Sedan GDPR (General Data Protection Regulation) trädde i kraft i maj 2018 har europeiska tillsynsmyndigheter avsevärt ökat sin tillsynsverksamhet. År 2026 är resultatet tydligt: hundratals miljoner euro i böter har utdömts mot företag av alla storlekar, från multinationella koncerner till små och medelstora företag. Att förstå dessa sanktioner, deras grunder och de belopp som är involverade är avgörande för varje personuppgiftsansvarig som vill skydda sitt företag.
De mest anmärkningsvärda dataskyddssanktionerna
GDPR ger tillsynsmyndigheterna avsevärt förstärkta sanktionsbefogenheter: böter kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst. Här är de 15 mest betydande sanktionerna som utdömts i Europa.
Rekordböter (mer än 10 miljoner euro)
De tyngsta sanktionerna drabbade de digitala jättarna. En stor aktör inom onlineannonsering bötfälldes med 150 miljoner euro för brister i cookiehanteringen. En sökmotor fick böta 50 miljoner euro för bristande transparens och rättslig grund vid behandling av uppgifter för personaliserad annonsering. Ett socialt nätverk bestraffades med 60 miljoner euro för icke-regelefterlevande cookiepraktiker.
Inom e-handel fick flera plattformar böter på mellan 10 och 30 miljoner euro för brister i datasäkerheten eller underlåtenhet att informera användarna. En teleoperatör dömdes till 10 miljoner euro i böter på grund av säkerhetsbrister som exponerade miljontals kunders uppgifter.
Mellansanktioner (100 000 € till 10 miljoner euro)
Detta segment är särskilt lärorikt eftersom det rör medelstora företag och illustrerar de vanligaste misstagen. Tillsynsmyndigheter har regelbundet bestraffat:
- Fastighetsföretag för överdrivet bevarande av hyresgästuppgifter (böter på 400 000 € till 600 000 €)
- E-handelsföretag för bristande säkerhet för kunduppgifter (böter på 150 000 € till 500 000 €)
- Hälsovårdsföretag för otillräckligt skydd av patientuppgifter (böter på 200 000 € till 1,5 miljoner euro)
- Digitala marknadsföringsföretag för kommersiell prospektering utan samtycke (böter på 100 000 € till 300 000 €)
Böter för SMF och småföretag (1 000 € till 100 000 €)
I motsats till vad många tror bestraffar tillsynsmyndigheterna inte enbart stora företag. Många små och medelstora företag har fått böter på allt från några tusen till tiotusentals euro. Dessa sanktioner avser vanligtvis grundläggande brister: avsaknad av integritetspolicy, avsaknad av behandlingsregister eller icke-regelefterlevande kameraövervakning av anställda.
En privatpraktiserande läkare bestraffades för otillräckligt skydd av patienters hälsouppgifter. Bostadsrättsföreningar och fastighetsförvaltare har fått förelägganden för icke-regelefterlevande videoövervakningssystem. Dessa fall visar att ingen organisation är fredad.
De 5 vanligaste grunderna för sanktioner
Analys av tillsynsmyndigheternas beslut gör det möjligt att identifiera återkommande grunder som leder till böter.
1. Brist på samtycke för cookies
Sedan riktlinjerna om cookies infördes krävs förhandssamtycke innan icke-nödvändiga spårare placeras. Företag som placerar reklam- eller analytiska cookies utan att inhämta förhandssamtycke utsätter sig för stränga sanktioner. Denna grund står ensam för en betydande del av de högsta böterna som utdömts sedan 2021. För att snabbt uppnå efterlevnad kan du installera en gratis GDPR-kompatibel cookiebanner.
2. Brister i datasäkerhet (artikel 32 GDPR)
Artikel 32 i GDPR kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa datasäkerheten. De mest bestraffade bristerna inkluderar: lagring av lösenord i klartext, avsaknad av kryptering av känsliga uppgifter, obegränsad tillgång till databaser och avsaknad av rutiner för hantering av personuppgiftsincidenter.
3. Bristfällig information till registrerade (artiklarna 13 och 14 GDPR)
Artiklarna 13 och 14 i GDPR kräver tydlig, fullständig och tillgänglig information till registrerade. Detta omfattar den personuppgiftsansvariges identitet, ändamålen, den rättsliga grunden, mottagarna, lagringstiden och de registrerades rättigheter. Frånvaron eller otillräckligheten av denna information — ofta synlig genom en obefintlig eller ofullständig integritetspolicy — är en av de vanligaste grunderna för sanktioner. För att veta om ditt företag omfattas, läs vår guide om GDPR:s tillämpningsområde.
