Nyheter inom Integritet & Dataskydd

​DECEMBER 2025 

Dataskyddet 2025: från policy och praktik till progressiv politik

Det andra halvåret av 2025 har präglats av några väldigt uppmärksammade personuppgiftsfrågor, både ur en svensk och europeisk kontext. Omfattande personuppgiftsincidenter, ändrad praxis, ny tillsyn och fler vägledningar. Och som grädden på moset: det Digitala Omnibus-paketet som kan komma att förändra dataskyddsregelverket som vi känner det.

I detta nyhetsbrev sammanfattar vi de mest relevanta händelserna från hösten och ger dig som arbetar med eller kommer i kontakt med dataskydd i praktiken konkreta insikter.

Vi passar också på att skicka våra bästa julhälsningar och hoppas att det nya året bjuder på både avkoppling och spännande nya perspektiv.

Anna Eidvall och Karin Schurmann

PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd via knappen nedan.

 Registrering nyhetsbrev

Leverantörskedjor och säkerhet under luppen

Ransomware-attacken mot Miljödata i augusti 2025 blev snabbt en av årets mest uppmärksammade IT- och dataskyddshändelser i Sverige. Uppgifter om upp till 1,5 miljoner svenskar kan ha exponerats på Darknet, enligt Åklagarmyndigheten. Minst 164 kommuner, fyra regioner samt flera privata verksamheter och lärosäten berördes. Sedan incidenten inträffade har IMY tagit emot hundratals anmälningar och haft kontinuerlig kontakt med Miljödata och övriga berörda verksamheter. Som en följd av händelsen har IMY vidtagit ovanligt långtgående åtgärder, bland annat genom att kalla de tre största berörda arbetsgivarna till myndigheten för att säkerställa att individer informerats om incidenten.

I november 2025 inledde IMY formella granskningar mot fyra verksamheter, varav Miljödata är en. "Miljödata-läckan visar hur omfattande konsekvenser ett intrång kan få och vilka typer av uppgifter som kan exponeras. Centralt för oss är att identifiera brister som kan ge lärdomar framåt och minska risken för att liknande händelser sker igen" säger Jenny Bård, enhetschef på IMY.

Incidenten illustrerar tydligt vikten av robusta säkerhetsåtgärder, noggrann kontroll av leverantörskedjor och beredskap att snabbt informera de registrerade vid dataintrång och andra personuppgiftsincidenter. Organisationer som inte har koll på sina leverantörer riskerar både enskildas integritet, förtroendeskador och sanktionsavgifter - något som alla berörda nu får lära av.

Personligen ser vi fram emot att få klarhet i vem som ansvarar när något blir fel. Leverantören där incidenten inträffar, eller den personuppgiftsansvarige som har en skyldighet att endast anlita betrodda leverantörer?

Säkerställ korrekt hantering av alkoholtester av anställda

I juni 2025 beslutade IMY att dela ut sanktionsavgifter på 75 000 kronor vardera mot Aktiebolaget Storstockholms Lokaltrafik (SL) och Waxholms Ångfartygs AB (WÅAB). Besluten grundade sig på två klagomål från arbetstagare som genomfört alkoholtester inom ramen för sina anställningar som befälhavare inom kollektivtrafiken. IMY konstaterade att arbetsgivare i vissa fall kan ha ett berättigat intresse av att utföra alkoholtester för att säkerställa säkerhet i verksamheten. I det aktuella fallet hade dock SL och WÅAB både samlat in och lagrat uppgifter från alkoholtester i större omfattning och under längre tid än vad IMY bedömde vara nödvändigt. IMY bedömde även att det fanns andra, mindre integritetskränkande verktyg, som kunde nyttjas för att uppfylla syftet med behandlingen (i detta fall alkolås).

Eftersom resultat av alkoholtester kan indikera missbruk (särskilt vid upprepade testtillfällen vars resultat sparas under längre tid) ansågs uppgifterna som känsliga hälsouppgifter, vilka åtnjuter ett särskilt starkt skydd.

