Integritetsskyddsmyndigheten (IMY) är Sveriges tillsynsmyndighet för dataskydd – den som övervakar att GDPR och Dataskyddslagen följs, hanterar klagomål, tar emot incidentanmälningar och beslutar om sanktionsavgifter. Myndigheten hette Datainspektionen fram till 2021. Den här guiden förklarar vad IMY gör, hur en tillsyn går till, hur ditt företag ska interagera med myndigheten och vad som utlöser en granskning. För dig som driver en organisation är IMY både den som ställer kraven och den resurs som publicerar vägledningen om hur de uppfylls.
Sammanfattning
- IMY är Sveriges dataskyddsmyndighet under GDPR (art. 51) och tillsynsmyndighet enligt Dataskyddslagen och kamerabevakningslagen.
- Myndigheten bytte namn från Datainspektionen till Integritetsskyddsmyndigheten den 1 januari 2021.
- Tillsyn inleds genom klagomål, incidentanmälningar, egna initiativ eller mediauppgifter.
- Sanktionsavgifter kan uppgå till 20 miljoner euro eller 4 % av global omsättning (art. 83) – för myndigheter gäller ett svenskt tak på 10 MSEK.
Vad är IMY?
IMY är en statlig förvaltningsmyndighet med uppdrag att skydda enskildas personliga integritet i samband med behandling av personuppgifter. Rollen som tillsynsmyndighet följer av artikel 51 i dataskyddsförordningen, som ålägger varje medlemsstat att utse en oberoende myndighet för att övervaka tillämpningen av GDPR.
Myndighetens ansvarsområde är bredare än enbart GDPR. IMY utövar även tillsyn enligt:
- Dataskyddslagen (2018:218) – den svenska kompletteringen av GDPR.
- Kamerabevakningslagen (2018:1200) – regler för kamerabevakning och tillstånd.
- Sektorsspecifika registerförfattningar och brottsdatalagen.
Från Datainspektionen till IMY
Fram till den 1 januari 2021 hette myndigheten Datainspektionen. Namnbytet till Integritetsskyddsmyndigheten speglade det bredare uppdrag som GDPR medförde. När du läser äldre beslut – till exempel Google-ärendet om rätten att bli glömd från 2020 – är det Datainspektionen som är beslutsfattare; det är samma myndighet under ett tidigare namn. Historiska sanktionsbeslut är alltjämt relevanta som praxis.
Hur tillsyn fungerar
En tillsyn (granskning) kan inledas på flera sätt:
| Ingång | Beskrivning |
|---|---|
| Klagomål | En enskild anmäler att dess rättigheter kränkts (art. 77) |
| Incidentanmälan | En anmäld personuppgiftsincident föranleder granskning |
| Eget initiativ | IMY väljer ut en bransch eller frågeställning |
| Media/tips | Uppgifter i offentligheten om brister |
Under en tillsyn begär IMY vanligen in dokumentation – oftast är registerförteckningen det första som efterfrågas – och ställer skriftliga frågor. Myndigheten kan besluta om korrigerande åtgärder (art. 58): förelägganden, förbud, begränsningar och sanktionsavgifter. IMY har de senaste åren utvecklat sin hantering av klagomål mot en mer strategisk och riskbaserad tillsyn, där enskilda klagomål vägs samman i bredare granskningar. Aktuella beslut publiceras löpande bland myndighetens tillsynsbeslut.
Sanktionsavgifter
IMY:s kraftfullaste verktyg är sanktionsavgiften. Ramen sätts av artikel 83 i dataskyddsförordningen: upp till 20 miljoner euro eller 4 % av den globala årsomsättningen för de allvarligaste överträdelserna. IMY har utfärdat flera betydande avgifter – Spotify 58 miljoner kronor (2023, brister i rätten till tillgång), Trygg-Hansa 35 miljoner kronor (2023, säkerhetsbrist) och Klarna 7,5 miljoner kronor (2022, otillräcklig information). En översikt finns i vår genomgång av IMY:s sanktionsavgifter. För svenska myndigheter gäller ett särskilt tak i Dataskyddslagen på 10 miljoner kronor.
Hur du interagerar med IMY
Som personuppgiftsansvarig möter du IMY i flera situationer:
- Incidentanmälan. Vid en anmälningspliktig personuppgiftsincident lämnas anmälan via IMY:s e-tjänst inom 72 timmar. En förberedd incidentrutin gör att fristen kan hållas.
- Anmälan av dataskyddsombud. Om ni utsett ett dataskyddsombud ska dess kontaktuppgifter anmälas till IMY.
- Förhandssamråd. När en konsekvensbedömning visar kvarstående hög risk ska ni samråda med IMY innan behandlingen påbörjas (art. 36).
- Svar under tillsyn. Vid en granskning ska ni lämna begärd dokumentation inom utsatt tid.
IMY publicerar omfattande vägledning på imy.se, inklusive branschguider, checklistor och sin förteckning över behandlingar som kräver konsekvensbedömning. Att använda myndighetens egen vägledning är det säkraste sättet att tolka kraven rätt.
