Hoppa till innehåll
CompliantHQ

Vad ska en integritetspolicy innehålla? GDPR-kraven punkt för punkt

De flesta webbplatser behandlar personuppgifter — ett kontaktformulär, en beställning, ett analysverktyg eller bara loggade IP-adresser räcker. Då kräver GDPR att besökaren får tydlig information om behandlingen, och integritetspolicyn är i praktiken platsen där den informationen samlas. Kraven handlar inte bara om att policyn finns: artikel 13 och 14 räknar upp exakt vad som ska framgå, och artikel 12 kräver dessutom att allt är skrivet klart, tydligt och lättillgängligt. Här går vi igenom hela listan, de vanligaste bristerna och hur du rättar till dem.

GDPR art. 12–14

Vad säger lagen?

Ordet "integritetspolicy" står inte i GDPR. Det lagen kräver är att den som behandlar personuppgifter informerar de registrerade om behandlingen — och en samlad policysida är det etablerade sättet att göra det på. Artikel 13 gäller när uppgifterna samlas in från personen själv (formulär, köp, konton), artikel 14 när de kommer från någon annan källa (register, partners, köpta listor). Listorna överlappar till största delen, men artikel 14 lägger till kravet att ange varifrån uppgifterna kommer.

Artikel 12 lägger ett krav ovanpå innehållet: informationen ska vara klar och tydlig, formulerad i begripligt språk och lätt tillgänglig. Begriplighet är alltså ett eget lagkrav — en policy som innehåller alla obligatoriska uppgifter men är skriven så att en vanlig besökare inte förstår den brister ändå mot artikel 12.

Det här ska integritetspolicyn innehålla

Punkterna nedan följer artikel 13 och 14. Allt gäller inte alla — har ni inget dataskyddsombud behöver inget anges, och automatiserat beslutsfattande är bara relevant om det förekommer — men varje punkt ska finnas med när den är tillämplig:

  • Den personuppgiftsansvariges identitet och kontaktuppgifter — vilket företag eller vilken organisation som ansvarar för uppgifterna, med en fungerande kontaktväg.
  • Ändamålen med behandlingen — varför uppgifterna samlas in, i klartext: orderhantering, nyhetsbrev, statistik.
  • Rättslig grund för varje behandling — samtycke, avtal, rättslig förpliktelse eller berättigat intresse. Åberopas berättigat intresse ska det konkreta intresset anges, inte bara frasen.
  • Kategorier av uppgifter — vilka sorters uppgifter det rör sig om: namn, e-post, IP-adress, köphistorik. Obligatoriskt när uppgifterna kommer från annan källa än personen själv, och god sed i alla policyer.
  • Mottagare eller kategorier av mottagare — vem uppgifterna delas med. Kategorier räcker ("betaltjänstleverantörer", "IT-driftleverantörer"), men något måste anges.
  • Tredjelandsöverföring — om uppgifter förs utanför EU/EES ska det framgå, tillsammans med vilka skyddsåtgärder som används, till exempel EU:s standardavtalsklausuler eller ett adekvansbeslut.
  • Lagringstid — hur länge uppgifterna sparas, eller kriterierna för att bestämma det när en exakt tid inte går att ange.
  • Den registrerades rättigheter — tillgång, rättelse, radering, begränsning, invändning och dataportabilitet.
  • Rätten att återkalla samtycke — när behandlingen vilar på samtycke.
  • Rätten att klaga hos tillsynsmyndigheten — i Sverige IMY, Integritetsskyddsmyndigheten.
  • Automatiserat beslutsfattande och profilering — om det förekommer, med meningsfull information om logiken bakom och följderna för den registrerade.
  • Varifrån uppgifterna kommer — när de inte samlats in från personen själv (artikel 14).
  • Kontaktuppgifter till dataskyddsombudet — när ett sådant krävs, bland annat för offentliga aktörer.

Begriplig, lätt att hitta — och på svenska

Artikel 12 gör formen till en del av kravet. Policyn ska gå att hitta från varje sida — i praktiken en länk i sidfoten — och gå att läsa utan hinder. Två fällor vi ser regelbundet: länken till policyn är trasig, eller texten ligger i en inbäddad dokumentvisning som cookie-bannern blockerar, så att besökaren måste godkänna cookies för att kunna läsa vad samtycket innebär.