4. Överdrivet bevarande av uppgifter
GDPR kräver att personuppgifter inte lagras längre än vad som är strikt nödvändigt för behandlingens ändamål. Tillsynsmyndigheter bestraffar regelbundet företag som lagrar kunduppgifter i åratal utan motivering eller som inte har någon policy för automatisk radering.
5. Bristande efterlevnad av registrerades rättigheter
Rätten till tillgång (artikel 15), rätten till radering (artikel 17) och rätten till invändning (artikel 21) måste effektivt garanteras. Flera företag har bestraffats för att ha ignorerat eller försenat behandlingen av begäran om radering av uppgifter eller avregistrering från kommersiella register.
Hur beräknas bötesbeloppet?
Vid beräkningen av böter beaktas flera kriterier som definieras i artikel 83 i GDPR:
- Överträdelsens art och allvar: ett säkerhetsbrott som lett till ett dataintrång bestraffas hårdare än en försening i svaret på en begäran om tillgång
- Antalet drabbade personer: ju fler personer som berörs, desto högre böter
- Uppsåtligt eller oaktsamt beteende: en överträdelse till följd av uppenbar vårdslöshet bestraffas strängare
- Vidtagna korrigerande åtgärder: företagets reaktionshastighet efter upptäckten av överträdelsen beaktas som en förmildrande omständighet
- Samarbete med tillsynsmyndigheten: aktivt samarbete under utredningen kan minska bötesbeloppet
- Tidigare överträdelser: återfallsförbrytare utsätter sig för förhöjda sanktioner
Proportionalitetsprincipen tillämpas också: ett litet företag med blygsam omsättning får en proportionellt lägre böter än ett multinationellt företag, men undkommer inte sanktioner.
Aktuella trender: vad som förändrats sedan 2023
Sedan 2023 har tillsynsmyndigheterna utvecklat sin kontroll- och tillsynsstrategi:
Det förenklade förfarandet: för mindre komplexa ärenden används ett påskyndat förfarande som gör det möjligt att utdöma böter på upp till 20 000 €. Detta förfarande rör främst små och medelstora företag och påskyndar avsevärt behandlingen av klagomål.
Prioriterade teman: varje år definieras sektorer och praxis som kontrolleras i första hand. Nyligen prioriterade teman inkluderar hantering av minderårigas uppgifter, mobilapplicationers regelefterlevnad och efterlevnad av regler för kommersiell prospektering.
Europeiskt samarbete: genom one-stop-shop-mekanismen samarbetar tillsynsmyndigheter med andra europeiska dataskyddsmyndigheter. Vissa rekordböter härrör från samordnade förfaranden som involverar flera länder.
Börja med en gratis efterlevnadsskanning för att identifiera svagheterna på din webbplats.
Hur skyddar du ditt företag mot sanktioner?
Med tanke på dessa risker är regelefterlevnad inte ett alternativ utan en nödvändighet. Här är de prioriterade åtgärderna:
Anlita en specialiserad advokat (500–2 000 € för en fullständig revision): en advokat specialiserad på digitalrätt genomför en djupgående revision av dina rutiner och upprättar nödvändiga dokument. Det är den mest kompletta lösningen, men också den dyraste och mest tidskrävande.
Göra det själv med onlinemallar (0 € men riskfyllt): det finns mallar för integritetspolicyer och behandlingsregister, men de täcker ofta inte alla dina specifika skyldigheter. Risken för luckor är hög.
Använda en generisk AI (ChatGPT, Claude) (0 € + advokatgranskning 150–300 €): dessa verktyg kan producera utkast, men GDPR:s juridiska specificiteter kräver expertis som generalistiska AI:er inte alltid behärskar. En professionell granskning förblir nödvändig.
Använda en specialiserad juridisk AI (14,90 € till 49,90 €): lösningar som WebLegal.ai genererar alla dina obligatoriska juridiska dokument — integritetspolicy, cookiepolicy, användarvillkor, försäljningsvillkor — på några minuter, GDPR-konforma och anpassade till din verksamhet.
Slutsats
Sanktioner från tillsynsmyndigheter är inte längre teoretiska hot: de drabbar varje år hundratals företag i Europa, från multinationella koncerner till enskilda näringsidkare. Beloppen ökar ständigt och sanktionsgrunderna omfattar ofta grundläggande brister — avsaknad av integritetspolicy, icke-regelefterlevande cookies, otillräcklig säkerhet. För att utvärdera de specifika riskerna för din webbplats, läs vår guide om icke-regelefterlevande webbplatser och deras sanktioner. År 2026 är frågan inte längre om du kommer att granskas, utan när. Agera nu för att skydda ditt företag.