IMY bedömde sammantaget att bolagen saknat laglig grund för behandlingen enligt artikel 6 och 9 och beslutade därför om sanktionsavgifterna. Beslutet ligger i linje med tidigare praxis från myndigheten och är en tydlig påminnelse om att behandlingen måste vara nödvändig för att uppnå syftet även när det finns berättigat intresse för övervakning av anställda.

Söktjänster och bakgrundskontroller i fortsatt fokus

Vi har tidigare rapporterat om att IMY ändrat sin syn på möjligheten att utöva tillsyn mot aktörer som tillhandahåller söktjänster med stöd av s.k. frivilligt utgivningsbevis. Under våren 2025 rapporterade myndigheten att man sett en ökning av klagomål på de stora söktjänsterna Upplysning.se och Mrkoll.se. Under hösten har IMY inlett en tillsyn efter att hundratals klagomål inkommit från personer vars uppgifter trots begäran fortsatt publiceras. 

Tillsynerna ska bland annat utreda om söktjänsterna agerat i strid med GDPR genom att inte radera personuppgifter när den registrerade begärt det, läs mer här. Beslutet om att inleda tillsyn innebär att IMY inte kommer att utreda de enskilda klagomålen separat, utan i stället göra en bredare granskning av företagens rutiner och efterlevnad.

Den breda granskningen väntas få stor betydelse för söktjänstbranschen och för verksamheter som förlitar sig på uppgifter från tjänsterna, exempelvis företag som (rätt eller fel) genomför bakgrundskontroller. Vi följer utvecklingen noga och återkommer med uppdateringar.

Regeringen har därtill nyligen tillsatt en utredning om bakgrundskontroller som ska ledas av IMY:s generaldirektör. Utredningen syftar till att ta fram förslag på regelverk för bakgrundskontroller i både offentlig och privat verksamhet, bland annat inför och under pågående anställning.

"Det är en angelägen fråga som behöver lösas. Behovet av bakgrundskontroller är tydligt, inte minst i arbetet mot den organiserade brottsligheten. Samtidigt måste det finnas en balans där vår personliga integritet skyddas. Dagens situation med ett oklart och fragmenterat regelverk är inte bra", säger Eric Leijonram (generaldirektör på IMY). Uppdraget är planerat att redovisas senast den 11 mars 2027.

IMY:s bloggserie om AI-säkerhet

IMY har i takt med AI:s explosionsartade utveckling även publicerat tre inlägg på sin blogg som fokuserar på säkerhetsrisker kopplade till AI-system. Bloggserien, riktad mot personer med viss teknisk bakgrund, belyser hur AI kan medföra nya risker eller förstärka de säkerhetsutmaningar som alla uppkopplade system står inför.

Del 1: Nya säkerhetsrisker med AI

Första delen tar upp hur komplexiteten i AI-system gör säkerhetsarbetet annorlunda än för traditionell teknik.

Del 2: Så skyddar du din AI-modell mot attacker

IMY ger här konkreta tips för att stärka säkerheten i utveckling och drift.

Del 3: Samla inte in mer data än nödvändigt!

Här understryker IMY vikten av dataminimering och korrekt hantering av personuppgifter, särskilt när stora datamängder behandlas av tredje part. 

Bloggserien lyfter också att AI ofta utvecklas av personer med varierande teknisk bakgrund, där kunskap om dataskyddslagstiftning och säkerhetskrav inte alltid är självklar. IMY:s vägledning betonar vikten av att integrera dataskydd och säkerhetsåtgärder redan i utvecklingsfasen för AI.

