En integritetspolicy enligt GDPR ska ge de registrerade all information som artikel 13 och 14 i dataskyddsförordningen kräver: vem som är personuppgiftsansvarig, vilka uppgifter som behandlas, för vilka ändamål, med vilken rättslig grund, hur länge de sparas, vilka de delas med och vilka rättigheter den registrerade har. Den här sidan ger en färdig mall – avsnitt för avsnitt – skriven på klar svenska, med exempel på formuleringar som håller och formuleringar som IMY underkänner. Kopiera strukturen och anpassa varje fält till er faktiska behandling.
Sammanfattning
- Informationsskyldigheten i art. 13 (uppgifter insamlade direkt) och art. 14 (uppgifter insamlade från annan källa) är obligatorisk – inte en rekommendation.
- En integritetspolicy ska vara begriplig, konkret och specifik: vaga standardtexter uppfyller inte kravet.
- IMY sanktionerade Klarna med 7,5 miljoner kronor 2022 just för bristfällig och otydlig information till de registrerade.
- Policyn ska bygga på er registerförteckning – den är källan till vilka behandlingar som ska beskrivas.
Vad kräver artikel 13 och 14?
Artikel 13 i dataskyddsförordningen reglerar den information ni ska lämna när ni samlar in uppgifter direkt från den registrerade – till exempel via ett formulär, en beställning eller en registrering. Artikel 14 gäller när uppgifterna kommer från någon annan källa, exempelvis ett adressregister, en samarbetspartner eller en offentlig källa.
Skillnaden i praktiken: enligt art. 14 ska ni dessutom ange varifrån uppgifterna kommer och lämna informationen inom rimlig tid, senast inom en månad. I båda fallen ska informationen ges klart, kortfattat och på ett lättillgängligt sätt (art. 12.1). En policy skriven på juridiska eller tekniskt otillgängligt är i sig en brist.
Mall: avsnitt för avsnitt
Nedan följer den struktur en komplett integritetspolicy behöver. Varje rubrik motsvarar ett eller flera krav i art. 13–14.
| Avsnitt | Innehåll | Lagrum |
|---|---|---|
| Personuppgiftsansvarig | Namn, org.nr, kontaktuppgifter | Art. 13.1 a |
| Dataskyddsombud | Kontaktuppgifter om ni har ett | Art. 13.1 b |
| Ändamål och rättslig grund | Varför + grund enligt art. 6 | Art. 13.1 c |
| Berättigat intresse | Om grunden är art. 6.1 f: vilket intresse | Art. 13.1 d |
| Mottagare | Kategorier av mottagare/biträden | Art. 13.1 e |
| Tredjelandsöverföring | Land och skyddsåtgärd | Art. 13.1 f |
| Lagringstid | Konkret gallringsfrist eller kriterium | Art. 13.2 a |
| Registrerades rättigheter | Tillgång, rättelse, radering m.fl. | Art. 13.2 b |
| Rätt att återkalla samtycke | Om grunden är samtycke | Art. 13.2 c |
| Rätt att klaga till IMY | Hänvisning till tillsynsmyndigheten | Art. 13.2 d |
| Automatiserat beslutsfattande | Om profilering förekommer | Art. 13.2 f |
1. Personuppgiftsansvarig
Ange fullständigt namn, organisationsnummer och kontaktväg. Fel: “Vi värnar om din integritet.” Rätt: “Personuppgiftsansvarig är Exempel AB, org.nr 556000-0000, e-post dataskydd@exempel.se.”
2. Ändamål och rättslig grund
Detta är det avsnitt där flest policyer brister. Varje ändamål ska kopplas till en specifik rättslig grund enligt artikel 6. Fel: “Vi behandlar uppgifter för att förbättra vår verksamhet.” Rätt: “Vi behandlar din e-postadress för att skicka nyhetsbrev. Rättslig grund är samtycke (art. 6.1 a). Vi behandlar dina orderuppgifter för att fullgöra köpet. Rättslig grund är avtal (art. 6.1 b).”
3. Lagringstid
“Så länge det behövs” räcker inte. Ange en konkret frist eller ett tydligt kriterium. Rätt: “Orderuppgifter sparas i sju år enligt bokföringslagen. Nyhetsbrevsprenumerationer sparas tills du avregistrerar dig.” Se vår guide till gallring och lagringsminimering för hur ni sätter försvarbara frister.
Klarna-fallet: därför räcker inte standardtexter
Att en integritetspolicy existerar är inte samma sak som att den uppfyller lagen. IMY meddelade i mars 2022 en sanktionsavgift på 7,5 miljoner kronor mot Klarna Bank AB för att informationen till de registrerade var otillräcklig och otydlig – bland annat om ändamål, mottagare och de rättsliga grunderna. Beslutet visar att tillsynsmyndigheten granskar innehållet i informationen, inte bara dess existens. En kopierad mallpolicy som inte speglar den faktiska behandlingen är därför en risk, inte ett skydd. Du hittar beslutet och andra exempel bland IMY:s publicerade tillsynsbeslut.
Vanliga fel i svenska integritetspolicyer
- Otydlig rättslig grund. Policyn räknar upp ändamål men anger inte grunden enligt art. 6, eller anger “samtycke” för behandling som egentligen vilar på avtal eller berättigat intresse.
- Kopierad text som inte stämmer. En policy hämtad från ett annat företag beskriver behandlingar ni inte utför och missar era egna.
- Saknad information om tredjelandsöverföring. Om ni använder amerikanska analys- eller molntjänster ska det framgå, tillsammans med skyddsåtgärden. Se vår guide till tredjelandsöverföring.
- Ingen hänvisning till IMY. Rätten att klaga till tillsynsmyndigheten (art. 13.2 d) ska alltid anges.
- Vaga lagringstider. “Så länge det är nödvändigt” utan konkret frist eller kriterium.
Integritetspolicyn som del av dokumentationen
En integritetspolicy är den utåtriktade delen av ett större dokumentationsarbete. Den ska stämma överens med er registerförteckning enligt art. 30: samma ändamål, samma rättsliga grunder, samma mottagare och samma gallringsfrister ska återfinnas i båda. När ni anlitar leverantörer som behandlar uppgifter för er räkning ska dessa täckas av personuppgiftsbiträdesavtal, och de kategorier av mottagare som avtalen speglar ska framgå av policyn.
Att hålla policy, register och avtal synkroniserade manuellt är arbetskrävande – varje ny behandling ska föras in på tre ställen samtidigt. Här ger ett samlat verktyg tydlig nytta: en plattform som Legiscope genererar policytexten utifrån samma underlag som registret, så att dokumenten inte glider isär över tid. Behöver ni bedöma om kostnaden är motiverad, jämför alternativen i vår kostnadsguide för GDPR-programvara.
Skiktad information: policy i flera lager
Artikel 12.1 kräver att informationen är kortfattad och lättillgänglig – två krav som ofta drar åt olika håll, eftersom en fullständig art. 13-information blir lång. Lösningen som Europeiska dataskyddsstyrelsen rekommenderar är skiktad information: en kort, tydlig sammanfattning där uppgifterna samlas in (till exempel en mening intill ett formulärfält om vad e-postadressen används till), med en länk till den fullständiga integritetspolicyn en klick bort. På så sätt möter ni både kravet på begriplighet och kravet på fullständighet.
Detta är särskilt viktigt vid insamling i flera kanaler. En besökare som registrerar sig för ett nyhetsbrev, en kund som gör ett köp och en person vars uppgifter ni hämtat från en annan källa (art. 14) har rätt till information som är anpassad till just deras situation. En enda generisk policy räcker som grunddokument, men den kontextuella informationen vid varje insamlingspunkt är det som gör helheten begriplig. Tänk på policyn som referensdokumentet och de korta informationstexterna som ingångarna till det.
Så tar du fram din policy i praktiken
- Utgå från registret. Lista varje behandling med ändamål, rättslig grund, mottagare och gallringsfrist.
- Gruppera per ändamål. Slå ihop tekniskt närliggande behandlingar till begripliga avsnitt.
- Skriv i klarspråk. En besökare utan juridisk bakgrund ska förstå vad som händer med uppgifterna.
- Lägg till rättighetsavsnittet. Beskriv hur den registrerade utövar sina rättigheter och till vem hen vänder sig.
- Publicera lättillgängligt. Policyn ska nås innan uppgifter lämnas, inte gömmas i en fotnot.
- Uppdatera vid förändring. Ny behandling, ny leverantör eller ny grund ska in i policyn.
Vanliga frågor
Är en integritetspolicy obligatorisk?
Ja. Informationsskyldigheten i art. 13 och 14 gäller varje personuppgiftsansvarig som samlar in personuppgifter. En integritetspolicy är det vanligaste sättet att uppfylla skyldigheten, men informationen kan även lämnas i flera lager, till exempel med en kort information vid insamlingen och en fullständig policy en klick bort.
Måste jag ange den rättsliga grunden i policyn?
Ja. Art. 13.1 c kräver att ni anger både ändamålet och den rättsliga grunden för varje behandling. Om grunden är berättigat intresse (art. 6.1 f) ska ni dessutom beskriva vilket intresse det rör sig om. Att bara skriva “vi följer GDPR” uppfyller inte kravet.
Kan jag återanvända en annan organisations integritetspolicy?
Nej, inte utan omfattande anpassning. En kopierad policy beskriver andras behandlingar och missar era egna. IMY granskar om informationen speglar den faktiska behandlingen – en text som inte gör det är en brist i sig, vilket Klarna-fallet visar.
Hur ofta ska integritetspolicyn uppdateras?
Policyn ska uppdateras så snart något väsentligt ändras: ett nytt ändamål, en ny leverantör, en ny rättslig grund eller en ändrad gallringsfrist. En årlig genomgång parallellt med översynen av registerförteckningen är god praxis.
Slutsats
En integritetspolicy är inte en formalitet utan ett rättsligt dokument som ska spegla exakt hur ni behandlar personuppgifter. Bygg den från registerförteckningen, ange ändamål och rättslig grund för varje behandling, skriv i klarspråk och håll den aktuell. Standardtexter som inte stämmer med verkligheten skyddar inte – Klarna-fallet visar att IMY granskar innehållet. Använd mallstrukturen ovan som skelett, men fyll den med er egen behandling.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial