GDPR-checklista för webbplatsägare: allt du behöver ha på plats (inkl. WordPress)

GDPR (General Data Protection Regulation) är fortfarande en av världens mest omfattande integritetslagar. Driver du en enkel blogg eller en stor SaaS spelar mindre roll: så fort du behandlar personuppgifter om personer i EU behöver du följa GDPR. Konsekvensen av att missa viktiga delar kan bli sanktionsavgifter på upp till 20 miljoner euro eller 4 % av global årsomsättning (det som är högst).

Det här är en praktisk och komplett checklista för dig som äger eller förvaltar en webbplats och vill kunna visa att ni jobbar strukturerat med GDPR – från datainventering och rättslig grund till cookie-samtycke, personuppgiftsbiträdesavtal och incidentrutiner. Observera att detta är generell vägledning och inte juridisk rådgivning.

Vad är GDPR?

GDPR (General Data Protection Regulation) är en dataskyddsförordning som började tillämpas i EU den 25 maj 2018. Den sätter tydliga regler för hur organisationer får samla in, använda, lagra och dela personuppgifter. Reglerna gäller även företag utanför EU om de behandlar personuppgifter om personer som befinner sig i EU.

Förstå din roll: Controller, Processor och Data Subject

Innan du börjar bocka av saker behöver du veta vilken roll din organisation har i relation till personuppgifter.

• Data Controller (personuppgiftsansvarig): Organisationen som bestämmer varför och hur personuppgifter behandlas. Det är här huvudansvaret för GDPR-efterlevnad normalt ligger.
• Data Processor (personuppgiftsbiträde): Tredje part som behandlar personuppgifter för en controllers räkning. Måste också ha rätt tekniska och organisatoriska skydd.
• Data Subject (registrerad): Personen vars personuppgifter behandlas. GDPR finns för att skydda deras rättigheter.

Det är helt möjligt att vara både controller och processor beroende på sammanhang (t.ex. om du driver en tjänst som både har egna användare och samtidigt behandlar data åt en kund).

De 7 principerna i GDPR (bra att ha som kompass)

1. Lawfulness, fairness, and transparency: Behandla uppgifter lagligt och informera tydligt om hur data används.
2. Purpose limitation: Samla bara in data för specifika, legitima ändamål.
3. Data minimization: Samla bara in minsta möjliga mängd data.
4. Accuracy: Håll personuppgifter korrekta och uppdaterade.
5. Storage limitation: Spara inte längre än nödvändigt.
6. Integrity and confidentiality: Skydda data mot obehörig åtkomst med lämpliga säkerhetsåtgärder.
7. Accountability: Kunna visa att ni följer GDPR (dokumentation, loggar, rutiner, avtal).

Komplett GDPR-checklista (Controller/Processor)

1) Data

Ni har en lista över alla typer av personuppgifter ni har, källan, vem ni delar med, vad ni gör med dem och hur länge ni sparar dem

Gäller för: Data Controller, Data Processor

Det här är en inventering av faktiska datatyper (tänk kolumner/fält) som ni lagrar, till exempel namn, personnummer, adress. För varje datatyp ska ni dokumentera var uppgiften kommer ifrån, vilka parter den delas med, syftet med behandlingen och hur länge ni sparar den.

Ni har en lista över alla platser där personuppgifter lagras och hur data flödar mellan dem

Gäller för: Data Controller, Data Processor

Det kan vara databaser (t.ex. MySQL), men även offline-lagring som papper. Poängen är att du ska kunna peka ut var data finns och hur den rör sig mellan system (t.ex. formulär → CRM → e-postverktyg → support).

Ni har en publikt tillgänglig integritetspolicy som beskriver alla processer kopplade till personuppgifter

Gäller för: Data Controller, Data Processor

Integritetspolicyn ska beskriva alla relevanta processer för hantering av personuppgifter. Den ska även innehålla (eller länka till) vilka typer av personuppgifter ni har och var ni lagrar dem.

Integritetspolicyn anger en laglig grund (lawful basis) för varför ni behöver behandla personuppgifter

Gäller för: Data Controller

Du behöver förklara varför behandling sker, till exempel för att uppfylla ett avtal (fulfillment of a contract).

2) Ansvar & styrning (Accountability & Management)

Ni har utsett ett dataskyddsombud (DPO) när det krävs

Gäller för: Data Controller, Data Processor

DPO (Data Protection Officer) är bara ett krav i tre situationer:

1. Behandlingen utförs av en myndighet eller ett offentligt organ, utom domstolar när de agerar i sin dömande verksamhet
2. Kärnverksamheten består av behandling som – sett till natur, omfattning och/eller syften – kräver regelbunden och systematisk övervakning av registrerade i stor skala
3. Kärnverksamheten består av storskalig behandling av särskilda kategorier av uppgifter (känsliga uppgifter) enligt Article 9 samt personuppgifter om fällande domar och lagöverträdelser enligt Article 10

Om DPO krävs bör personen ha kunskap om GDPR-riktlinjer och förstå de interna processer där personuppgifter ingår.

Ni skapar medvetenhet hos beslutsfattare om GDPR-riktlinjer

Gäller för: Data Controller, Data Processor

Se till att nyckelpersoner och beslutsfattare har uppdaterad kunskap om dataskyddslagstiftningen.

Ni säkerställer att den tekniska säkerheten är uppdaterad

Gäller för: Data Controller, Data Processor

För SaaS-bolag är det rimligt att börja med en säkerhetschecklista för att säkerställa att rätt tekniska åtgärder finns på plats.

Ni utbildar personal så att de är medvetna om dataskydd

Gäller för: Data Processor

Många säkerhetsproblem kräver bara att någon ovetandes samarbetar (phishing, social engineering) och råkar ha åtkomst till interna system. Säkerställ att medarbetare känner till riskerna.

Ni har en lista över sub-processors och nämner användningen av dem i er integritetspolicy

Gäller för: Data Processor

Du behöver informera dina kunder om att du använder underbiträden (sub-processors). Kunden ska kunna samtycka genom att acceptera integritetspolicyn.

Om verksamheten är utanför EU har ni utsett en representant inom EU

Gäller för: Data Controller, Data Processor

Om du driver verksamhet utanför EU men samlar in data om EU-medborgare ska du utse en representant i en av medlemsstaterna. Den personen hanterar frågor kopplade till behandlingen, och lokala myndigheter ska kunna kontakta representanten.

Ni rapporterar personuppgiftsincidenter till myndighet och till berörda registrerade

Gäller för: Data Controller, Data Processor

Personuppgiftsincidenter ska rapporteras inom 72 timmar till relevant tillsynsmyndighet. Du bör rapportera vilken data som förlorats, vilka konsekvenser det får och vilka motåtgärder ni har vidtagit. Om den data som läckt inte var krypterad behöver ni normalt också informera den registrerade vars uppgifter påverkats.

Ni har avtal med alla processors som ni delar data med

Gäller för: Data Controller

Avtalet ska innehålla tydliga instruktioner för lagring/behandling hos biträdet. Det ska beskriva ämnet och varaktigheten för behandlingen, behandlingens natur och syfte, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter.

Ett typiskt exempel är avtal med webbhotell/hosting. Samma avtalskrav gäller när ett biträde tar in ett underbiträde (sub-processor) för att utföra behandling för den personuppgiftsansvariges räkning.

3) Nya rättigheter (funktioner och processer som måste fungera)

Kunder/användare kan enkelt begära tillgång till sina personuppgifter

Gäller för: Data Controller, Data Processor

Ha en tydligt definierad process för att hantera registerutdrag/åtkomstbegäran.

Kunder/användare kan enkelt uppdatera sina uppgifter så att de är korrekta

Gäller för: Data Controller, Data Processor

Du behöver en mekanism där användare kan rätta felaktiga uppgifter.

Ni raderar automatiskt data som ni inte längre behöver

Gäller för: Data Controller, Data Processor

Automatisera radering där det går. Ett exempel är att radera data för kunder vars avtal inte förnyats och där det inte finns annat skäl att lagra uppgifterna.