Trycket ökar på enklare digitala regler - nu hamnar frågan högt på agendan

I november 2025 presenterade EU-kommissionen ett Digitalt Omnibus-paket, som utgör del av förenklingsagendan som syftar till att minska regelbördan för företag, offentliga aktörer och medborgare. Ambitionen är att göra regelverken mer hanterbara (läs: underlätta konkurrenskraft för europeiska bolag), utan att tumma på skyddsnivån för personuppgifter och säkerhet. Paketet innehåller förändringar i flera digitala regelverk, bland annat GDPR, ePrivacy-direktivet, Dataförordningen och AI-förordningen. Förutom ett eventuellt framskjutande av AI-förordningen är några av de viktigaste punkterna:

• Cookies och samtycken: Användare ska kunna acceptera eller avvisa cookies med ett enda klick, med sex månaders intervall innan ny förfrågan får skickas. Automatiska signaler från webbläsare ska respekteras, med undantag för medietjänster.
• AI och känsliga personuppgifter: Vissa undantag ska kunna göra det möjligt att använda känsliga personuppgifter för träning av AI-modeller under strikt reglerade förutsättningar.
• Incidentrapportering: Tidsfristen för att rapportera incidenter enligt GDPR föreslås förlängas från 72 till 96 timmar, med målet att minska dubbelrapportering under olika regelverk. Tröskeln för anmälningsplikt föreslås också höjas.
• Dataskyddsbedömningar (DPIA): EDPB ska ta fram en lista över behandlingar som kräver eller inte kräver att DPIA genomförs, samt standardiserade mallar och metoder för genomförande.
• Definition av personuppgifter: Pseudonymiserad data ska inte räknas som personuppgifter för den som hanterar uppgifterna, förutsatt att återidentifiering inte är möjlig med rimliga medel.
• Överdrivna eller missbrukade registerförfrågningar (artikel 15-förfrågningar): Den som behandlar personuppgifter ska kunna avvisa eller ta ut en avgift om en person begär information i andra syften än skyddet av sina uppgifter.

Digital Omnibus kan alltså komma att påverka dataskyddsregleringen på ett genomgående sätt och några av de mest långtgående föreslagna förändringarna kring AI och personuppgifter är kontroversiella. Kommissionen understryker att många av de mer omfattande förslagen som tidigare läckt i media ännu inte är beslutade. Nästa steg är att Europaparlamentet och Europeiska rådet granskar förslaget och tar fram sina förhandlingspositioner under 2026.

Digital Omnibus är ett av många efterlängtat initiativ för att minska den administrativa bördan och harmonisera dagens snåriga digitala reglering, och därmed underlätta för företag. Men samtidigt måste vi våga fråga oss om förslagen verkligen löser de problem som verksamheter brottas med i vardagen. Kritiker varnar för att förslagen riskerar att försvaga grundläggande integritetsskydd och skapa ett mer fragmenterat rättsläge där samma uppgifter kan behandlas olika beroende på aktör. Samtidigt finns det de som anser att förslaget inte är tillräckligt progressivt och manar till än större förändringar.

Vi följer processen noga och hoppas på en skyndsam (men noggrann) hantering!

DSA och GDPR - nya riktlinjer för samverkan

EDPB har för första gången antagit riktlinjer om hur förordningen om digitala tjänster (DSA) samspelar med GDPR. DSA syftar till att skydda användare och företag på nätet från olaglig och skadlig verksamhet, inklusive desinformation, och reglerar bland annat internetplattformar som sociala medier, app-butiker och webbplatser.

Varken GDPR eller DSA har företräde framför den andra. Riktlinjerna visar hur regelverken bör tillämpas tillsammans och innehåller bl.a. praktiska exempel, såsom hur tjänsteleverantörer (“intermediary service providers”) kan hantera personuppgifter vid utredningar av illegalt innehåll. Om sådana utredningar inte är obligatoriska enligt lag, får behandlingen baseras på den rättsliga grunden berättigat intresse, under förutsättning att de tre kriterierna för berättigat intresse uppfylls: legitimt intresse, nödvändig behandling och att den registrerades intressen inte väger tyngre.

För företag som omfattas av DSA tydliggör riktlinjerna bland annat att man behöver:

• Tillämpa både DSA och GDPR parallellt.
• Dokumentera rättslig grund för personuppgiftsbehandling i samband med DSA-skyldigheter.
• Genomföra intresseavvägningar när berättigat intresse används som rättslig grund.

