Förtroendeskador större risk än böter om du slarvar med GDPR

Har individen fått mer makt? 

Syftet med GDPR var dubbelt: att stärka individens kontroll över sina personuppgifter och att skapa ett starkare gemensamt regelverk inom EU. 

När det gäller den fria rörligheten är effekten tydlig, men individperspektivet är mer nyanserat. 

“GDPR har börjat ge oss individer mer kontroll och insyn på så sätt att ämnet i stort är mer uppmärksammat, att företag har tvingats bli alltmer transparenta och att vi i större utsträckning ges möjligheter att göra inställningar för vad vi vill dela med oss av om oss själva”, säger hon. 

Samtidigt finns motkrafter. 

“Mer kontroll innebär mer att hålla koll på – och kan leda till en ”samtyckeströtthet” som gör att vi ändå inte orkar bry oss”, säger Gandrén.  

Hon pekar också på att tillsynen i Sverige varit begränsad. 

“I Sverige har de avgifter som utfärdats av IMY (Integritetsskyddsmyndigheten) legat långt mycket lägre än de maxtak som finns, och det är sällan IMY inleder tillsyn, och ännu mer sällan som den tillsynen leder till någon påföljd.” 

Men det betyder inte att riskerna är små. 

“I en värld där personuppgifter är det nya guldet kan förtroendeskador i sig göra ännu ondare, och leda till större kostnader än vad en sanktionsavgift skulle ha inneburit”, säger Gandrén.  

Läs även:
Fulspelet bakom AI-succén Moltbook

Ändringar kopplade till GDPR 

I slutet av 2025 föreslog EU-kommissionen  ändringar i GDPR, som ännu inte har klubbats. Sara förklarar att det till stor del handlar om AI: 

“Det man kan se i det här förslaget är att det är många av ändringarna som tydligt är kopplade till AI och att man vill underlätta användningen av AI. Det skulle troligen bli lättare att motivera att använda personuppgifter för att utveckla AI till exempel.” 

Samtidigt förstärks tillsynen i Sverige. 

“Från och med 2026 har IMY en ny avdelning för tillsyn och klagomål, vilket de själva säger kommer stärka och effektivisera hur de jobbar med just det”, säger Gandrén.  

GDPR en fråga för styrelser och ägare 

GDPR är i dag inte bara en juridisk detalj, utan en del av bolagsstyrningen. 

“Ett exempel är absolut företagsförvärv – vi får då och då förfrågningar om att stötta vid en due diligence”, säger hon.  

Allt oftare efterfrågas också interna granskningar. 

“Ett fungerande livscykelarbete och regelbundna granskningar eller ”GDPR-revisioner” efterfrågas allt oftare från ledning och aktieägare”, säger Gandrén.  

För mindre verksamheter är hennes råd konkret: 

“Börja med att fundera över – och skriva ner – i vilka situationer ni behandlar personuppgifter. Det är svårt att bli compliant om man inte först tar reda på vad det är man gör med personuppgifter”, säger hon.