IMY:s prioriteringar 2026 – vad betyder de för din organisation?

Se som Markdown
5 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 5 februari 2026
  1. Bakgrund – varför IMY:s prioriteringar spelar roll
  2. AI i offentlig sektor – höga krav på transparens och riskanalys
  3. Barn och unga – särskilt skyddsvärda uppgifter
  4. Brottsbekämpning – kraftfulla verktyg och stora integritetsrisker
  5. Vad bör organisationer göra under 2026?

Integritetsskyddsmyndigheten (IMY) har pekat ut tre prioriterade områden för vägledning och tillsyn under 2026: användning av AI i offentlig sektor, dataskydd för barn och unga samt brottsbekämpande myndigheters behandling. För verksamheter som hanterar personuppgifter innebär detta ett ökat fokus på vissa typer av behandlingar och på krav på tydlig styrning och dokumentation, något som många organisationer behöver stöd av en erfaren dataskyddsjurist för att hantera på ett rättssäkert och praktiskt sätt.

Bakgrund – varför IMY:s prioriteringar spelar roll

IMY väljer varje år ut områden där integritetsriskerna bedöms vara särskilt stora eller där det finns behov av bättre regelefterlevnad. Prioriteringarna styr både tillsyn och vägledning, vilket i praktiken betyder att organisationer som verkar inom eller nära dessa områden kan räkna med ökad uppmärksamhet på hur de hanterar personuppgifter.

Dataskyddsregelverket bygger på ansvarsskyldighet, att den personuppgiftsansvarige kan visa att GDPR följs. När IMY riktar strålkastarljuset mot vissa områden ökar kraven på att just där ha ordning på dokumentation, riskanalyser, avtal och rutiner.

AI i offentlig sektor – höga krav på transparens och riskanalys

Offentliga verksamheter inför AI-baserade system i allt fler processer. För den enskilde medborgaren finns ofta inget realistiskt alternativ till att använda den digitala tjänst som erbjuds. Det förstärker kraven på ett genomtänkt dataskyddsarbete.

Några centrala frågor för offentliga aktörer är:

  • Har vi gjort en tillräcklig konsekvensbedömning (DPIA) för AI-lösningen?
  • Vet den registrerade när och hur AI används, och kan vi förklara det på ett begripligt sätt?
  • Hur hanteras känsliga personuppgifter och andra uppgifter med hög skyddsnivå i AI-systemen?
  • Är rollerna mellan personuppgiftsansvarig och leverantörer/personuppgiftsbiträden tydligt reglerade i avtal?

Eftersom både dataskyddsregler och EU:s kommande och successivt införda AI-reglering påverkar området, behöver offentlig sektor arbeta strukturerat med styrdokument, riskanalys och uppföljning.

Barn och unga – särskilt skyddsvärda uppgifter

Barn och unga tillhör de mest aktiva användarna av digitala tjänster, samtidigt som de har svårare att överblicka konsekvenserna av hur personuppgifter används. GDPR betonar att barns personuppgifter är särskilt skyddsvärda, vilket skärper kraven på både offentliga och privata aktörer.

Typiska aktörer som påverkas är bland annat skolor, kommuner, leverantörer av appar och plattformar som riktar sig till barn, vårdgivare och föreningar. För dessa verksamheter blir bland annat följande frågor centrala:

  • Är informationen till barn och vårdnadshavare tydlig, åldersanpassad och lätt att förstå?
  • Vilken rättslig grund används, och är den lämplig i relation till barn?
  • Vilka tredjepartsleverantörer används (exempelvis molntjänster och analysverktyg) och vilken kontroll har vi över deras behandling?
  • Finns rutiner för incidenthantering och för att snabbt kunna begränsa eller stoppa olämplig behandling?

Brottsbekämpning – kraftfulla verktyg och stora integritetsrisker

Brottsbekämpande myndigheter behöver effektiva verktyg för att förebygga och utreda brott. Samtidigt innebär verktyg som hemliga tvångsmedel, omfattande övervakning eller insamling av biometriska uppgifter stora ingrepp i den personliga integriteten.

Behandling av personuppgifter för brottsbekämpande ändamål regleras delvis av annan lagstiftning än GDPR, exempelvis brottsdatalagen. När IMY fokuserar på brottsbekämpning är det bland annat följande aspekter som blir viktiga:

  • Ändamålsbegränsning – används uppgifterna endast för lagligen definierade syften?
  • Dataminimering – samlas mer uppgifter in än vad som är nödvändigt?
  • Lagringstid och gallring – sparas uppgifter längre än vad regelverket tillåter?
  • Tillgångskontroller – vilka har praktisk åtkomst till uppgifterna och hur loggas åtkomsten?

Även privata aktörer som lämnar uppgifter till brottsbekämpande myndigheter behöver förstå vilka regler som gäller och vilket ansvar de själva har i dessa situationer.

Vad bör organisationer göra under 2026?

För organisationer som direkt eller indirekt berörs av IMY:s prioriteringar 2026 är det klokt att göra en riktad översyn av sitt dataskyddsarbete. Några praktiska steg kan vara:

  • Identifiera om ni använder AI-lösningar, hanterar barns uppgifter eller samverkar med brottsbekämpande myndigheter.
  • Se över registerförteckningar, konsekvensbedömningar och andra centrala dokument kopplade till dessa behandlingar.
  • Uppdatera personuppgiftsbiträdesavtal och andra avtal med leverantörer, särskilt för AI-tjänster och digitala plattformar som används av barn.
  • Säkerställ att informationstexter och integritetspolicys är aktuella, begripliga och speglar faktisk behandling.
  • Genomför riktad utbildning till nyckelpersoner inom IT, verksamhet, juridik och ledning.

IMY:s tillsyn och vägledning syftar till att stärka skyddet för den personliga integriteten, men också till att höja regelefterlevnaden i praktiken. För organisationer som agerar proaktivt kan 2026 bli ett år då dataskyddsarbetet både kvalitetssäkras och integreras bättre i den löpande verksamhetsstyrningen.

Morling Consulting hjälper våra dataskyddsjurister företag och organisationer att analysera hur IMY:s prioriteringar påverkar deras behandling av personuppgifter, samt att ta fram praktiska och affärsnära lösningar för att uppfylla kraven i GDPR och angränsande regelverk.

Bild i svartvitt av Morling Consultings grundare Felix Morling.

Artikel skriven av:

Felix Morling

Senaste inlägg

Ljus dashboard med tre upphöjda kort som visualiserar tillsynens tre spår: systemstabilitet, ekonomisk brottslighet och konsumentskydd, med små accentdetaljer i orange.

6 februari 2026

Finansinspektionens tillsynsprioriteringar 2026 – detta behöver finansiella företag hantera nu
Läs mer
bilden visar två jurister och en checklista.

6 februari 2026

Juridiska fallgropar mindre organisationer
Läs mer
Illustration i Material Design som visar tre jurister framför symboler för AI-krets, lekplats och övervakning, som representerar IMY:s fokusområden offentlig AI, barns integritet och brottsbekämpning.

5 februari 2026

IMY:s prioriteringar 2026 – vad betyder de för din organisation?
Läs mer