Säkerställa transparens och informera användare om hur deras personuppgifter behandlas. Riktlinjerna ger värdefull vägledning för att säkerställa att DSA-efterlevnad sker på ett sätt som samtidigt uppfyller GDPR:s krav och stärker skyddet för användarnas rättigheter.

Lättare att handla på nätet - gästfunktioner rekommenderas

Innan man kan slutföra ett köp på nätet är det inte ovanligt att man behöver skapa ett konto och lämna ifrån sig fler personuppgifter än vad som egentligen krävs för att genomföra köpet. Nu tydliggör EDPB att de anser att kunder som huvudregel ska kunna handla utan konto.

De nya rekommendationerna från EDPB klargör när e-handelsföretag faktiskt kan kräva att konto skapas. Huvudbudskapet är att användare i regel ska kunna handla utan konto, exempelvis genom en “gästfunktion”, medan obligatorisk kontoregistrering endast bör kunna krävas i begränsade fall, såsom vid prenumerationer, exklusiva erbjudanden eller andra situationer där det är nödvändigt för att fullgöra en tjänst.

Allmänheten ges möjlighet att lämna synpunkter på de föreslagna rekommendationerna innan en slutlig version tas fram. Ett gemensamt yttrande från EDPB och EDPS väntas senast i mitten av februari 2026.

EU-domstolen klargör regler för nyhetsbrev

I en dom från den 13 november 2025 (mål C‑654/23, Inteligo Media) har EU‑domstolen (CJEU) klargjort när nyhetsbrev kan skickas utan att samtycke inhämtats enligt ePrivacy‑direktivet. Domen är särskilt relevant för digitala plattformar, onlinepublikationer och företag som kommunicerar med användare via e‑post. Huvudpunkter:

• Nyhetsbrev som innehåller länkar till betalt innehåll klassas som direkt marknadsföring och kräver normalt samtycke.
• Om e‑postadressen samlas in vid registrering för ett gratiskonto kan detta ses som en kommersiell relation enligt ePrivacy art. 13(2). I sådana fall krävs inget ytterligare samtycke, förutsatt att mottagaren får tydlig information och möjlighet att avböja prenumerationen.
• ePrivacy-direktivet fungerar som lex specialis: Om villkoren i art. 13(2) uppfylls behövs ingen separat rättslig grund enligt GDPR för direktmarknadsföring.

Företag kan alltså skicka nyhetsbrev till användare med gratiskonton under vissa villkor, men bör se över innehållet så att det inte oavsiktligt blir marknadsföring som kräver samtycke.

Ny praxis (!!): Pseudonymiserade uppgifter är inte alltid personuppgifter för mottagaren

I mål C‑413/23 P, EDPS mot SRB (4 september 2025) slog EU-domstolen fast att bedömningen av om pseudonymiserade uppgifter är personuppgifter eller inte ska ske ur den behandlande partens perspektiv vid tidpunkten för insamlingen, inte vid överföringen till en annan part. Det betyder att uppgifter kan anses vara personuppgifter för en part, men inte för en annan (om den andra parten saknar möjlighet att med rimliga medel knyta uppgifterna till en individ).

Det klargörs också att pseudonymisering inte befriar en personuppgiftsansvarig från informationsskyldigheten, utan skyldigheten att informera de registrerade om överföringen kvarstår vid insamlingstillfället.

Domen får stor betydelse för tolkningen av personuppgiftsbegreppet och för transparensskyldigheter gentemot registrerade vid datadelning med externa parter. Vi ser dock betydande utmaningar från ett praktiskt perspektiv, både vid bedömningen av om en uppgift anses vara en personuppgift eller inte och när GDPR gäller för vissa i en databehandlingskedja – men inte för andra.

EU-domstolen bekräftar fortsatt giltighet för EU - US Data Privacy Framework

I mål T‑553/23 avslog EU-domstolen (Tribunalen) en begäran om att ogiltigförklara EU-kommissionens adekvansbeslut för EU-US Data Privacy Framework, som möjliggör överföring av personuppgifter till USA. Klaganden ville ogiltigförklara beslutet med hänvisning till bristande oberoende i amerikanska domstolar och begränsningar i rättsskyddet vid bulkinsamling av data. Tribunalen avvisade dessa invändningar och konstaterade att USA vid tidpunkten för beslutet säkerställde en adekvat skyddsnivå för personuppgifter som överförs från EU, bland annat genom att:

• Utnämning och funktion hos domare i USA omfattas av skyddsmekanismer som säkerställer oberoende.
• Kommissionen när som helst kan ändra adekvansbeslutet om situationen förändras.
• Den bulkinsamling som amerikanska underrättelsetjänster utför inte påverkar bedömningen av likvärdigt skydd enligt unionsrätten.

Domen ger viss klarhet kring DPF:s fortsatta giltighet, och skapar därmed förutsägbarhet för företag som överför personuppgifter till USA - även om debatten om läget i USA generellt och amerikanska underrättelsetjänsters verksamhet och dataskyddsskydd specifikt kvarstår.

Det bör även noteras att beslutet grundar sig på de förhållanden som förelåg vid klagomålet – dvs. innan president Trump tillträdde sin andra mandatperiod. Hur domstolen skulle se på situationen idag står därför inte helt klart. Max Schrems intresseorganisation Non of Your Business har nyligen också manat till försiktighet kring överföringar av personuppgifter till USA och varnar för att läget snart kan se annorlunda ut – har vi ett Schrems III i sikte?

Meta överklagar "consent or pay" - Affärsmodellen under fortsatt granskning?

Meta Platforms Ireland har överklagat EU-domstolens (Tribunalen) beslut som innebar att företagets talan om ogiltigförklaring av EDPB:s yttrande 08/2024 om så kallade “Pay or ok”-modeller avvisades. Tribunalen beslutade i korthet att talan skulle avvisas som dels otillåten, dels uppenbart ogrundad. Meta förpliktades att bära sina egna rättegångskostnader och betala de kostnader som EDPB ådragit sig i processen.

Meta menar i sitt överklagande att Tribunalens beslut är uppenbart ogrundat och yrkar på upphävande, prövning i sak, återförvisning till Tribunalen samt att EDPB ska stå för rättegångskostnaderna.

Parallellt har Österrikes federala förvaltningsdomstol fastställt att “Pay or Okay”-modellen bryter mot GDPR. Domstolen konstaterade att användare måste kunna ge selektivt samtycke till eller avvisa varje ändamål för personuppgiftsbehandling. Fallet kan nu gå vidare till Österrikes högsta förvaltningsdomstol och potentiellt EU-domstolen, med konsekvenser för liknande affärsmodeller i hela Europa.

Utvecklingen är viktig för företag som bygger sina digitala tjänster på användarnas val mellan betalning och samtycke, och följs noga av oss och alla i dataskyddsbranschen.

Avslutning

Andra halvåret 2025 har tydligt visat att dataskyddsområdet fortsätter att utvecklas i snabb takt. Miljödata-incidenten betonade vikten av robusta säkerhetsåtgärder och incidenthantering, medan nya riktlinjer och domar ger vägledning för praktisk tillämpning. För 2026 förväntas fortsatt fokus på förenkling och praktisk tillämpning, samtidigt som tillsynsmyndigheter säkerställer efterlevnad genom aktiv tillsyn och sanktioner vid överträdelser.

Vi på MAQS följer utvecklingen och står redo att bistå med rådgivning kring alla aspekter av integritet och dataskydd.

God jul och gott nytt år!

För våra senaste utgåvor av vårt nyhetsbrev, se:

Nyheter inom Integritet & Dataskydd – juni 2025

Nyheter inom Integritet & Dataskydd – utgåva 3

Har du frågor om något i detta nyhetsbrev? Kontakta vårt team för integritet och dataskydd.