Viktoria ComplianceStart Assessment
Tillbaka till bloggen
GDPR7 min readJanuary 15, 2026

Tillämpning av GDPR år 2025: Vilka överträdelser kostar mest - och hur man undviker dem

Tillämpningen av GDPR fortsatte att intensifieras under 2025, med tillsynsmyndigheter i hela EES som utfärdade över 2 100 tillsynsbeslut och totala böter på över 2,1 miljarder euro för kalenderåret. Trenden är omisskännlig: tillsynsmyndigheterna saktar inte ner. För små och medelstora företag är det viktigt att förstå vilka överträdelser som leder till de strängaste straffen för att kunna prioritera investeringar i regelefterlevnad.

2025 Verkställighet i en överblick

Flera viktiga statistiska uppgifter formade verkställighetslandskapet 2025:

  • Totalt antal utdömda böter: Cirka 2,1 miljarder euro för alla dataskyddsmyndigheter inom EES
  • Antal beslut om verkställighet: Över 2.100, en ökning med cirka 18% från 2024
  • Största enskilda bötesbeloppet: 1,2 miljarder euro utdömt av den irländska dataskyddskommissionen (DPC)
  • Mest aktiva dataskyddsmyndigheter enligt beslutsvolym: Spanska AEPD, italienska Garante, rumänska ANSPDCP och ungerska NAIH
  • Mest aktiva dataskyddsmyndigheter enligt bötesvärde: Irländska DPC, franska CNIL, italienska Garante och luxemburgska CNPD

En anmärkningsvärd utveckling under 2025 var den ökade aktiviteten hos mindre dataskyddsmyndigheter. Myndigheterna i Österrike (DSB), Finland (Tietosuojavaltuutettu) och Kroatien (AZOP) utfärdade sina största böter någonsin, vilket tyder på att kapaciteten för brottsbekämpning har mognat i hela EU.

Topp 3 kategorier av överträdelser

1. Otillräcklig rättslig grund för behandlingen (artikel 6)

Behandling av personuppgifter utan en giltig rättslig grund var fortfarande den mest frekvent citerade och mest straffbelagda överträdelsen under 2025. I denna kategori ingår organisationer som förlitade sig på samtycke som inte uppfyllde standarden i artikel 7, hävdade berättigade intressen utan att göra en korrekt avvägning eller behandlade uppgifter för ändamål som var oförenliga med det ursprungliga insamlingsändamålet (brott mot principen om ändamålsbegränsning enligt artikel 5.1 b).

CNIL har utdömt flera betydande böter i denna kategori, bland annat mot organisationer som har spårat användare mellan olika webbplatser utan giltigt samtycke. CNIL har konsekvent hävdat att samtyckesmekanismer för cookies som använder mörka mönster, förvalda alternativ eller gör det onödigt svårt att avvisa inte utgör giltigt samtycke enligt artiklarna 6 och 7.

Lärdom för små och medelstora företag: Granska varje behandlingsaktivitet för att hitta en dokumenterad och försvarbar rättslig grund. Om du förlitar dig på samtycke, se till att dina samtyckesmekanismer uppfyller standarden för fritt givet, specifikt, informerat och otvetydigt samtycke. Om du förlitar dig på legitima intressen ska du dokumentera ditt balanseringstest.

2. Otillräckliga tekniska och organisatoriska säkerhetsåtgärder (artikel 32)

Överträdelser av artikel 32 utgjorde en betydande andel av tillsynsåtgärderna 2025. Tillsynsmyndigheterna bestraffade organisationer för bland annat följande brister: okrypterade personuppgifter, svaga eller förvalda lösenord, otillräckliga åtkomstkontroller, underlåtenhet att tillämpa säkerhetsuppdateringar i tid samt otillräcklig övervakning och loggning.

Italienska Garante var särskilt aktiva på detta område och utfärdade flera böter till vårdgivare för otillräckliga säkerhetsåtgärder som ledde till obehörig åtkomst till patientjournaler. Spanska AEPD fortsatte sitt etablerade mönster med att straffa små och medelstora organisationer för grundläggande säkerhetsbrister, inklusive fall där kunddatabaser exponerats på grund av felkonfigurerad molnlagring.

Den tyska federala dataskyddskommissionären (BfDI) fokuserade på systematiska säkerhetsbrister och betonade att artikel 32 inte bara kräver lämpliga tekniska åtgärder utan även organisatoriska kontroller, inklusive säkerhetspolicyer, förfaranden för åtkomsthantering och regelbundna tester av säkerhetseffektiviteten.

Lärdom för små och medelstora företag: Grundläggande säkerhetshygien är inte förhandlingsbart. Implementera kryptering, genomdriv stark autentisering, patcha snabbt och begränsa åtkomsten baserat på principen om minsta möjliga privilegium. Dokumentera dina säkerhetsåtgärder och skälen till varför du har valt dem.