Kunder/användare kan enkelt begära radering av sina personuppgifter

Gäller för: Data Controller, Data Processor

Du behöver en process för raderingsbegäran (”right to be forgotten”).

Kunder/användare kan enkelt begära att ni slutar behandla deras uppgifter

Gäller för: Data Controller, Data Processor

Användare har rätt att begränsa hur deras data behandlas (restriction of processing).

Kunder/användare kan enkelt begära att få sin data levererad till sig själva eller en tredje part

Gäller för: Data Controller, Data Processor

Dataportabilitet innebär att användare kan få ut sin data i ett strukturerat, allmänt använt och maskinläsbart format.

Kunder/användare kan enkelt invända mot profilering eller automatiserat beslutsfattande som kan påverka dem

Gäller för: Data Controller

Det här blir relevant om ni gör profilering eller annan automatiserad beslutslogik som kan påverka individen.

4) Samtycke (Consent)

När behandling bygger på samtycke måste samtycket vara frivilligt, specifikt, informerat och återkalleligt

Gäller för: Data Controller

Om webbplatsen samlar in personuppgifter behöver du ha en tydlig länk till integritetspolicyn och bekräfta att användaren accepterar villkoren. Samtycke kräver en aktiv handling – förkryssade rutor är inte tillåtna.

Integritetspolicyn är skriven med tydliga och begripliga formuleringar

Gäller för: Data Controller

Texten ska vara klar och enkel och får inte dölja sin avsikt. Om den är otydlig kan samtycket i praktiken bli ogiltigt. Om ni erbjuder tjänster till barn måste policyn vara så enkel att de kan förstå den.

Det är lika enkelt att återkalla samtycke som att ge det

Gäller för: Data Controller

Att ta tillbaka samtycke får inte vara krångligare än att samtycka från början.

Om ni behandlar barns personuppgifter verifierar ni ålder och inhämtar vårdnadshavares samtycke

Gäller för: Data Controller

För barn under 16 behöver du säkerställa att en vårdnadshavare har gett samtycke till behandlingen. Om samtycke ges via webbplatsen bör ni försöka verifiera att godkännandet faktiskt kommer från vårdnadshavaren (och inte barnet).

När ni uppdaterar integritetspolicyn informerar ni befintliga kunder/användare

Gäller för: Data Controller

Till exempel via e-post om kommande ändringar. Kommunikationen ska förklara på ett enkelt sätt vad som har ändrats.

5) Uppföljning (Follow-up)

Ni granskar regelbundet policys: ändringar, effektivitet, förändrad datahantering och förändringar i länder som data flödar till

Gäller för: Data Controller

Följ upp best practices och förändringar i er lokala miljö, och se över vad som faktiskt händer i era system och leverantörskedjor över tid.

6) Specialfall (Special Cases)

Ni vet när ni måste göra en DPIA vid högriskbehandling av känsliga uppgifter

Gäller för: Data Controller

Det här gäller främst verksamheter som gör storskalig behandling, profilering och andra aktiviteter som innebär hög risk för individers rättigheter och friheter. I sådana fall ska en DPIA (Data Protection Impact Assessment) genomföras.

Ni överför bara data utanför EU till länder med adekvat skyddsnivå – och redovisar överföringarna

Gäller för: Data Controller, Data Processor

Om ni överför personuppgifter utanför EU ska det ske till länder som erbjuder en lämplig skyddsnivå. Ni ska också beskriva dessa gränsöverskridande dataflöden i integritetspolicyn. Vid överföring till länder utan adekvat skydd använder ni Standard Contractual Clauses (SCCs) eller Binding Corporate Rules (BCRs).

Registrerades rättigheter (Data Subject Rights) – vad din lösning måste stödja

Följande rättigheter gäller för alla registrerade (Data Subjects). Här är en konkret sammanställning av vad GDPR faktiskt kräver att du kan hantera.

Rätt till transparent information

Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att ge all information om behandling i en kortfattad, transparent, begriplig och lättillgänglig form, med ett klart och tydligt språk – särskilt om informationen riktas till ett barn. Informationen ska lämnas skriftligen eller på annat sätt, inklusive elektroniskt när det är lämpligt.

Rätt till specifik information när personuppgifter samlas in direkt

När ni samlar in uppgifter direkt från individen ska ni lämna specifik information, inklusive:

1. Den personuppgiftsansvariges identitet och kontaktuppgifter
2. Kontaktuppgifter till dataskyddsombud (om tillämpligt)
3. Ändamålen med behandlingen och den lagliga grunden
4. Berättigade intressen (om tillämpligt)
5. Mottagare eller kategorier av mottagare av personuppgifter
6. Information om överföringar till tredjeländer

Rätt till specifik information när personuppgifter inte samlas in direkt

Om data kommer från en annan källa än individen själv ska liknande information ges, inklusive kategorier av personuppgifter som berörs och var uppgifterna kommer ifrån.

Rätt till tillgång (Right of access)

Individen har rätt att få bekräftelse på om personuppgifter behandlas och få tillgång till bland annat:

• Ändamålen med behandlingen
• Kategorier av personuppgifter
• Mottagare som fått eller kommer få uppgifterna
• Planerad lagringstid
• Att rättigheter finns (rättelse, radering, begränsning, invändning)
• Rätt att klaga hos tillsynsmyndighet
• Information om datakälla (om inte insamlat från individen)
• Förekomst av automatiserat beslutsfattande, inklusive profilering

Rätt till rättelse (Right to rectification)

Individen har rätt att utan onödigt dröjsmål få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade.

Rätt till radering (Right to erasure / “right to be forgotten”)

Individen har rätt att få personuppgifter raderade när:

1. Uppgifterna inte längre behövs för ursprungligt ändamål
2. Samtycke återkallas och det saknas annan laglig grund
3. Individen invänder och det saknas överordnade berättigade skäl
4. Uppgifterna har behandlats olagligt
5. Uppgifterna måste raderas för att uppfylla en rättslig förpliktelse
6. Uppgifterna samlades in i samband med informationssamhällets tjänster riktade till ett barn

Rätt till begränsning av behandling (Right to restriction of processing)

Individen har rätt att få behandling begränsad när:

1. Individen bestrider uppgifternas korrekthet (under tid för verifiering)
2. Behandlingen är olaglig och individen motsätter sig radering
3. Den ansvarige behöver inte längre uppgifterna men individen behöver dem för rättsliga anspråk
4. Individen har invänt mot behandling i väntan på kontroll av berättigade skäl

Rätt att bli underrättad om rättelse, radering eller begränsning

Den personuppgiftsansvarige ska kommunicera rättelse, radering eller begränsning till varje mottagare som fått uppgifterna, om det inte är omöjligt eller kräver oproportionerlig ansträngning.

Rätt till dataportabilitet (Right to data portability)

Individen har rätt att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra dem till en annan personuppgiftsansvarig utan hinder.

Rätt att invända (Right to object)

Individen har rätt att när som helst invända mot behandling som bygger på berättigat intresse eller allmänt intresse, inklusive profilering, baserat på sin specifika situation.

Rätt att inte bli föremål för automatiserat beslutsfattande

Individen har rätt att inte bli föremål för ett beslut som enbart baseras på automatiserad behandling, inklusive profilering, om beslutet får rättsliga följder eller på liknande sätt påverkar individen väsentligt.

Praktiska implementationsteg för webbplatsägare

1. Säkra webbplatsen

• Installera ett SSL-certifikat (HTTPS) för att kryptera data mellan besökare och server
• Använd starka lösenord för alla admin-konton
• Lägg på extra skydd där ni hanterar betalningsinformation
• Använd en CDN-leverantör som skyddar mot DDoS-attacker
• Deploya antivirus/anti-malware för att minska risken för obehörig åtkomst
• Minimera datainsamling – samla bara in det ni behöver
• Pseudonymisera eller anonymisera personuppgifter innan lagring
• Backa upp data till flera säkra platser
• Radera data när ni inte längre behöver den

2. Lägg till en cookie-banner med korrekt samtycke

Om webbplatsen använder icke-nödvändiga cookies behöver du uttryckligt samtycke innan de aktiveras.

En cookie-banner som håller för granskning behöver uppfylla följande:

• Blockera cookies tills samtycke ges: Ladda bara nödvändiga cookies tills användaren aktivt väljer
• Använd enkelt och tydligt språk: Förklara vilka cookies som används och varför
• Visa likvärdiga acceptera/avvisa-knappar: Avvisa ska inte gömmas
• Erbjud granularitet: Låt användaren välja per kategori av cookies
• Gör det möjligt att ta tillbaka samtycke: Ge ett enkelt sätt att ändra val i efterhand
• Spara samtycke: Logga val med tidsstämplar så att ni kan bevisa efterlevnad

3. Gå igenom alla formulär på webbplatsen

Alla formulär som samlar in personuppgifter måste vara GDPR-anpassade:

• Ha en integritetstext som förklarar varför ni behöver uppgifterna
• Lägg till en okryssad checkbox för samtycke
• Ha ett separat opt-in för marknadsföringsutskick
• Länka till er integritetspolicy
• Skriv med klart och enkelt språk

4. Inhämta samtycke för marknadsföringsmejl

• Använd endast tydlig opt-in: en okryssad checkbox specifikt för e-postsamtycke
• Implementera double opt-in: bekräfta registrering via e-post
• Behåll samtyckesloggar: datum, tid, metod och syfte
• Ha en tydlig unsubscribe-länk: avregistrering med ett klick i varje mejl
• Hantera avregistreringar snabbt: helst inom 24 timmar

5. Förbered er för personuppgiftsincidenter (data breaches)

• Anmäl till tillsynsmyndighet inom 72 timmar
• Informera berörda användare om det finns hög risk för deras rättigheter
• Dokumentera allt för accountability
• Uppdatera policies och åtgärder för att förhindra framtida incidenter

WordPress-specifikt: saker som ofta glöms bort

Driver du WordPress är mycket av GDPR-arbetet hands-on: plugins, teman och tredjepartsskript kan skapa nya dataflöden utan att du tänker på det.

• Håll WordPress core, teman och plugins uppdaterade
• Använd kontaktformulär-plugins som stödjer GDPR (t.ex. samtyckescheckboxar)
• Installera en cookie consent-lösning som faktiskt kan blockera icke-nödvändiga cookies innan opt-in
• Använd en analytics-lösning som är GDPR-kompatibel
• Granska hur plugins samlar in data (telemetri, loggar, tredjepartsanrop)
• Implementera funktioner för export/radering av användardata

Sanktionsavgifter och andra åtgärder vid bristande efterlevnad

GDPR har två nivåer av sanktionsavgifter:

• Lägre nivå: upp till 10 miljoner euro eller 2 % av global årsomsättning
• Högre nivå: upp till 20 miljoner euro eller 4 % av global årsomsättning

Utöver böter kan myndigheter också:

• Utfärda varningar
• Tillfälligt eller permanent förbjuda viss behandling av personuppgifter
• Förelägga om radering av data
• Begränsa dataöverföringar

FAQ: vanliga frågor om GDPR för webbplatsägare

Vad är en GDPR compliance checklist?

En GDPR-checklista är en lista med åtgärder du behöver genomföra för att följa GDPR. Den hjälper dig hitta förbättringsområden i hur du skyddar och hanterar personuppgifter.

Vem är ansvarig för GDPR-efterlevnad?

Data controller (typiskt webbplatsägaren/företaget) har huvudansvaret. Data processors har också egna skyldigheter att uppfylla GDPR.

Gäller GDPR för amerikanska företag?

Ja, om du behandlar personuppgifter om personer i EU – oavsett var företaget är etablerat.

Vilket är det högsta straffet vid bristande efterlevnad?

Upp till 20 miljoner euro eller 4 % av årlig global omsättning, beroende på vilket som är högst.

Måste jag ha en cookie-banner?

Ja, om webbplatsen använder icke-nödvändiga cookies och du har besökare i EU.

Behöver jag ett dataskyddsombud (DPO)?

Bara om: (1) ni är en myndighet/offentligt organ, (2) kärnverksamheten kräver storskalig, systematisk övervakning av individer, eller (3) ni behandlar känsliga uppgifter i stor skala.