Dataskydd

IMY sanktionsavgifter: GDPR-böter i Sverige 2026

IMY sanktionsavgifter: de största GDPR-böterna i Sverige – Spotify 58 MSEK, Trygg-Hansa 35 MSEK, SL 16 MSEK – med lärdomen bakom varje beslut.

Also available in:Français·Deutsch·Español

IMY:s sanktionsavgifter är de böter som Integritetsskyddsmyndigheten (IMY) beslutar när GDPR eller Dataskyddslagen överträds. Ramen sätts av artikel 83 i dataskyddsförordningen – upp till 20 miljoner euro eller 4 % av global årsomsättning – medan svenska myndigheter omfattas av ett särskilt tak på 10 miljoner kronor i Dataskyddslagen. Den här sidan går igenom de största dokumenterade svenska sanktionsavgifterna, från Spotifys 58 miljoner kronor till Skellefteås 200 000, med lärdomen bakom varje beslut. Samtliga belopp och utgångar bör verifieras på IMY:s egna beslutssidor innan de citeras.

Sammanfattning

  • Sanktionsramen följer art. 83 GDPR: upp till 20 MEUR eller 4 % av global omsättning.
  • Sveriges största GDPR-avgift är Spotify, 58 miljoner kronor (2023), för brister i rätten till tillgång.
  • Vanligaste överträdelserna: bristande säkerhet (art. 32), otillräcklig information och olagliga tredjelandsöverföringar.
  • Svenska myndigheter har ett eget tak på 10 miljoner kronor enligt Dataskyddslagen (6 kap. 2 §).

Sanktionsramen enligt artikel 83

Artikel 83 i dataskyddsförordningen delar överträdelser i två nivåer. De mindre allvarliga – exempelvis brister i registerföring eller biträdesavtal – kan ge upp till 10 miljoner euro eller 2 % av omsättningen. De allvarligaste – brott mot grundprinciperna, de registrerades rättigheter eller reglerna om tredjelandsöverföring – kan ge upp till 20 miljoner euro eller 4 %. Avgiften ska i varje enskilt fall vara effektiv, proportionell och avskräckande, och IMY väger in överträdelsens art, allvar, varaktighet och graden av oaktsamhet.

För svenska myndigheter och offentliga organ gäller ett undantag: Dataskyddslagen 6 kap. 2 § sätter ett tak på 10 miljoner kronor, med en lägre nivå på 5 miljoner för mindre allvarliga överträdelser.

De största svenska sanktionsavgifterna

Tabellen sammanfattar de mest betydande dokumenterade besluten. Beloppen är de ursprungligt beslutade; vissa har justerats efter överklagande.

Organisation Belopp År Överträdelse
Spotify 58 MSEK 2023 Rätten till tillgång (art. 15)
Trygg-Hansa 35 MSEK 2023 Säkerhetsbrist (art. 32)
Google 75 MSEK 2020 Rätten att bli glömd (delistning)
SL (Storstockholms Lokaltrafik) 16 MSEK 2021 Kroppskameror utan grund
Avanza Bank 15 MSEK 2021 Meta-pixel läckte uppgifter
Tele2 12 MSEK 2023 Google Analytics (tredjelandsöverföring)
MedHelp 12 MSEK 2021 1177-skandalen, hälsodata exponerad
Klarna 7,5 MSEK 2022 Otillräcklig information (art. 13–14)
Skellefteå kommun 200 kSEK 2019 Ansiktsigenkänning i skola

Spotify – 58 MSEK (2023)

Sveriges största GDPR-avgift. IMY fann att Spotify inte gav de registrerade tillräckligt tydlig information om hur de kunde utöva sin rätt till tillgång enligt art. 15. Lärdom: rätten till tillgång ska besvaras fullständigt och begripligt – inte formellt men ofullständigt.

Trygg-Hansa – 35 MSEK (2023)

En sårbarhet i försäkringsbolagets kundportal gjorde att känsliga uppgifter om cirka 650 000 kunder kunde nås av obehöriga – ett brott mot säkerhetskravet i art. 32. Lärdom: tekniska säkerhetsåtgärder är inte en formalitet utan en självständig skyldighet med kännbar prislapp.

SL – 16 MSEK (2021)

Storstockholms Lokaltrafik utrustade biljettkontrollanter med kroppskameror utan tillräcklig rättslig grund. Lärdom: kamerabevakning kräver en dokumenterad intresseavvägning – tekniken får inte införas för att den är möjlig.

Avanza – 15 MSEK (2021)

Genom en felaktigt konfigurerad Meta-pixel överfördes kunduppgifter till Facebook utan grund. Lärdom: tredjepartsskript på webbplatser är en behandling som ska kontrolleras och dokumenteras.

Google – 75 MSEK (2020)

Datainspektionen (IMY:s tidigare namn) fann att Google inte hanterat begäranden om delistning enligt rätten att bli glömd korrekt. Avgiften justerades senare efter överklagande. Lärdom: även globala aktörer måste följa de registrerades rättigheter under GDPR.

Vad besluten har gemensamt

Mönstret i IMY:s praxis är tydligt. De största avgifterna rör tre områden:

  1. Säkerhetsbrister (art. 32) – Trygg-Hansa, Avanza. Tekniska brister som exponerar uppgifter straffas hårt.
  2. De registrerades rättigheter – Spotify, Google. Att inte hantera tillgång och radering korrekt är dyrt.
  3. Tredjelandsöverföring – Tele2, och även CDON (300 000 kr, 2023) i samma ärendegrupp om Google Analytics. Se vår guide till tredjelandsöverföring.

Den gemensamma nämnaren är bristande styrning: avsaknad av dokumentation, otestade rutiner och obevakade dataflöden. Ett komplett register, fungerande biträdesavtal och ett aktivt dataskyddsombud adresserar exakt de brister som återkommer i besluten.

Hur IMY beräknar avgiftens storlek

Sanktionsavgiftens nivå är inte godtycklig utan följer de kriterier som anges i art. 83.2. IMY väger in överträdelsens art, allvar och varaktighet, hur många registrerade som berörts och hur allvarlig skadan varit, om överträdelsen skett uppsåtligen eller genom oaktsamhet, vilka åtgärder organisationen vidtagit för att begränsa skadan, graden av ansvar med hänsyn till tekniska och organisatoriska åtgärder, tidigare överträdelser, och graden av samarbete med myndigheten. Detta förklarar varför till synes liknande överträdelser kan ge mycket olika avgifter.

Storleken på organisationen spelar också roll. Eftersom avgiften ska vara avskräckande vägs den mot omsättningen – en avgift som är kännbar för ett litet bolag skulle vara verkningslös för en storkoncern. Det är därför de största avgifterna träffar stora aktörer: 58 miljoner kronor mot Spotify är avskräckande just i relation till bolagets storlek. För ett mindre företag kan en betydligt lägre avgift ha samma avskräckande effekt och vara lika proportionerlig.

En praktisk konsekvens är att samarbete och transparens lönar sig. En organisation som självmant anmäler en incident, samarbetar under utredningen och kan visa att den vidtagit rimliga åtgärder i förväg bedöms mildare än en som förnekar, fördröjer eller saknar grundläggande dokumentation. Frånvaro av register, biträdesavtal och rutiner är i sig en försvårande omständighet, eftersom den visar bristande efterlevnad av de grundläggande skyldigheterna – inte bara av den specifika regel som överträtts.

Så minskar du risken

Sanktionsavgifter är sällan resultatet av en enskild miss utan av systematiskt bristande styrning. De organisationer som klarar en tillsyn har grunddokumentationen på plats och kan visa att den underhålls. Att bygga och underhålla detta manuellt är resurskrävande; en plattform som Legiscope samlar register, avtal, rutiner och gallringsfrister så att de brister som återkommer i IMY:s beslut inte uppstår. Väg kostnaden mot avgiftsnivåerna i vår kostnadsguide – en avgift på flera miljoner kronor gör investeringen i förebyggande arbete lätt att motivera.

Vanliga frågor

Hur höga kan GDPR-böterna bli i Sverige?

Ramen följer art. 83 GDPR: upp till 20 miljoner euro eller 4 % av den globala årsomsättningen för de allvarligaste överträdelserna, beroende på vilket belopp som är högst. För svenska myndigheter gäller dock ett särskilt tak på 10 miljoner kronor enligt Dataskyddslagen 6 kap. 2 §.

Vilken är den största GDPR-boten i Sverige?

Spotify, 58 miljoner kronor, beslutad av IMY 2023 för brister i hanteringen av rätten till tillgång enligt art. 15. Det är den högsta sanktionsavgiften mot en privat aktör i Sverige hittills. Verifiera aktuell status på imy.se, eftersom beslut kan överklagas.

Får myndigheter också sanktionsavgifter?

Ja, men med ett lägre tak. Dataskyddslagen 6 kap. 2 § begränsar avgiften mot svenska myndigheter och offentliga organ till 10 miljoner kronor, respektive 5 miljoner för mindre allvarliga överträdelser. SL och Skellefteå kommun är exempel på offentliga aktörer som fått avgifter.

Kan en sanktionsavgift överklagas?

Ja. IMY:s beslut kan överklagas till förvaltningsrätten och vidare i instansordningen. Flera avgifter har justerats efter överklagande – Google-avgiften är ett exempel. Det innebär att de belopp som rapporteras vid beslutstillfället inte alltid är de slutliga.

Slutsats

IMY:s sanktionsavgifter följer ett tydligt mönster: säkerhetsbrister, ignorerade rättigheter och olagliga tredjelandsöverföringar straffas hårdast. Spotify 58 MSEK, Trygg-Hansa 35 MSEK och SL 16 MSEK är inte undantag utan illustrationer av vad bristande styrning kostar. Lärdomen är att förebyggande dokumentation – register, avtal, rutiner och gallring – är billigare än varje avgift i listan. Verifiera alltid aktuella belopp och utgångar på imy.se, eftersom besluten uppdateras efter överklagande.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →