Secify.com

Gör ditt företag fortfarande dessa GDPR-misstag?

3 mars, 2026
Uppskattad lästid: 5 min

GDPR trädde i kraft för över sju och ett halvt år sedan, men många företag gör fortfarande misstag i sitt arbete med dataskydd.

Läs vidare för att ta reda på om du är en av dem.

Sparar du personuppgifter för länge?

Principen om uppgiftsminimering i GDPR innebär att du endast får behålla personuppgifter så länge det lagliga ändamålet gäller.

Detta kräver att företag fastställer en gallringspolicy för de personuppgifter som samlas in och behandlas samt säkerställer att uppgifterna raderas när den fastställda tidsperioden har löpt ut. Lagringstider måste vara rimliga och inte överdrivna.

Detta är ett meddelande från en brittisk livsmedelskedjas hemleveranstjänst som aldrig användes:

Kunder som har registrerat sig men aldrig handlat – Vi sparar dina personuppgifter i åtta år från datumet för första registrering.

Vid fråga om den åttaåriga lagringstiden var svaret:

”Vi baserar våra lagringstider på vad vi anser är motiverat ur ett dataskyddslagstiftningsperspektiv.”

Organisationen motsatte sig klagomålet om att detta var en överdriven lagringstid, vilket krävde en formell eskalering till tillsynsmyndigheten.

Tillsynsmyndigheten gav klaganden rätt och krävde att organisationen fastställde en mer rimlig lagringstid – om någon registrerar sig men inte använder tjänsten bör uppgifterna raderas efter månader, inte år. Att hävda att det skulle vara opraktiskt för personer är inte tillräcklig motivering för att behålla uppgifterna, eftersom de inte längre uppfyller det ändamål de samlades in för, dvs. onlineköp.

GDPR innehåller även en princip om korrekthet, som ålägger organisationer att vidta rimliga åtgärder för att säkerställa att personuppgifter är korrekta och uppdaterade. Ju längre personuppgifter sparas, desto större är risken att de blir inaktuella – och företaget brister då i sina skyldigheter enligt GDPR.

Kombinerar du rättsliga grunder för samma ändamål?

För varje ändamål med personuppgiftsbehandling ska det finnas en tydlig rättslig grund.

En och samma rättsliga grund ska användas för att undvika förvirring och otydliga integritetsmeddelanden, särskilt om organisationen kombinerar berättigat intresse och samtycke.

Till exempel:

Exempel 1 - cookies

I sådana situationer bör ett återkallande av samtycke även betraktas som en invändning mot behandling baserad på berättigat intresse, och behandlingen ska då upphöra på samma sätt som vid återkallat samtycke.

Registrerade har rätt att återkalla sitt samtycke, men också att invända mot behandling baserad på berättigat intresse.

En organisation kan inte behandla personuppgifter med stöd av samtycke och därefter fortsätta behandlingen med stöd av berättigat intresse när samtycket har återkallats. Detta strider mot principerna om öppenhet, rättvisa och transparens i GDPR.

Om en registrerad återkallar sitt samtycke, och berättigat intresse också används, måste återkallandet även betraktas som en invändning mot behandlingen baserad på berättigat intresse för att vara öppen, rättvis och transparent.

Om ingen annan rättslig grund finns, exempelvis rättslig förpliktelse, måste uppgifterna raderas i en sådan situation.

Samlar du in samtycke på rätt sätt?

Samtycke måste vara informerat, frivilligt och uttryckas genom en aktiv handling. Samtycke kan inte antydas genom passivitet, och du får inte kräva att registrerade aktivt bekräftar att de INTE samtycker.

Detta skulle inte anses vara en giltig begäran om samtycke:

Exempel 2

När samtycke samlas in måste du säkerställa att registrerade tydligt informeras och klart anger vad de samtycker till. Det är viktigt att spara de integritetsmeddelanden som delats ut för att kunna visa vid en eventuell inspektion att samtycket var giltigt och korrekt inhämtat.

Är dina cookies GDPR-anpassade?

Även om alla cookie-meddelanden inleds med hur engagerad organisationen är i integritet, inser registrerade snabbt hur sanningsenligt detta är genom hur cookies faktiskt implementeras på webbplatsen.

Vissa implementationer skapar integritetsproblem, exempelvis:

Sammanblandning av ändamål och rättsliga grunder

Dessa cookie-banners har ofta samtycke avstängt som standard och berättigat intresse aktiverat som standard.

