Antalet anmälda personuppgiftsincidenter sköt i höjden under 2025. Samtidigt varnar experter för att förtroendeskador kan bli dyrare än själva böterna.
Rekord i dataläckor – uppgifter om barn hamnade på Darknet
Under 2025 anmäldes 12 276 personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY), en ökning med nästan 90 procent jämfört med året innan.
Det är det högsta antalet sedan GDPR trädde i kraft 2018.
Ökningen hänger samman med omfattande dataintrång hos verksamheter med många personuppgiftsansvariga som kunder.
Läs även: EU skärper lagar – så påverkas svenska företag. Realtid
Intrången ledde till att uppgifter om en stor del av Sveriges befolkning, inklusive barn, publicerades på Darknet efter utpressningsförsök.
”Stora läckor med personuppgifter måste inte betyda att verksamheten har brutit mot GDPR, men följer man GDPR så minskar risken att drabbas av sådana läckor. Ett gott dataskydd stärker samhällets motståndskraft”, säger Eric Leijonram, generaldirektör på IMY, till Dagens Juridik.
Klagomål och JO-kritik
Tillsammans med en kraftig ökning av klagomål från enskilda steg det totala antalet inkomna ärenden till IMY med 56 procent.
I myndighetens årsredovisning beskriver Leijonram hur inflödet varit en utmaning, inte minst mot bakgrund av den JO-kritik myndigheten fått för sin handläggning.
IMY har vidtagit en rad åtgärder för att effektivisera arbetet och inrättade vid årsskiftet 2026 renodlade klagomålsenheter.
Missa inte: Din integritet på spel när EU ser över reglerna. Dagens PS
Leijonram pekar också på det försämrade omvärldsläget och lyfter att två av de större personuppgiftsincidenterna under året involverade ”fientliga aktörer” som publicerade läckta uppgifter.
Förtroendeskador kan kosta mer än böter
Sara Gandrén, jurist och medgrundare av compliancebolaget inTechrity, menar att riskerna med bristande dataskydd sträcker sig långt bortom eventuella sanktionsavgifter.
”I en värld där personuppgifter är det nya guldet kan förtroendeskador i sig göra ännu ondare, och leda till större kostnader än vad en sanktionsavgift skulle ha inneburit”, säger Gandrén i en intervju med Realtid.
Läs även: Ett klick räckte – AI-assistenten kunde börja läcka data. Realtid
Hon noterar att de avgifter som IMY utfärdat historiskt legat långt under de maxtak som finns, och att det är sällan tillsyn leder till påföljd.
Samtidigt ser hon en positiv utveckling i att organisationer alltmer tar GDPR-frågor till lednings- och styrelsenivå, bland annat i samband med företagsförvärv och due diligence-processer.
GDPR-förändringar på gång
I bakgrunden pågår dessutom arbetet med EU-kommissionens föreslagna ändringar av GDPR, som bland annat syftar till att underlätta användningen av AI.
IMY föreslog redan i januari 2025 en översyn av regelverket med fokus på en förstärkt riskbaserad ansats som skulle gynna europeisk innovation.
Missa inte: Läckt dokument avslöjar: Så vänds GDPR ryggen för AI. Dagens PS
”Det man kan se i det här förslaget är att det är många av ändringarna som tydligt är kopplade till AI”, säger Gandrén till Realtid.
Vilka ändringar som slutligen genomförs återstår att se, men behovet av en uppdatering framstår alltmer som en politisk realitet.
