Vilka rättigheter har jag enligt GDPR?

Du har åtta huvudsakliga rättigheter: rätt till tillgång, rättelse, radering, begränsning av behandling, dataportabilitet, invändning, skydd mot automatiserat beslutsfattande och rätt att återkalla samtycke.

Hur begär jag ut mina personuppgifter?

Kontakta företagets dataskyddsombud eller kundtjänst skriftligen och begär ett registerutdrag. Företaget måste svara inom 30 dagar. Begäran är kostnadsfri.

Kan jag kräva att ett företag raderar mina uppgifter?

Ja, rätten till radering (rätten att bli glömd) innebär att du kan kräva att ett företag raderar alla dina personuppgifter. Det finns undantag, till exempel om uppgifterna behövs för att uppfylla rättsliga skyldigheter.

Vart anmäler jag GDPR-överträdelser?

Anmäl till Integritetsskyddsmyndigheten (IMY) via deras webbplats imy.se. Du kan också kontakta företaget direkt och begära att de åtgärdar överträdelsen.

Kan jag få skadestånd vid GDPR-överträdelser?

Ja, du har rätt till ersättning för materiell och immateriell skada enligt GDPR artikel 82. Du kan kräva skadestånd direkt av företaget eller via domstol.

GDPR — Dina rättigheter som privatperson i Sverige 2026

GDPR — ditt starkaste vapen för personlig integritet

Dataskyddsförordningen GDPR (General Data Protection Regulation) trädde i kraft den 25 maj 2018 och revolutionerade hur företag och organisationer hanterar personuppgifter i hela EU. För dig som privatperson innebär GDPR en uppsättning kraftfulla rättigheter som ger dig kontroll över dina personuppgifter. Trots att förordningen har gällt i snart åtta år är det fortfarande många svenskar som inte känner till sina rättigheter eller vet hur de ska använda dem. Den här guiden ger dig en komplett genomgång av vad GDPR innebär för dig personligen och hur du kan använda dina rättigheter i praktiken. Att förstå GDPR är en viktig del av att skydda din identitet.

Osäker på vilket ID-skydd du behöver?

Jämför ID-skydd →

Oberoende · Uppdaterat mars 2026

GDPR gäller alla organisationer som behandlar personuppgifter om personer i EU, oavsett var organisationen befinner sig. Det innebär att amerikanska teknikjättar, svenska myndigheter och din lokala frisör alla lyder under samma regelverk. I Sverige är det Integritetsskyddsmyndigheten (IMY) som övervakar att GDPR följs och som har befogenhet att utfärda sanktionsavgifter vid överträdelser. Under 2025 och 2026 har IMY skärpt sin tillsyn ytterligare, med fler granskningar och högre avgifter.

Dina åtta rättigheter enligt GDPR

1. Rätten till tillgång (registerutdrag)

Du har rätt att begära information om huruvida ett företag behandlar dina personuppgifter och i så fall få en kopia av alla uppgifter de har om dig. Detta kallas registerutdrag eller SAR (Subject Access Request). Företaget måste svara inom 30 dagar och begäran är kostnadsfri. Du har rätt att få veta vilka kategorier av uppgifter som behandlas, varför de behandlas, vilka de delas med, hur länge de lagras och varifrån de samlats in.

2. Rätten till rättelse

Om ett företag har felaktiga eller ofullständiga uppgifter om dig har du rätt att begära att de korrigeras. Det kan handla om fel i namn, adress, telefonnummer eller annan personlig information. Företaget måste rätta uppgifterna utan onödigt dröjsmål och informera eventuella tredje parter som fått del av de felaktiga uppgifterna.

3. Rätten till radering (rätten att bli glömd)

En av de mest kända GDPR-rättigheterna är rätten att bli glömd. Du kan kräva att ett företag raderar alla dina personuppgifter om: uppgifterna inte längre behövs för det ursprungliga ändamålet, du återkallar ditt samtycke, du invänder mot behandlingen och det inte finns berättigade skäl att fortsätta, uppgifterna behandlats olagligt, eller radering krävs för att uppfylla en rättslig skyldighet. Det finns undantag, till exempel kan företag behöva behålla uppgifter för bokföring eller rättsliga krav. Att kontrollera och radera dina uppgifter hos företag är en viktig del av att skydda ditt personnummer.

4. Rätten till begränsning av behandling

Du kan begära att ett företag begränsar behandlingen av dina uppgifter i vissa situationer, till exempel medan en tvist om uppgifternas korrekthet pågår eller om du invänder mot behandlingen. Under begränsningen får företaget lagra uppgifterna men inte använda dem.

5. Rätten till dataportabilitet

Du har rätt att få ut dina personuppgifter i ett strukturerat, maskinläsbart format och överföra dem till en annan tjänsteleverantör. Detta gäller uppgifter du själv tillhandahållit och som behandlas baserat på samtycke eller avtal. Rätten underlättar byte mellan tjänsteleverantörer och förhindrar inlåsning.

6. Rätten att invända

Du kan invända mot behandling som grundas på berättigat intresse eller allmänt intresse. Företaget måste då upphöra med behandlingen om de inte kan visa tvingande berättigade skäl. Du har alltid rätt att invända mot behandling för direktmarknadsföring, och företaget måste omedelbart upphöra vid en sådan invändning. Inga undantag gäller för direktmarknadsföring.

7. Skydd mot automatiserat beslutsfattande och profilering

Du har rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inklusive profilering, om beslutet har rättsliga effekter eller på liknande sätt påverkar dig betydligt. Det kan handla om automatiska kreditbedömningar, algoritmisk rekrytering eller automatiserade försäkringsbeslut. Du har rätt att kräva mänsklig granskning av beslutet.

8. Rätten att återkalla samtycke

Om du har gett samtycke till behandling av dina personuppgifter kan du alltid ta tillbaka det. Att återkalla samtycke ska vara lika enkelt som att ge det. Företaget måste sluta behandla dina uppgifter baserat på samtycket, men behandling som redan skett förblir laglig.

Hur du begär ut dina uppgifter — praktisk mall

Att begära ut dina personuppgifter behöver inte vara komplicerat. Kontakta företagets dataskyddsombud (DPO) eller kundtjänst via e-post. Ange ditt fullständiga namn och tillräcklig information för att företaget ska kunna identifiera dig. Hänvisa till GDPR artikel 15 och begär en fullständig kopia av alla personuppgifter som företaget behandlar om dig. Be också om information om behandlingens ändamål, kategorier av mottagare, lagringsperiod och var uppgifterna samlats in.

Företaget måste svara inom 30 dagar. Om de inte svarar inom tidsfristen, eller om svaret är otillfredsställande, har du rätt att anmäla till IMY. Skicka påminnelser via e-post och dokumentera all kommunikation. Vissa företag har egna formulär eller självbetjäningsportaler för registerutdrag, vilket kan påskynda processen. Google, Facebook, Apple och de flesta stora plattformar erbjuder automatiska nedladdningar av all din data.

Hur du begär radering av dina uppgifter

Kontakta företaget skriftligen och hänvisa till GDPR artikel 17. Ange vilka uppgifter du vill ha raderade eller begär radering av alla uppgifter. Företaget måste svara inom 30 dagar och antingen bekräfta radering eller ange skäl till varför de inte kan radera uppgifterna. Om de nekar har du rätt att överklaga till IMY.

Tänk på att radering inte alltid är möjlig. Företag kan vara skyldiga att behålla uppgifter enligt bokföringslagen i sju år, eller för att uppfylla andra rättsliga skyldigheter. Uppgifter som behövs för att fastställa, utöva eller försvara rättsliga anspråk kan också undantas. I dessa fall kan du begära begränsning av behandlingen istället, så att uppgifterna lagras men inte används aktivt.

IMY — tillsynsmyndigheten

Integritetsskyddsmyndigheten (IMY) är Sveriges tillsynsmyndighet för dataskydd. Dit anmäler du företag och organisationer som bryter mot GDPR. Anmälan görs via IMY:s webbplats och bör innehålla en beskrivning av vad som hänt, vilka uppgifter som berörs, vilka åtgärder du vidtagit och eventuell korrespondens med företaget. IMY utreder sedan ärendet och kan vidta åtgärder som förelägganden, varningar eller sanktionsavgifter.

Under 2025 och 2026 har IMY genomfört allt fler tillsynsärenden och utdömt sanktionsavgifter på miljontals kronor. Bland annat har flera kommuner, vårdgivare och stora företag fått kännbara straff för bristande dataskydd. IMY har också ökat sitt fokus på dataintrång och hur företag hanterar anmälningsplikten. Läs vår guide om dataintrång för att förstå företags skyldigheter vid intrång.

GDPR och personnummer

Svenska personnummer har en särställning i GDPR. Enligt den svenska dataskyddslagen, som kompletterar GDPR, får personnummer bara behandlas om det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat beaktansvärt skäl. Det innebär att företag inte får samla in ditt personnummer utan goda skäl. Du har rätt att ifrågasätta varför ett företag begär ditt personnummer och begära att de använder andra identifieringsmetoder.

Trots dessa regler samlar många företag in personnummer i onödan. Varje gång ditt personnummer lagras i en databas ökar risken att det exponeras vid ett dataintrång. Var restriktiv med att lämna ut ditt personnummer och ifrågasätta alltid behovet. Läs mer om hur du skyddar ditt personnummer i vår guide om att skydda personnumret.

GDPR och ID-skydd — hur hänger det ihop?

GDPR ger dig rättsliga verktyg för att kontrollera dina personuppgifter, men det förhindrar inte dataintrång eller identitetsstöld. ID-skyddstjänster kompletterar dina GDPR-rättigheter genom att aktivt övervaka hur dina uppgifter används och varna dig vid misstänkt aktivitet. Medan GDPR ger dig rätt att agera i efterhand ger ett ID-skydd dig möjlighet att agera proaktivt. Läs mer om vad som händer med dina uppgifter vid ett dataintrång i vår guide om identitetsstöld efter dataintrång.

Kombinationen av att aktivt använda dina GDPR-rättigheter, minimera din digitala exponering och ha ett ID-skydd med dark web-övervakning ger det starkaste skyddet. Begär regelbundet ut och radera dina uppgifter hos företag du inte längre använder, var restriktiv med vilken information du delar och jämför ID-skyddstjänster för att hitta det bästa kompletterande skyddet.