigheter.

Begäran ska vara kostnadsfri. Företag får bara ta ut en avgift om begäran är uppenbart ogrundad eller orimlig (exempelvis om du begär registerutdrag varje vecka).

Hur begär du radering?

Processen liknar registerutdraget men här begär du specifikt radering enligt artikel 17. Beskriv vilka uppgifter du vill ha raderade och ange på vilken grund du begär radering — exempelvis att du återkallar ditt samtycke eller att uppgifterna inte längre behövs för det ursprungliga ändamålet.

Företaget måste radera uppgifterna utan onödigt dröjsmål, senast inom 30 dagar. Om företaget delat dina uppgifter med tredje part måste de även informera dessa om raderingsbegäran. Företaget ska bekräfta raderingen skriftligen.

Vanliga situationer där radering är särskilt relevant: du har avslutat ett kundkonto och vill att alla uppgifter tas bort, ett företag du aldrig handlat hos har dina uppgifter (exempelvis genom datamäklare), du angett uppgifter på en webbplats du inte längre vill vara associerad med, eller en gammal arbetsgivare fortfarande lagrar dina uppgifter utan berättigad grund.

Anmäla till IMY

Om ett företag inte respekterar dina GDPR-rättigheter — vägrar lämna ut registerutdrag, inte raderar dina uppgifter eller inte svarar inom 30 dagar — kan du anmäla till IMY (Integritetsskyddsmyndigheten). IMY är den svenska tillsynsmyndigheten som övervakar att GDPR efterlevs.

Du anmäler via IMY:s webbplats imy.se. Beskriv vad som hänt, vilket företag det gäller och vad du begärt. Bifoga all kommunikation med företaget som bevis. IMY utreder anmälan och kan vidta flera åtgärder: utfärda varningar, förelägga företaget att åtgärda bristen, och vid allvarliga överträdelser utdöma sanktionsavgifter.

Sanktionsavgifterna kan vara mycket kännbara. GDPR tillåter böter på upp till 20 miljoner euro eller 4 procent av företagets globala årsomsättning — det som är högst. IMY har utfärdat flera betydande sanktionsavgifter mot svenska organisationer, bland annat mot Google (75 miljoner kronor), Klarna och Spotify. Även kommuner och myndigheter har bötfällts.

Du kan också ha rätt till skadestånd om du lidit skada av en GDPR-överträdelse. Skadeståndstalan väcks i allmän domstol. Det kan handla om både ekonomisk skada och ideell skada (kränkning av din integritet).

GDPR och sociala medier

Sociala medier som Facebook, Instagram, TikTok, X (Twitter) och LinkedIn samlar in enorma mängder personuppgifter. GDPR ger dig rätt att kontrollera vad de gör med dina data. Här är några praktiska åtgärder du kan vidta:

  • Ladda ner dina data: Alla stora plattformar erbjuder verktyg för att ladda ner en kopia av alla dina uppgifter. Gör detta regelbundet för att se exakt vad de lagrar om dig — det kan vara överraskande mycket.
  • Granska appbehörigheter: Kontrollera vilka tredjepartsappar som har åtkomst till dina sociala medier-konton och ta bort de du inte längre använder.
  • Justera sekretessinställningar: Begränsa vilka uppgifter som delas med annonsörer och tredje part. Stäng av personanpassad annonsering där det är möjligt.
  • Begär radering vid kontoavslutning: När du avslutar ett konto, begär uttryckligen att alla dina uppgifter raderas — inte bara att kontot inaktiveras.
  • Var medveten om datadelning: Varje gång du loggar in på en webbplats med "Logga in med Facebook/Google" delar du personuppgifter. Överväg att skapa separata konton istället.

Meta (Facebook/Instagram) har fått flera mångmiljonböter under GDPR, bland annat en rekordbot på 1,2 miljarder euro 2023 för olaglig överföring av europeiska användares data till USA. Detta visar att GDPR har verklig effekt även mot de allra största techföretagen.

Koppling till ID-skydd, VPN och integritet

GDPR är en viktig del av din digitala integritet men det är inte det enda verktyget. För ett heltäckande skydd bör du kombinera dina GDPR-rättigheter med andra åtgärder.

ID-skydd kompletterar GDPR genom att aktivt övervaka om dina personuppgifter missbrukas. Medan GDPR ger dig rätt att kontrollera hur företag hanterar dina uppgifter, skyddar ID-skydd mot identitetsstöld och bedrägeri. Läs mer i vår kompletta guide till ID-skydd.

Ett VPN skyddar din integritet genom att dölja din IP-adress och kryptera din internettrafik. GDPR definierar IP-adresser som personuppgifter, och genom att använda VPN förhindrar du att webbplatser och internetleverantörer samlar in denna information. VPN är särskilt viktigt för att skydda dig mot spårning och övervakning online.

Genom att kombinera dina GDPR-rättigheter med praktiska verktyg som ID-skydd och VPN skapar du ett robust skydd för din digitala identitet. Läs vår guide om att surfa anonymt för fler tips om hur du skyddar din integritet på nätet, och vår guide om att skydda din integritet online för en komplett strategi.

Praktiska mallar och tips

Här är praktiska tips och mallar för att utnyttja dina GDPR-rättigheter effektivt:

Mall för registerutdrag (artikel 15): Skriv ett e-postmeddelande med ämnesraden "Begäran om registerutdrag enligt artikel 15 GDPR". I brödtexten anger du ditt namn, den e-postadress eller det kundnummer du är registrerad med, och att du begär en fullständig kopia av alla personuppgifter som behandlas om dig. Be även om information om ändamål, mottagare, lagringstid och källa till uppgifterna.

Mall för radering (artikel 17): Ämnesrad: "Begäran om radering av personuppgifter enligt artikel 17 GDPR". Ange vilka uppgifter du vill ha raderade och grunden för din begäran — exempelvis att du återkallar samtycke eller att uppgifterna inte längre behövs. Be om skriftlig bekräftelse på att raderingen genomförts.

Tips för att hålla reda på dina begäranden:

  • Skicka alltid begäranden via e-post så att du har skriftlig dokumentation.
  • Notera datumet du skickade begäran — 30-dagarsfristen börjar löpa från det att företaget tar emot den.
  • Spara alla svar du får i en dedikerad mapp.
  • Om företaget inte svarar inom 30 dagar, skicka en påminnelse och informera om att du avser att anmäla till IMY om de inte svarar inom ytterligare 14 dagar.
  • Gör en inventering av vilka företag och tjänster som har dina uppgifter — de flesta har fler än de tror.

Var proaktiv med din integritet: Granska regelbundet vilka nyhetsbrev du prenumererar på, vilka kundkonton du har och vilka appar som har åtkomst till din data. Ta bort det du inte längre behöver. Använd tjänster som Mine (saymine.com) för att upptäcka vilka företag som har dina uppgifter och skicka raderingsbegäranden direkt.

Vår rekommendation

GDPR ger dig kraftfulla verktyg att ta kontroll över dina personuppgifter. Här är vår rekommendation för hur du bör agera:

  1. Lär dig dina rättigheter: Kunskap är det första steget. Nu när du läst denna guide har du grunderna — använd dem aktivt.
  2. Begär registerutdrag: Börja med de företag du misstänker har mest uppgifter om dig — Google, Facebook, din bank, din mobiloperatör. Bli inte förvånad om mängden data är överväldigande.
  3. Radera det du inte behöver: Avsluta gamla konton och begär radering av uppgifter hos företag du inte längre har en relation med.
  4. Komplettera med ID-skydd: Ett ID-skydd övervakar aktivt om dina personuppgifter missbrukas och varnar dig vid misstänkt aktivitet. Det ger ett extra lager av trygghet utöver dina GDPR-rättigheter.
  5. Använd VPN för onlineintegritet: Förhindra att din IP-adress och surfbeteende registreras genom att använda ett pålitligt VPN.
  6. Anmäl överträdelser: Om ett företag inte respekterar dina rättigheter, tveka inte att anmäla till IMY. Varje anmälan bidrar till att stärka skyddet för alla.

Din digitala integritet är en rättighet, inte en förmån. GDPR ger dig verktygen — det är upp till dig att använda dem. Genom att aktivt utnyttja dina rättigheter bidrar du inte bara till att skydda dig själv utan även till att skapa en kultur där företag tar dataskydd på allvar.

Orolig för ID-stöld?

180 000 bedrägerier per år i Sverige. Jämför ID-skyddstjänster som övervakar dina personuppgifter.

Jämför ID-skydd →

Oberoende · Uppdaterat mars 2026

Vanliga frågor om GDPR

Vad är GDPR i korthet?
GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som ger dig som privatperson kontroll över dina personuppgifter. Lagen gäller sedan 25 maj 2018 och innebär att företag måste ha laglig grund för att samla in och behandla dina uppgifter, och att du har rätt att begära ut, korrigera och radera dem.
Hur begär jag att ett företag raderar mina uppgifter?
Kontakta företaget skriftligen (e-post räcker) och begär radering enligt artikel 17 i GDPR. Företaget måste svara inom 30 dagar. Om de vägrar utan giltig anledning kan du anmäla till IMY (Integritetsskyddsmyndigheten). Du har rätt att få dina uppgifter raderade om de inte längre behövs för det ursprungliga ändamålet.
Vad kan jag göra om ett företag bryter mot GDPR?
Du kan anmäla överträdelsen till IMY (Integritetsskyddsmyndigheten) via deras webbplats imy.se. IMY utreder ärendet och kan utfärda sanktionsavgifter på upp till 4% av företagets globala årsomsättning eller 20 miljoner euro. Du kan också ha rätt till skadestånd.
Gäller GDPR för alla företag?
GDPR gäller för alla organisationer som behandlar personuppgifter om personer inom EU/EES, oavsett var företaget är baserat. Det inkluderar svenska företag, myndigheter, föreningar och utländska företag som riktar sig till EU-medborgare som Google, Facebook och Amazon.
Vad räknas som personuppgifter enligt GDPR?
Personuppgifter är all information som kan identifiera en person, direkt eller indirekt. Det inkluderar namn, personnummer, e-post, IP-adress, foton, platsdata, cookies, hälsouppgifter, bankuppgifter och till och med röstinspelningar. Känsliga uppgifter som etniskt ursprung och politiska åsikter har extra starkt skydd.