Publicerad 14 september 2023

Informationstext om dataskyddsförordningen (GDPR)

Vägledning till hur du formulerar en informationstext om behandling av personuppgifter enligt dataskyddsförordningen.

Enligt dataskyddsförordningen (GDPR) ska den registrerade få information när dennes personuppgifter behandlas. Sådan information ska lämnas av den personuppgiftsansvarige när uppgifterna samlas in, men även när den registrerade begär det.

GDPR ställer upp vissa krav på vilken information som ska tillhandahållas den registrerade. SKR:s informationstextmall kan fungera som exempel på hur en informationstext kan formuleras och tillhandahållas den registrerade. SKR rekommenderar dock att informationstextens slutliga utformning alltid granskas av jurist eller motsvarande för att säkerställa att texten uppfyller GDPR:s krav i det enskilda fallet.

Mall: text att kopiera och vägledning till anpassning av texten

Denna malltext är avsedd för att skapa antingen en egen mall för din verksamhet, eller en specifik informationstext för en aktuell situation.

Gör så här

  1. Skapa ett nytt dokument i Word eller motsvarande program för textbehandling. Du kan använda någon av din organisations standardmallar eller utgå från ett helt "rent" textdokument (lämpligt om den färdiga informationstexten ska användas på webbplats, i e-tjänst, databas eller liknande).
  2. Kopiera och klistra in texten inom streckad ram nedan.
  3. Ersätt all text inom [hakparentes] med anpassad information för den aktuella situationen. Vägledningen nedan innehåller förklaringar till respektive punkt.

Text att kopiera

Vi behöver spara och behandla personuppgifter om dig, så som [se punkt 1]. Syftet med en sådan behandling är för att kunna [se punkt 2].

Vi har fått dina uppgifter från [se punkt 3]. Vi tillämpar vid var tid gällande integritetslagstiftning vid all behandling av personuppgifter. Den rättsliga grunden för att behandla dina personuppgifter är [se punkt 4]. Dina uppgifter kommer att sparas [se punkt 5].

De personuppgifter vi behandlar om dig delas med [se punkt 6]. Vi kan även komma att dela dina personuppgifter med en tredje part, förutsatt att vi är skyldiga att göra så enligt lag. Däremot kommer vi aldrig att överföra dina uppgifter till ett land utanför EU [se punkt 7].

Personuppgiftsansvarig är [se punkt 8]. Du har rätt att kontakta oss om du vill ha ut information om de uppgifter vi har om dig, för att begära rättelse, överföring eller för att begära att vi begränsar behandlingen, för att göra invändningar eller begära radering av dina uppgifter. Detta gör du enklast genom att kontakta oss på [se punkt 9]. Du når vårt dataskyddsombud på [se punkt 10].

Om du har klagomål på vår behandling av dina personuppgifter har du rätt att inge klagomål till tillsynsmyndigheten Integritetsskydsmyndigheten, IMY.

