De flesta svenska webbplatser har minst tre GDPR-överträdelser. De vanligaste: spårningskakor före samtycke, föråldrade integritetspolicyer och avsaknad av personuppgiftsbiträdesavtal.
— Vakteyes skanningsdata, Q1 2026
IMY väntar inte längre på klagomål. De skannar webbplatser proaktivt, utfärdar böter i miljonklassen och publicerar varje beslut. Om din webbplats hanterar personuppgifter (och det gör den) börjar du här med denna GDPR-checklista.
10-punkts GDPR-checklista
Varje punkt nedan kopplar till en specifik GDPR-artikel. Hoppa över en, och du har en lucka som en tillsynsmyndighet kan gå rakt igenom.
- Rättslig grund dokumenterad: varje behandling av personuppgifter behöver en laglig grund enligt artikel 6. Samtycke, berättigat intresse, avtalsnödvändighet. Välj en och dokumentera den. "Vi har alltid gjort så" är inte en rättslig grund.
- Integritetspolicy uppdaterad: artikel 13 kräver specifik information: vem du är, vad du samlar in, varför, hur länge du sparar det och vem du delar det med. Om din policy fortfarande nämner Privacy Shield är den föråldrad.
- Cookiesamtycke implementerat: ePrivacy-direktivet (infört i svensk LEK) kräver samtycke innan icke-nödvändiga kakor sätts. Det innebär inga analysverktyg, inga marknadsföringspixlar, inga fingeravtrycksskript förrän användaren klickar acceptera.
- Personuppgiftsbiträdesavtal på plats: artikel 28 kräver skriftliga avtal med varje biträde: din hostingleverantör, e-posttjänst, analysplattform, CRM. Inget avtal innebär ingen laglig behandling.
- DPIA genomförd där det krävs: artikel 35 kräver en konsekvensbedömning avseende dataskydd för högriskbehandling. Om profilering, storskalig övervakning eller känsliga uppgifter gäller behöver du en DPIA.
- DPO utsedd (om det krävs): myndigheter och organisationer som bedriver storskalig systematisk övervakning måste utse ett dataskyddsombud enligt artikel 37. Även om det inte krävs är det god praxis att ha en kontaktperson för integritetsfrågor.
- Incidenthanteringsplan klar: artikel 33 ger dig 72 timmar att anmäla en personuppgiftsincident till IMY. Utan en plan kommer du att missa den tidsfristen. Dokumentera vem som beslutar, vem som rapporterar och hur ni bedömer risken.
- Bedömning av tredjelandsöverföringar gjord: om du använder USA-baserade tjänster (Google Analytics, Mailchimp, HubSpot) överför du data utanför EU. Artikel 44–49 kräver en rättslig mekanism. Kontrollera om dina leverantörer omfattas av EU-US Data Privacy Framework.
- Process för registrerades rättigheter finns: artiklarna 15–22 ger individer rätt att få tillgång till, rätta, radera och flytta sina uppgifter. Du behöver en process för att hantera dessa förfrågningar inom 30 dagar.
- Regelbundna compliancegranskningar schemalagda: GDPR är inte ett engångsprojekt. Artikel 5(2) kräver löpande ansvarsskyldighet. Skanna din webbplats kvartalsvis, granska dina policyer årligen och dokumentera allt.
Hur du använder checklistan
Skriv ut den. Gå igenom varje punkt med ditt team. Markera vad ni har, vad som saknas och vad som behöver uppdateras. Var ärliga. Tillsynsmyndigheterna kommer att vara det.
Punkterna är ordnade efter prioritet. Rättslig grund och integritetspolicy kommer först eftersom allt annat bygger på dem. Cookiesamtycke är tredje punkten eftersom det är den mest synliga överträdelsen och den som IMY snabbast fångar med automatiserade skanningar.
Hitta dina brister automatiskt
Vakteye skannar din webbplats mot denna checklista på några minuter. Få en detaljerad rapport med bevis för varje fynd.
Kör en gratis skanningVad händer om du inte följer GDPR
GDPR-böter är inte teoretiska i Sverige. IMY har varit aktiva.
IMY bötfällde Klarna med 7,5 miljoner kronor (fastställd till 7,3 miljoner vid överklagande) för bristfällig integritetsinformation. Spotify fick 58 miljoner kronor i böter (fastställd vid överklagande juni 2025) för otillräcklig transparens i svar på registrerades begäran om tillgång. Apoteket fick 37 miljoner kronor i böter för otillåtna dataöverföringar till Meta. Det här är verkliga påföljder för verkliga överträdelser, och många började med punkter på denna checklista.
Böter enligt artikel 83 GDPR kan uppgå till 4 % av den globala årsomsättningen eller 20 miljoner euro, beroende på vilket som är högst. Men boten är ofta den minsta kostnaden. Skador på anseendet, förlorade kontrakt och den operativa bördan av en formell utredning slår hårdare.
De vanligaste bristerna vi ser
Efter att ha skannat hundratals svenska webbplatser framträder tydliga mönster. Tre punkter på denna GDPR-checklista fallerar oftare än alla andra.
- Cookiesamtycke: 70 % av sajterna vi skannar sätter spårningskakor före samtycke. Många har en banner, men avvisningsknappen stoppar faktiskt inte kakorna.
- Personuppgiftsbiträdesavtal: småföretag har ofta ingen aning om att de behöver skriftliga avtal med SaaS-leverantörer. Att använda Mailchimp utan ett PUB-avtal är en överträdelse.
- Integritetspolicy: policyer kopierade från mallar 2018 som fortfarande refererar till Privacy Shield, anger fel rättslig grund eller missar att nämna delning av data med tredje part.
GDPR-efterlevnad är inte valfritt
Svensk lag har ingen övergångsperiod. Det finns inget "undantag för småföretag." Om du behandlar personuppgifter (samlar in e-post, sätter kakor, loggar IP-adresser) gäller GDPR för dig.
De flesta överträdelser vi hittar kan åtgärdas på dagar, inte månader. Det svåra är att veta var problemen finns.
Börja med en skanning
Denna GDPR-checklista täcker grunderna. Men checklistor fungerar bara om du agerar på dem. En automatiserad skanning hittar det som manuella granskningar missar: dolda spårare, kakor som återuppstår efter avvisning, föråldrade samtyckesimplementationer.
Kontrollera din GDPR-efterlevnad nu
Vakteye skannar din webbplats över alla viktiga compliancedimensioner och levererar evidensbaserade fynd. Se exakt var du står.
Starta din skanning