3. Bristande efterlevnad av den registrerades rättigheter (artiklarna 15-22)

Underlåtenhet att svara på förfrågningar från registrerade inom den lagstadgade tidsfristen på en månad, eller ofullständiga svar, genererade en betydande mängd tillsynsåtgärder under 2025. De vanligaste överträdelserna gällde:

  • Underlåtenhet att besvara begäran om tillgång till handlingar (artikel 15) inom en månad
  • Vägran att radera uppgifter när så begärs enligt artikel 17 utan giltiga skäl för fortsatt behandling
  • Överdrivna krav på identitetsverifiering som effektivt hindrade utövandet av rättigheter
  • Underlåtenhet att tillhandahålla uppgifter i ett bärbart format när så begärs enligt artikel 20

Den italienska Garante ålade flera böter för försenade eller otillräckliga svar på registrerades begäran om tillgång till uppgifter, inklusive fall där organisationer tog flera månader på sig att svara utan motivering. Den polska datainspektionen (UODO) har också fattat viktiga beslut på detta område, särskilt när det gäller rätten till radering.

Lärdomar för små och medelstora företag: Inför ett spårningssystem för förfrågningar från registrerade med automatiska varningar om tidsfrister. Utbilda personal som arbetar med kundkontakter att känna igen förfrågningar från registrerade även om de inte uttryckligen är formulerade på GDPR-språk. En kund som säger "radera mitt konto" utövar sin rättighet enligt artikel 17.

Anmärkningsvärda verkställighetsåtgärder

Irländska DPC: Verkställighet av gränsöverskridande överföringar

Den irländska dataskyddsmyndigheten fortsatte att utnyttja sin roll som ledande tillsynsmyndighet för många stora teknikföretag. Dess tillsynsbeslut under 2025 fokuserade på gränsöverskridande dataöverföringar (kapitel V) och tillräckliga skyddsåtgärder för överföringar till tredje land. Rekordböterna på 1,2 miljarder euro underströk att överföringsmekanismer kräver verkliga, utvärderade skyddsåtgärder, inte bara avtalsmässiga formaliteter.

CNIL: Cookie och spårning - verkställighet

CNIL behöll sitt fokus på spårning och samtycke online. Under 2025 utvidgades tillsynen till att omfatta inte bara stora plattformar utan även medelstora e-handels- och medieorganisationer. CNIL lade särskild vikt vid mekanismer för återkallande av samtycke: att göra det svårare att återkalla samtycke än att ge det strider mot kravet i artikel 7.3 på att det ska vara lika lätt att återkalla samtycke.

BfDI: Behandling av uppgifter om anställda

Tyska BfDI ökade granskningen av behandling av anställdas personuppgifter, särskilt när det gäller övervakning av arbetsplatsen, programvara för övervakning av anställda och användning av biometriska uppgifter för åtkomstkontroll. Flera böter utdömdes för behandling av anställdas uppgifter utan tillräcklig rättslig grund eller utan tillräcklig insyn (artiklarna 13 och 14).

Garante: Hälso- och sjukvård samt offentlig sektor

Italienska Garante fortsatte sitt aktiva tillsynsarbete inom hälso- och sjukvårdssektorn och straffade sjukhus och hälsomyndigheter för säkerhetsöverträdelser, obehörig åtkomst till patientjournaler och underlåtenhet att genomföra konsekvensbedömningar vid högriskbehandling. Garante har också fattat beslut om den offentliga sektorns användning av ansiktsigenkänning och AI-baserat beslutsfattande.

Vad detta innebär för små och medelstora företag

Uppgifterna om verkställighet 2025 bekräftar flera trender som små och medelstora företag måste agera på:

  1. Grundläggande efterlevnad är inte förhandlingsbar. De vanligaste böterna är för grundläggande brister: ingen rättslig grund, inga säkerhetsåtgärder, inga svar på förfrågningar från registrerade. Det handlar inte om komplexa regleringsutmaningar, utan om grundläggande skyldigheter.
  2. Storlek ger inte immunitet. Den spanska AEPD och andra dataskyddsmyndigheter bötfäller regelbundet små organisationer. Ett bötesbelopp på 50 000 euro kan vara litet i samband med den totala tillämpningen av GDPR, men det är betydande för ett litet eller medelstort företag.
  3. Dokumentation är ditt försvar. Tillsynsmyndigheterna bedömer efterlevnaden baserat på vad du kan visa. Odokumenterad regelefterlevnad är, ur ett tillsynsperspektiv, bristande regelefterlevnad.
  4. Proaktiv efterlevnad är billigare än reaktiv verkställighet. Kostnaden för att implementera korrekt dokumentation av den rättsliga grunden, säkerhetsåtgärder och förfaranden för registrerades rättigheter är en bråkdel av kostnaden för böter, tillhörande advokatkostnader och skadat anseende.

Det finns inga tecken på att utvecklingen av GDPR kommer att vända. De organisationer som investerar i efterlevnad nu är de som kommer att undvika rubrikerna om efterlevnad 2026.

Kontrollera din efterlevnadsberedskap

Kör vår kostnadsfria beredskapsbedömning för GDPR, NIS2 och AI-förordningen och få personliga rekommendationer på några minuter.

Starta kostnadsfri bedömning

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.