Vägledning för att anpassa malltexten

  1. Ange vilka personuppgifter ni behandlar. Tänk på att en personuppgift kan vara all slags information som direkt eller indirekt kan hänföras till en fysisk levande person. Detta innebär till exempel att även ett fotografi av en person som kan identifieras är en personuppgift.
  2. Ange vilka ändamål ni har med personuppgiftsbehandlingen, det vill säga varför behöver ni personens uppgifter? Tänk på att om ni använder s.k. automatiserat beslutsfattande, vilket även inbegriper profilering enligt GDPR, så måste ni på ett enkelt sätt förklara hur det sker och vilka konsekvenser det får för den registrerade. Ni behöver dock inte beskriva hur de olika algoritmerna fungerar.
  3. Ange varifrån ni har fått personuppgifterna. Tänk på att ni måste särskilja mellan situationen då den registrerade ger er personuppgifter och när ni får uppgifterna från en annan källa.
    • Om det är den registrerade som har gett er uppgifterna behöver ni ange:
      • Om den registrerades tillhandahållande av personuppgifterna är ett lagstadgat krav,
      • eller om det är ett krav som är nödvändigt för att ingå ett avtal,
      • samt vad som händer om den registrerade inte lämnar personuppgifterna.
    • Om det inte är den registrerade som har tillhandahållit uppgifterna måste ni ange den ursprungliga källan, till exempel folkbokföringsregistret eller liknande.
    • Om uppgifterna kommer från allmänt tillgängliga källor ska ni skriva att det är ifrån sådana källor som uppgifterna kommer.
  4. Välj rättslig grund:
    • Samtycke. Om samtycke väljs, lägg då även till ”Du har när som helst rätt att återkalla ditt samtycke till behandlingen. Ett återkallande påverkar inte lagligheten av behandlingen innan samtycket återkallades” eller motsvarande formulering. SKR har utformat en samtyckestextmall som kan fungera som vägledning.
    • Avtal
    • Rättslig förpliktelse
    • Skydd för grundläggande intressen
    • Uppgift av allmänt intresse och myndighetsutövning. För att det ska vara fråga om allmänt intresse ska det allmänna intresset följa av lag eller annan författning (till exempel förordning), av kollektivavtal eller av beslut som har meddelats med stöd av lag.
    • Efter en intresseavvägning. Om en behandling grundar sig på en intresseavvägning måste ni även ange den personuppgiftsansvarige eller tredje parts berättigade intresse som gör att ni har ett intresse av att behandla uppgifterna. Ni kan aldrig stödja er personuppgiftsbehandling på en intresseavvägning om det rör sig om myndighetsutövning.
  5. Ange – om möjligt – tiden för hur länge ni kommer att spara uppgifterna. Är det inte möjligt att ange en bestämd tid så ska ni ange de kriterier som används för att avgöra hur länge det är relevant för ändamålet, till exempel ”så länge du är kund hos oss”, ”ett år efter din senaste kundkontakt med oss” eller motsvarande formulering.
  6. Ange mottagarna, det vill säga de som ni delar personuppgifterna med. Det är tillräckligt att ni anger kategorier av mottagare eller allmän information till exempel ”Skatteverket”, ”den som köper uppgifterna”, ”företag inom samma koncern”. Ni behöver bara ange de som ni sannolikt tror att ni kommer att dela uppgifterna med.

    Om ni delar uppgifterna med personuppgiftsbiträden ska ni informera om att ni delar uppgifterna med dem genom att till exempel skriva ”och de personuppgiftsbiträden vi använder för att kunna utgöra våra tjänster och fullgöra våra skyldigheter gentemot dig” eller motsvarande formulering.
  7. Om det är så att ni kommer överföra uppgifter till tredje land får ni skriva det i stället. Notera dock att om uppgifter överförs till tredje land, till exempel genom att det CRM-system ni använder er av har server i land utanför EU/ESS, måste ni informera om huruvida det finns ett beslut av EU-kommissionen om adekvat skyddsnivå eller inte. Ni måste även informera om ni har iakttagits lämpliga skyddsåtgärder.
  8. Ange kontaktuppgifter. Namn och adress, och i tillämpliga fall organisationsnummer till personuppgiftsansvarig.
  9. Ange kontaktuppgifter. E-postadress och/eller telefonnummer eller motsvarande.
  10. Ange dataskyddsombudets kontaktuppgifter. E-postadress och/eller telefonnummer eller motsvarande.

Läs vidare

Informationsansvarig

  • Pål Resare
    Förbundsjurist

Kontakta oss

Kontakta SKR

Välkommen att skicka in din organisations frågor

  • Vid akuta frågor, vänligen ring SKR:s kontaktcenter på 08-452 70 00.
  • Se till att frågan är väl förberedd innan du skickar in den.
  • Det ingår inte i SKR:s uppgifter att ge service till privatpersoner och privata företag.


Undvik känsliga personuppgifter när du beskriver ditt ärende.






Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.