IMY som kunskapskälla, inte bara tillsynsmyndighet
Det är lätt att uppfatta IMY enbart som den myndighet som utfärdar böter, men för de flesta organisationer är den viktigaste funktionen den motsatta: IMY är den ledande svenska källan till vägledning om hur GDPR ska tolkas i praktiken. Myndigheten publicerar branschanpassade guider för skola, vård, förening och arbetsliv, checklistor för vanliga behandlingar, och vägledningar för specifika frågor som kamerabevakning och behandling av personnummer. Att utgå från IMY:s egen vägledning är juridiskt tryggare än att förlita sig på generella tolkningar, eftersom det är IMY som i sista hand bedömer efterlevnaden.
Myndigheten deltar också i det europeiska samarbetet genom Europeiska dataskyddsstyrelsen (EDPB), där de nationella tillsynsmyndigheterna samordnar sin tolkning av GDPR. EDPB:s riktlinjer – om samtycke, berättigat intresse, tredjelandsöverföringar och mycket annat – är därför lika relevanta för svenska organisationer som IMY:s egen vägledning, och IMY tillämpar dem i sin tillsyn. När ni tolkar en svår fråga är ordningen alltså: lagtexten först, därefter EDPB:s riktlinjer och IMY:s vägledning, och först i sista hand egna resonemang.
För gränsöverskridande behandling gäller dessutom mekanismen om en enda kontaktpunkt (one-stop-shop): ett företag med huvudetablering i ett annat EU-land kan ha en annan ledande tillsynsmyndighet än IMY, medan IMY ändå är den myndighet svenska registrerade vänder sig till. Detta samspel avgör vem ni faktiskt ska rapportera till och samråda med, och bör klargöras tidigt för organisationer med verksamhet i flera länder.
Vad utlöser en granskning?
Vanliga triggers är ett klagomål från en enskild vars begäran om registerutdrag inte besvarats i tid, en anmäld incident som rör känsliga uppgifter, eller mediauppgifter om ett dataläckage. IMY prioriterar ärenden med bred påverkan – många berörda, känsliga uppgifter eller systematiska brister. Att ha grundläggande dokumentation på plats – register, biträdesavtal och rutiner – är det bästa skyddet, eftersom det både minskar risken för brister och visar god styrning om en granskning ändå inleds.
Att hålla denna dokumentation samlad och aktuell är arbetskrävande manuellt. En plattform som Legiscope kan samla register, avtal och rutiner på ett ställe så att ni snabbt kan svara om IMY hör av sig.
En vanlig missuppfattning är att en granskning alltid börjar med ett dramatiskt intrång eller en stor läcka. I praktiken är den vanligaste utlösaren betydligt mer vardaglig: en enskild individ som inte fått svar på sin begäran om registerutdrag inom en månad, eller som nekats radering utan tydlig motivering, klagar till IMY. Ett sådant klagomål kan sedan bredda sig till en granskning av hela organisationens dataskyddsarbete. Just därför är rutiner för att hantera de registrerades rättigheter – inom de frister GDPR anger – en av de mest kostnadseffektiva investeringarna: de förhindrar de klagomål som annars öppnar dörren för en tillsyn.
Vanliga frågor
Vad är skillnaden mellan IMY och Datainspektionen?
Ingen – det är samma myndighet. Datainspektionen bytte namn till Integritetsskyddsmyndigheten (IMY) den 1 januari 2021 för att spegla det bredare integritetsskyddsuppdraget. Beslut fattade före 2021 anges under det gamla namnet men är fortfarande gällande praxis.
Måste jag anmäla mitt företag till IMY?
Nej, det finns ingen allmän registreringsplikt för företag under GDPR. Du behöver dock anmäla kontaktuppgifterna för ett dataskyddsombud om ett sådant utsetts, och anmäla personuppgiftsincidenter som medför risk inom 72 timmar. Vissa behandlingar kräver dessutom förhandssamråd enligt art. 36.
Kan jag be IMY om råd i förväg?
IMY publicerar omfattande vägledning på imy.se men ger sällan bindande förhandsbesked i enskilda fall. Undantaget är förhandssamråd enligt art. 36, som är obligatoriskt när en konsekvensbedömning visar kvarstående hög risk. För tolkningsfrågor är myndighetens publicerade branschvägledningar den bästa källan.
Hur lång tid har jag på mig att svara vid en tillsyn?
IMY anger en svarsfrist i varje enskild begäran, ofta några veckor. Fristen kan i regel förlängas efter kontakt om ni behöver mer tid. Att inte svara alls, eller att lämna ofullständig dokumentation, är en försvårande omständighet som kan bredda granskningen.
Slutsats
IMY är både kravställaren och kunskapskällan i svenskt dataskydd. Myndigheten utövar tillsyn, hanterar klagomål och incidenter och beslutar om sanktionsavgifter – men publicerar också den vägledning som gör kraven begripliga. Det bästa förhållningssättet är proaktivt: ha register, avtal och rutiner på plats, använd IMY:s egen vägledning, och svara i tid om en granskning inleds. Då blir IMY en resurs snarare än ett hot.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial