IMY:s tillsyns- och vägledningsprioriteringar under 2025

• 16 mars 2025

Integritetsskyddsmyndigheten (IMY) har presenterat sina tillsyns- och vägledningsprioriteringar för 2025. Myndigheten pekar ut vilka områden som kommer granskas särskilt noggrant – och var vägledning ska förstärkas. För alla som är personuppgiftsansvariga eller biträden enligt dataskyddsförordningen (GDPR) innebär detta ett viktigt tillfälle att säkra regelefterlevnaden.

Här sammanfattar vi de prioriterade områdena – och vad de innebär för verksamheter som behandlar personuppgifter.

Personuppgiftsbehandling i arbetslivet

Behandling av anställdas personuppgifter är under 2024 ett fokusområde för IMY. De pekar på det ojämna balansförhållandet mellan arbetsgivare och arbetstagare som skäl till särskilt fokus mot arbetslivet. Det gäller bland annat:

  • Övervakning av anställda med ny teknik.
  • Positionsdata och kameraövervakning.
  • Bakgrundskontroller och behandling av uppgifter om lagöverträdelser.

Sådana kontroller medför ofta betydande integritetsrisker. IMY kopplar detta fokusområde särskilt till läget i omvärlden, hybridarbete och de möjligheter till övervakning som uppstått genom användning av ny billig teknik.

AI och behandling av personuppgifter

AI är integrerat i allt fler tjänster, både offentligt och privat. IMY signalerar att AI-systemens användning av personuppgifter kommer att granskas – särskilt i känsliga miljöer som vård och omsorg. Viktiga frågor gäller:

  • Hur tränas AI-system på personuppgifter?
  • Vilken rättslig grund används?
  • Hur säkras transparens och rättigheter?

IMY fortsätter erbjuda stöd genom sin regulatoriska sandlåda, men betonar också att tillsynen inom AI ökar under 2025.

Digitalisering i vård och omsorg

Riksrevisionen har pekat på brister i informationssäkerheten inom regioner och kommuner. IMY instämmer och gör dataskydd i vård och omsorg till en särskild tillsynsprioritering. Riskerna rör både:

  • Patientsäkerhet.
  • Förtroendet för vården.
  • Skyddet av känsliga uppgifter.

Enligt IMY behöver ledningsstrukturer och säkerhetsrutiner stärkas. Myndigheten kommer följa upp detta under innevarande år.

Kamerabevakning och ny lagstiftning

En ny kamerabevakningslag träder i kraft våren 2025. Den innebär att tillståndsplikten upphör – vilket flyttar ansvaret till den bevakande aktören. Det innebär bland annat:

  • Dokumenterad intresseavvägning krävs.
  • Förteckning över all bevakning måste föras.
  • >Avvägningen ska kunna visas upp vid tillsyn.

IMY kommer både ge vägledning och genomföra tillsyn inom detta område.

Barn och ungas integritet

Barn är särskilt skyddsvärda enligt GDPR – och IMY ser ett behov av ökad kunskap bland både barn, vårdnadshavare och tjänsteleverantörer. Fokusområden är:

  • Algoritmstyrt innehåll på plattformar.
  • Risker vid bilddelning och kommunikation.
  • Vuxnas kontaktsökande för exempelvis rekrytering för brott.

IMY kommer ta fram förstärkt vägledning till barn, unga och deras vårdnadshavare samt fortsätta arbeta för att digitala tjänster ska ta större ansvar.

Så bör du agera som personuppgiftsansvarig

Om du ansvarar för behandling av personuppgifter inom något av de prioriterade områdena bör du:

  • Gå igenom era processer för integritetsskydd – särskilt i relation till AI, övervakning och känsliga uppgifter.
  • Säkerställa att rättsliga grunder dokumenterats och kommunicerats.
  • Se över hur kamerabevakning hanteras.
  • Uppdatera intern dokumentation och utbildning, i synnerhet inom HR och användandet av AI.

Morling Consulting ger praktisk hjälp om GDPR

På Morling Consulting stöttar våra GDPR-specialister företag med att tolka och omsätta dataskyddsförordningens krav i praktiken. Vi kan hjälpa er:

  • Genomföra gap-analyser mot IMY:s tillsynsfokus.
  • Uppdatera er dokumentation inför 2025.
  • Bedöma rättsliga grunder, samtycke och risker.
  • Förbereda inför eventuell tillsyn eller granskning.

Vi tar gärna en dialog och pratar närmare om hur vi kan hjälpa er med GDPR!