Språket hör hit också. En webbplats som riktar sig till svensk publik bör ha policyn på svenska — det följer av kravet på att informationen ska vara begriplig för målgruppen, och för offentliga aktörer även av språklagen. Fler språkversioner är förstås bra, men den svenska ska finnas.

Vanliga brister vi ser

Det vanligaste problemet är inte att policyn saknas, utan att den är en mall som aldrig blev färdig — eller skrevs för flera år sedan och sedan glömdes bort. Tecknen är lätta att känna igen:

  • Kvarglömda platshållare som "[Företagsnamn]" — policyn publicerades direkt från mallen utan att fyllas i.
  • Hänvisningar till Datainspektionen, som bytte namn till IMY 2021, eller till Personuppgiftslagen (PUL), som ersattes av GDPR 2018 — texten har inte rörts på flera år.
  • Fel företag namngivet som personuppgiftsansvarig — policyn är kopierad från en annan webbplats.
  • Uppdateringsdatum saknas, så ingen kan avgöra om texten fortfarande stämmer.
  • "Berättigat intresse" som rättslig grund utan att intresset någonsin specificeras.
  • Mottagarna beskrivs bara som "betrodda partners" — det säger besökaren ingenting om vart uppgifterna tar vägen.
  • Rättigheterna räknas upp, men det finns ingen kontaktväg för att faktiskt använda dem.
  • Lagringstid nämns inte alls, eller bara som "så länge det behövs" utan kriterier.

Så testar CompliantHQ det här

Skannern letar upp webbplatsens policysidor, läser dem som dokument och kör deterministiska kontroller på att de obligatoriska delarna finns — varje punkt i listan ovan har en egen check: personuppgiftsansvarig, ändamål, rättslig grund, mottagare, lagringstid, rättigheter, klagorätt, återkallande av samtycke, tredjelandsöverföringar och dataskyddsombud. Vi kontrollerar också tecknen på en död mall: platshållare, hänvisningar till PUL eller Datainspektionen, saknat uppdateringsdatum och fel företagsnamn.

Ovanpå det granskar vår compliance-AI det som kräver bedömning: är policyn begriplig för en vanlig besökare (artikel 12), är mottagarbeskrivningarna för vaga, åberopas berättigat intresse utan att intresset anges? AI-bedömningar redovisas alltid som just bedömningar — aldrig som konstaterade överträdelser.

Samtliga kontroller körs redan i provperioden.

Så åtgärdar du

  • Gå igenom punktlistan ovan mot er nuvarande policy och bocka av varje tillämplig punkt — det är snabbaste vägen till en komplett text.
  • Namnge er egen organisation som personuppgiftsansvarig, med organisationsnummer och en fungerande kontaktväg.
  • Konkretisera det som ofta lämnas vagt: vilket det berättigade intresset är, vilka kategorier av mottagare som tar del av uppgifterna och hur länge uppgifterna sparas.
  • Skriv i klarspråk — korta meningar, rubriker per ämne, inga paragrafhänvisningar utan förklaring. Begriplighet är ett lagkrav, inte en bonus.
  • Publicera på svenska, datera texten och uppdatera den när behandlingen förändras — ett nytt analysverktyg eller en ny leverantör ska synas i policyn.
  • Länka policyn i sidfoten och kontrollera att den går att läsa utan att godkänna cookies.

