Spaningar från Integritetsskyddsmyndighetens årsredovisning 2025
Integritetsskyddsmyndigheten (IMY) publicerade nyligen sin årsredovisning för 2025. Dokumentet är i första hand en redovisning av myndighetens verksamhet, men ger samtidigt en bild av hur tillsynsmyndigheten själv beskriver utvecklingen på dataskyddsområdet.
Under året hanterade myndigheten omkring 28 300 ärenden, jämfört med cirka 18 100 året innan. Det motsvarar en ökning på drygt 50 procent. Bakom siffran finns en ännu tydligare utveckling: antalet klagomål från enskilda ökade med drygt 100 procent och anmälningar om personuppgiftsincidenter med nära 90 procent. Sammantaget ger statistiken en bild av ett område där frågor om personuppgifter allt oftare aktualiseras i praktiken.
Vilka frågor prioriterar tillsynsmyndigheten?
IMY anger varje år vissa prioriterade områden för tillsyn och vägledning. Under 2025 lyfter myndigheten särskilt arbetsliv, AI och GDPR, känsliga personuppgifter inom vård och omsorg, den nya kamerabevakningslagen samt barn och unga.
Listan säger något om hur dataskyddsfrågorna förändras. Flera av områdena rör situationer där personuppgifter behandlas i tekniskt avancerade eller verksamhetsnära miljöer, exempelvis i arbetsplatsverktyg, AI-baserade system eller kamerateknik. Det är frågor som ofta uppstår i gränslandet mellan juridik, teknik och verksamhet.
En tillsynsmyndighet under press?
Årsredovisningen är samtidigt relativt tydlig med de utmaningar myndigheten står inför. IMY:s klagomålshantering har under året varit föremål för kritik från både Justitieombudsmannen och Justitiekanslern. Samtidigt uppgick den genomsnittliga handläggningstiden för tillsynsärenden till omkring 396 dagar.
För organisationer som befinner sig i en tillsynsprocess innebär detta att dataskyddsfrågor ofta utvecklas över längre tid än många först förväntar sig. Processerna är resurskrävande, både för myndigheten och för de organisationer som berörs.
En möjlig ny roll i AI-regelverket
En utveckling som också berörs i rapporten är kopplingen mellan dataskydd och den framväxande AI-regleringen. I det nationella lagstiftningsarbetet har det föreslagits att IMY ska få en roll som marknadskontrollmyndighet för vissa AI-system enligt AI-förordningen, och även kunna få uppgifter kopplade till regulatoriska sandlådor.
Om förslagen genomförs innebär det att myndighetens uppdrag delvis breddas. För organisationer som utvecklar eller använder AI-system kan dataskyddsfrågor därmed i ökande utsträckning komma att sammanfalla med andra delar av den digitala regleringen.
Hur mycket avgörs nationellt?
Rapporten visar också hur stor del av dataskyddsarbetet som i dag sker i europeiska strukturer. IMY deltar i ett stort antal arbetsgrupper inom Europeiska dataskyddsstyrelsen, där gemensamma riktlinjer och tolkningar utvecklas.
Samtidigt presenterade EU-kommissionen i slutet av 2025 förslag till vissa ändringar i dataskyddsförordningen. Även om det ännu är för tidigt att bedöma konsekvenserna fullt ut illustrerar det hur regelverket fortsätter att utvecklas även efter GDPR:s införande 2018.
Vilka frågor väcker utvecklingen?
Årsredovisningen illustrerar hur dataskydd i allt större utsträckning sammanfaller med frågor om digitalisering, teknik och informationssäkerhet. Det väcker frågor som många organisationer i dag behöver ta ställning till. När blir en teknisk lösning också en dataskyddsfråga? Hur hanteras incidenter och klagomål i en miljö där inflödet ökar och tillsynsprocesserna kan bli långvariga? Och vem inom organisationen ansvarar i praktiken för dessa avvägningar – IT, informationssäkerhet, jurister eller verksamheten själv?
Frågorna är inte begränsade till en viss sektor. Liknande avvägningar uppstår i dag i många typer av verksamheter där personuppgifter behandlas i digitala tjänster och system.
Vi följer rättsutvecklingen inom dataskydd och cybersäkerhet och diskuterar gärna hur frågor av det här slaget kan uppkomma i praktiken.
Rapport: Integritetsskyddsmyndigheten, Årsredovisning 2025.