Exempel 3

Utöver problemet med att kombinera rättsliga grunder kan detta uppfattas som att det gör det svårare för registrerade att utöva sina rättigheter.

Dessa banners saknar ofta ett alternativ som ”Avvisa alla”, och man måste manuellt scrolla för att stänga av behandling baserad på berättigat intresse om man vill invända.

Det är svårt för en organisation att hävda att man respekterar och värnar om integritet om man inte tillämpar ”privacy by default” – dvs. endast tillåter behandling som den registrerade aktivt väljer.

Det rekommenderas att organisationer, om integritet verkligen är viktigt, har allt utom nödvändiga cookies avstängt som standard och möjliggör aktivt opt-in.

Flikar för samtycke och berättigat intresse

Vissa cookie-banners delar upp inställningarna på olika flikar.

Exempel 4

Standardinställningen är ofta att alternativen under samtycke är avstängda medan alternativen under berättigat intresse är aktiverade.

Exempel 5

Precis som i föregående exempel följer detta inte principen om ”privacy by default”, och behandling baserad på berättigat intresse måste stängas av manuellt.

Problemet förvärras när en banner har en knapp ”Avvisa alla” men ändå lämnar cookies aktiverade.

Exempel 6
Exempel 6

Detta skapar förvirring: Är statusen ”Avvisa alla” korrekt, eller är statusen ”På” (i grönt) korrekt? GDPR kräver att organisationer är öppna, rättvisa och transparenta samt att integritetsmeddelanden är begripliga. I denna situation uppfylls inte kravet på tydlig information om hur personuppgifter behandlas.

Felklassificering av cookies

Ett annat problem är när cookies klassificeras som nödvändiga trots att de inte är det.

I detta fall visade en granskning via webbläsarens inspektionsfunktion att cookies placerades på hårddisken innan cookie-bannern visades.

Exempel 6 - en skärmdump på webbläsarens utvecklingsverktyg där man ser cookies

Bannern erbjuder alternativet ”Avvisa alla”, men när man klickar på detta tas inga tidigare placerade cookies bort.

Testning visade dessutom att inga ytterligare cookies lades till, vilket innebär att alla cookies på webbplatsen behandlades som nödvändiga – vilket gör samtycket irrelevant.

Att felklassificera cookies för att kringgå kravet på samtycke strider mot principerna om öppenhet, rättvisa och transparens i GDPR och gör dessutom insamlat samtycke ogiltigt.

Endast nödvändiga cookies ska placeras innan samtycke inhämtas. Först när samtycke har lämnats får övriga cookies aktiveras.

Vad kan jag göra för att förbättra vår GDPR-efterlevnad?

Nyckeln till efterlevnad är att förstå principerna. När dessa är på plats faller övriga delar naturligt på plats.

Principerna är enkla:

  • Var öppen, rättvis och transparent mot registrerade
  • Var tydlig med ändamålet och återanvänd inte personuppgifter utan samtycke
  • Samla endast in de uppgifter som behövs för ändamålet
  • Vidta rimliga åtgärder för att säkerställa att personuppgifter är korrekta
  • Följ fastställda lagringstider och spara inte uppgifter längre än nödvändigt
  • Säkerställ att personuppgifter skyddas på ett adekvat sätt
  • Kunna visa att lagen följs

Du måste också säkerställa att du har en tydlig rättslig grund. Om berättigat intresse används är det lämpligt att genomföra en intresseavvägning (LIA – Legitimate Interest Assessment) för att visa att organisationens intressen har vägts mot registrerades rättigheter och risker.

Behöver du hjälp med detta är du välkommen att kontakta oss på Secify, där vårt erfarna dataskyddsteam kan hjälpa dig.

<a id=”Contact”></a>Hör av dig!

Behöver du hjälp med att höja säkerhetsnivån på ditt företag? Skicka ett meddelande med kontaktfunktionen eller lyft på luren och ring 020-66 99 00.


    2026-03-03T16:44:51+01:00
    Lynda Woollard

    Skrivet av: Lynda Woollard

    Lynda Woollard är en väldigt erfaren IT- och privacyspecialist med internationell bakgrund. Hon har tidigare arbetat som IT-säkerhetsexpert på brittiska ambassader runt om i världen och samarbetat med amerikanska FBI i samband med cybersäkerhetsärenden. Hos oss arbetar hon både med informationssäkerhet och dataskydd.

    Lynda Woollards senaste inlägg

    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen