GDPR kränkning privatperson - Guide till dina rättigheter 2026

Publicerad:

GDPR kränkning privatperson innebär att en organisation olagligt behandlar dina personuppgifter i strid mot dataskyddsförordningen, vilket kan ge dig rätt till skadestånd och kräva att överträdelsen anmäls till Integritetsskyddsmyndigheten. Som privatperson har du starka rättigheter när dina personuppgifter missköts.

Vad är en GDPR-kränkning?

En GDPR-kränkning uppstår när företag eller organisationer behandlar dina personuppgifter på ett sätt som strider mot dataskyddsförordningen (GDPR). Detta kan handla om allt från att samla in uppgifter utan ditt samtycke till att inte skydda dem tillräckligt mot obehörig åtkomst.

Personuppgifter omfattar all information som kan kopplas till dig som person. Detta inkluderar inte bara namn och personnummer, utan även IP-adresser, e-postadresser, fotografier och till och med digitala spår från din internetaktivitet.

En kränkning kan vara teknisk, som en dataintrång där hackare kommer åt kundregister, eller administrativ, som när personal använder kunduppgifter för privata ändamål. Båda typerna av överträdelser kan få allvarliga konsekvenser både för dig som drabbad och för den ansvariga organisationen.

Vanliga typer av GDPR-kränkningar

Otillåten insamling och behandling

En av de vanligaste GDPR-kränkningarna är när företag samlar in personuppgifter utan laglig grund eller ditt samtycke. Detta kan till exempel ske genom dolda cookies på webbplatser, försäljning av kundregister till tredje part, eller när företag fortsätter att behandla dina uppgifter efter att du dragit tillbaka ditt samtycke.

Många företag begår också överträdelser genom att samla in mer information än vad som är nödvändigt för det angivna ändamålet. Om en webbutik till exempel kräver din inkomst för att sälja kläder, kan detta vara ett exempel på överdriven datainsamling.

Bristande säkerhet och dataintrång

Otillräckliga säkerhetsåtgärder som leder till att obehöriga får tillgång till personuppgifter är en annan vanlig typ av GDPR-kränkning. Detta inkluderar allt från svaga lösenord och obskyddade databaser till sofistikerade hackerattacker mot företags IT-system.

När ett dataintrång inträffar har företaget skyldighet att anmäla detta till Integritetsskyddsmyndigheten inom 72 timmar. Om intrånget kan medföra hög risk för dina rättigheter ska du också informeras utan onödigt dröjsmål.

Kränkning av dina rättigheter

Du har flera specifika rättigheter enligt GDPR, och när företag inte respekterar dessa utgör det en kränkning. Detta kan handla om att neka dig tillgång till dina uppgifter, vägra rätta felaktiga uppgifter, eller inte radera dina data när du begär det.

Företag ska även kunna förklara hur de behandlar dina personuppgifter på ett tydligt och begripligt sätt. Om de inte kan ge dig denna information eller ger vilseledande information, kan även detta utgöra en GDPR-kränkning.

Dina rättigheter som privatperson

Rätt till information och transparens

Du har rätt att veta vilka personuppgifter som samlas in om dig, varför de samlas in, hur länge de sparas och vilka som har tillgång till dem. Företag måste lämna denna information på ett klart och lättförståeligt sätt, vanligtvis genom en integritetspolicy.

Om du misstänker att ett företag behandlar dina uppgifter olagligt har du rätt att få detaljerad information om behandlingen. Denna information ska lämnas kostnadsfritt och inom en månad från din begäran.

Rätt till rättelse och radering

När personuppgifter om dig är felaktiga eller ofullständiga har du rätt att få dem rättade. Du har också rätt att få dina personuppgifter raderade under vissa omständigheter, till exempel när uppgifterna inte längre behövs för det ursprungliga ändamålet eller när du drar tillbaka ditt samtycke.

Denna rätt till radering, ofta kallad "rätten att bli bortglömd", gäller dock inte i alla situationer. Företag kan ha rätt att behålla uppgifterna om de behöver dem för att fullgöra rättsliga förpliktelser eller för att försvara rättsliga anspråk.

Rätt till skadestånd

Om du drabbas av materiell eller immateriell skada till följd av en GDPR-kränkning har du rätt till skadestånd från den ansvariga organisationen. Detta kan inkludera ekonomiska förluster, men även lidande, oro och kränkning av din integritet.

Skadeståndet ska kompensera dig för den faktiska skada du lidit. Även om det kan vara svårt att bevisa immateriell skada, har domstolar börjat döma ut skadestånd för kränkningar av den personliga integriteten även utan konkreta ekonomiska förluster.

Hur du agerar vid GDPR-kränkning

Dokumentera kränkningen

När du upptäcker eller misstänker en GDPR-kränkning är det viktigt att omedelbart börja dokumentera vad som hänt. Spara all relevant korrespondens, ta skärmdumpar av webbsidor eller felmeddelanden, och anteckna tidpunkter och omständigheter.

Om kränkningen involverar ett dataintrång, ändra omedelbart lösenord för berörda konton och övervaka dina bankkonton och kreditupplysningar för tecken på identitetsstöld. Denna dokumentation blir viktig både för eventuella anmälningar och skadeståndskrav.

Kontakta också företaget eller organisationen som är ansvarig för kränkningen. De har skyldighet att utreda din anmälan och vidta lämpliga åtgärder. Begär skriftlig bekräftelse på att de mottagit din anmälan och vilka åtgärder de planerar att vidta.

Anmälan till Integritetsskyddsmyndigheten

Om företaget inte agerar på ett tillfredsställande sätt på din anmälan, eller om kränkningen är allvarlig, kan du anmäla den till Integritetsskyddsmyndigheten (IMY). Anmälan är kostnadsfri och kan göras online via IMY:s webbplats.

I din anmälan bör du beskriva detaljerat vad som hänt, vilka personuppgifter som berörs, och vilka åtgärder du redan vidtagit. Bifoga all relevant dokumentation som kan stödja din anmälan.

IMY kan besluta om administrativa sanktionsavgifter mot företaget, kräva att de vidtar rättelse, eller i allvarliga fall förbjuda viss behandling av personuppgifter. Processen kan ta tid, men IMY är skyldig att informera dig om utredningens framsteg.

Juridisk rådgivning och skadeståndskrav

För komplicerade fall eller när avsevärda skador uppstått kan det vara klokt att söka juridisk rådgivning. En erfaren jurist kan hjälpa dig bedöma styrkan i ditt ärende och vägleda dig genom processen att kräva skadestånd.

Skadeståndskrav enligt GDPR prövas av allmän domstol, inte av IMY. Du kan välja att först invänta IMY:s utredning, eftersom deras beslut kan stärka din position i en eventuell rättegång, eller att direkt väcka talan mot den ansvariga organisationen.

Praktiska exempel på GDPR-kränkningar

Exempel 1: Läckage från webbshop

Maria handlar regelbundet från en svensk klädwebbshop och har skapat ett kundkonto med sina personuppgifter inklusive adress, telefonnummer och betalningshistorik. En dag får hon ett e-postmeddelande från webbshoppen som informerar om att deras databas hackats och att kundinformation, inklusive Marias uppgifter, kan ha kommit i fel händer.

Webbshoppen anmälde inte intrånget till IMY inom 72 timmar som de skulle, och Maria fick inte heller information förrän flera veckor efter intrånget. Som en följd av läckan började Maria få spam-meddelanden och försök till telefonförsäljning till det telefonnummer hon endast använt för webbshoppen. Maria anmälde kränkningen till IMY och krävde skadestånd för den oro och de praktiska besvär som intrånget orsakat henne.

Exempel 2: Olaglig kameraövervakning på arbetsplatsen

Stefan arbetar på ett mindre företag där chefen installerat övervakningskameror i kontorslokalerna utan att informera de anställda. Kamerorna är placerade så att de filmar anställdas arbetsplatser konstant, och inspelningarna sparas i flera månader. Stefan upptäcker kamerorna och konfronterar sin chef, som hävdar att övervakningen är nödvändig för företagets säkerhet.

Efter att ha kontaktat sin chef och inte fått någon tillfredsställande förklaring eller åtgärd, anmälde Stefan kränkningen till IMY. Företaget hade ingen laglig grund för den omfattande övervakningen, hade inte informerat de anställda, och hade inte genomfört en konsekvensbedömning för den personliga integriteten. IMY beslutade om sanktionsavgift mot företaget och krävde att övervakningen skulle upphöra omedelbart.

Förebyggande åtgärder och skydd

Var medveten om dina rättigheter

Den första linjen i skyddet mot GDPR-kränkningar är kunskap om dina rättigheter. Läs igenom integritetspolicyer innan du ger ditt samtycke till behandling av personuppgifter, och var särskilt försiktig med företag som kräver mer information än vad som verkar rimligt för tjänsten de erbjuder.

Utnyttja regelbundet din rätt att få information om vilka personuppgifter företag har om dig. Många företag erbjuder nu enkla sätt att ladda ner dina data eller få en överblick över hur dina uppgifter behandlas. Detta hjälper dig att hålla koll på vilka som har dina uppgifter och för vilka ändamål.

Var försiktig med samtycken

Läs alltid igenom vad du samtycker till när du accepterar cookies, skapar konton eller registrerar dig för tjänster. Samtycke enligt GDPR ska vara frivilligt, specifikt, informerat och entydigt. Du har alltid rätt att dra tillbaka ditt samtycke, och detta ska vara lika enkelt som att ge det.

Undvik företag som använder förkryssade rutor eller som gör det svårt att neka icke-nödvändiga cookies. Seriösa företag respekterar ditt val och gör det enkelt för dig att kontrollera vilka uppgifter de får samla in om dig.

Viktiga slutsatser

  • Dokumentera alltid misstänkta GDPR-kränkningar omedelbart med skärmdumpar, e-post och tidsangivelser - detta blir avgörande för både anmälningar och eventuella skadeståndskrav.
  • Kontakta företaget först innan du anmäler till IMY, eftersom de har skyldighet att utreda och åtgärda din anmälan, vilket kan lösa problemet snabbare.
  • Du har rätt till skadestånd även för immateriell skada som oro och kränkning av integritet, inte bara ekonomiska förluster från GDPR-kränkningar.
  • Anmäl allvarliga kränkningar till IMY kostnadsfritt via deras webbplats om företaget inte agerar tillfredsställande på din anmälan inom rimlig tid.
  • Sök juridisk rådgivning vid komplicerade fall eller större skador, eftersom skadeståndskrav prövas i allmän domstol och kan kräva juridisk expertis för bästa resultat.

Praktiska exempel

1

Läckage från webbshop

Maria handlade från en klädwebbshop som drabbades av dataintrång. Företaget anmälde inte intrånget till IMY i tid och informerade inte Maria förrän flera veckor senare. Som följd av läckan började hon få spam och telefonförsäljning. Maria anmälde kränkningen till IMY och krävde skadestånd för oro och praktiska besvär.

2

Olaglig kameraövervakning på arbetsplatsen

Stefan upptäckte att hans arbetsgivare installerat övervakningskameror utan att informera de anställda. Kamerorna filmade konstant och inspelningar sparades i månader utan laglig grund. Efter att chefen inte vidtog åtgärder anmälde Stefan till IMY, som beslutade om sanktionsavgift och krävde att övervakningen upphörde omedelbart.

Viktiga slutsatser

Maria Svensson

Juridisk skribent och redaktör

Juristexamen från Stockholms universitet, tidigare associerad advokat

Maria Svensson är en erfaren juridisk skribent med över 12 års erfarenhet av att förenkla komplexa rättsliga frågor för allmänheten. Efter sin juristexamen från Stockholms universitet och några år på en advokatbyrå, upptäckte hon sin passion för att göra juridik tillgänglig för vanliga människor. Maria har specialiserat sig på familjerätt, konsumenträtt och vardagsjuridik. Hon har skrivit för flera juridiska publikationer och hjälpt tusentals svenskar att förstå sina rättigheter. När hon inte skriver om juridik tillbringar Maria tid med sin familj och ägnar sig åt trädgårdsskötsel.