Det här ingår i granskningen

  • Att en integritetspolicy finns och går att nå.
  • Att länkarna till policysidorna fungerar och inte leder till felsidor.
  • Att policyn går att läsa utan att först tvingas acceptera cookies.
  • Att policyn namnger vilket företag som ansvarar för personuppgifterna.
  • Att policyn inte namnger fel företag som ansvarigt — ett vanligt spår av kopierade mallar.
  • Att det går att kontakta den som ansvarar för uppgifterna — e-post, telefon, adress eller kontaktsida.
  • Att policyn förklarar varför uppgifterna samlas in och vad de används till.
  • Att policyn anger med vilket lagstöd uppgifterna hanteras — till exempel samtycke, avtal eller rättslig skyldighet.
  • Att policyn beskriver vilka sorters uppgifter som hanteras — till exempel namn, e-post, IP-adress eller köphistorik.
  • Att policyn berättar vilka uppgifterna delas med — till exempel leverantörer, betaltjänster eller analysverktyg.
  • Att policyn anger hur länge uppgifterna sparas — eller hur det avgörs.
  • Att policyn räknar upp besökarens rättigheter — att få se sina uppgifter, få dem rättade eller raderade, med flera.
  • Att det framgår hur man gör i praktiken för att använda sina rättigheter — en e-postadress, ett formulär eller en kontaktsida.
  • Att det framgår att man kan klaga hos Integritetsskyddsmyndigheten (IMY) om man anser att uppgifterna hanteras fel.
  • Att det framgår att ett lämnat samtycke går att ångra. Gäller när webbplatsen stödjer sig på samtycke.
  • Att policyn förklarar vilket skydd som används när uppgifter skickas utanför EU — till exempel EU:s standardavtal — i stället för att bara konstatera att det sker.
  • Att policyn berättar om det när vi uppmätt att data faktiskt skickas till mottagare utanför EU — till exempel amerikanska annonsplattformar.
  • Att policyn har ett uppdateringsdatum.
  • Att policyn inte innehåller kvarglömda mall-luckor som "[Företagsnamn]" eller "Lorem ipsum" — tecken på en kopierad mall som aldrig fylldes i.
  • Att policyn inte hänvisar till Datainspektionen — myndigheten bytte namn till IMY 2021, så en sådan hänvisning är ett starkt tecken på att policyn inte underhållits.
  • Att policyn inte hänvisar till gamla Personuppgiftslagen (PUL) — den ersattes av GDPR 2018, så hänvisningen betyder att policyn är inaktuell.
  • AI:n bedömer om policyn är begriplig för en vanlig läsare — GDPR kräver klart och tydligt språk.
  • När policyn använder lagstödet "berättigat intresse": förklarar den vilket intresse som faktiskt menas — eller används bara frasen?
  • AI:n bedömer om beskrivningen av vilka uppgifterna delas med är för vag — "betrodda partners" säger ingenting.
  • Att det framgår om uppgifter som samlats in för ett syfte senare används till något annat — och i så fall hur.
  • Att det framgår om beslut om besökaren fattas automatiskt eller om profiler byggs — till exempel automatiska kreditbedömningar.
  • Att det framgår varifrån uppgifterna kommer när personen inte själv lämnat dem — till exempel köpta adressregister.
  • Att det framgår hur man tackar nej till reklamutskick.
  • Att policyn förklarar med vilket lagstöd känsliga uppgifter hanteras — hälsa, religion, politiska åsikter med mera har ett extra starkt skydd i GDPR.
  • Vårdspecifik granskning: lagstödet för hälsouppgifter, patientdatalagen och att webbplatsen hålls åtskild från journalsystemet. Gäller vårdgivare.
  • Kommunspecifik granskning av lagstödet — myndigheter kan sällan be medborgare om samtycke, eftersom medborgaren inte har ett fritt val. Gäller kommuner och offentliga aktörer.

Vanliga frågor

Måste alla webbplatser ha en integritetspolicy?

Informationskravet gäller alla som behandlar personuppgifter — och det gör nästan varje webbplats, via kontaktformulär, beställningar, konton eller analysverktyg. I praktiken: ja, har webbplatsen någon form av insamling behövs en integritetspolicy.

Räcker det att utgå från en mall?

En mall kan vara en bra start, men den måste fyllas i och anpassas till er faktiska behandling — era ändamål, era mottagare, era lagringstider. Kvarglömda platshållare och fel företagsnamn är bland de tydligaste bristerna vi hittar.

Måste integritetspolicyn vara på svenska?

Riktar sig webbplatsen till svensk publik bör policyn finnas på svenska — informationen ska vara begriplig för målgruppen enligt artikel 12. För offentliga aktörer följer kravet även av språklagen.

Måste vi ange en exakt lagringstid?

Helst, men det är inte alltid möjligt — då tillåter GDPR att ni i stället anger kriterierna för hur lagringstiden bestäms, till exempel "så länge kundförhållandet pågår och därefter enligt bokföringslagens krav". Enbart "så länge det behövs" utan kriterier räcker inte.

Är cookiepolicyn samma sak som integritetspolicyn?

Nej — integritetspolicyn beskriver behandlingen av personuppgifter enligt GDPR, medan cookieinformationen handlar om vilka cookies och spårare som sätts och bygger på samtyckeskravet i ePrivacy-reglerna. Informationen kan bo i samma dokument, men båda delarna måste finnas.

Vill du se vad vi hittar på din webbplats?

Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.

Starta gratis skanningSe priser

Fler fördjupningar