Hoppa till huvudinnehåll

Personuppgiftslagen och GDPR vid kreditkortsansökan

Personuppgiftslagen (PuL) upphävdes 25 maj 2018 och ersattes av GDPR plus den svenska kompletteringslagen 2018:218. Tillsammans styr regelverken hur kortutgivare får hantera identitet, kreditdata och kontaktuppgifter, vilka rättigheter du har som kund och hur ett dataintrång ska anmälas till Integritetsskyddsmyndigheten.

·
· Uppdaterad maj 2026

Personuppgiftslagen och GDPR vid kreditkortsansökan

När ersattes personuppgiftslagen av GDPR?

Personuppgiftslagen (PuL, 1998:204) upphävdes den 25 maj 2018 och ersattes samma dag av EU:s dataskyddsförordning GDPR (förordning 2016/679) tillsammans med den svenska kompletteringslagen (2018:218). När texter på äldre svenska bank- och finanssidor fortfarande nämner “personuppgiftslagen” handlar det därför om ett föråldrat begrepp som ersatts av GDPR i praktisk tillämpning sedan 2018. Tillsynsmyndigheten heter sedan 2021 Integritetsskyddsmyndigheten (IMY) och var innan dess Datainspektionen.

Den nya regimen är strängare än den gamla på fyra punkter: bötesnivåerna är högre (upp till 4 procent av global årsomsättning eller 20 miljoner EUR), kraven på dokumentation och samtycke är mer detaljerade, dataintrång ska anmälas inom 72 timmar och du som kund har fler rättigheter inklusive rätten till dataportabilitet och rätten att bli glömd. För kreditio.se beskrivs hanteringen av besökarnas data i integritetspolicyn.

Varför är GDPR viktig för kreditkort?

GDPR är extra relevant för kreditkort eftersom kortutgivare behandlar några av de mest känsliga personuppgifterna i privatpersoners liv: personnummer, inkomstdata, betalningshistorik, transaktionsdata och i vissa fall hälsouppgifter (vid ansökan om reseförsäkring kopplad till kortet). All denna data måste behandlas på rättslig grund och med tydlig information till kunden.

För dig som kortinnehavare innebär det att kortutgivaren är skyldig att informera om vilka personuppgifter de samlar in, varför, hur länge de sparas och vilka tredje parter som får tillgång (exempelvis UC, Bisnode, Mastercard- eller Visa-nätet). Informationen finns i en personuppgiftspolicy som ska vara tillgänglig innan du ansöker.

Vilka regler gäller för personuppgifter enligt GDPR?

GDPR ställer sex grundkrav på all behandling av personuppgifter, och kortutgivaren måste följa samtliga för varje uppgift de hanterar om dig. Listan nedan visar de sex principerna och vad de betyder konkret vid hantering av kreditkortsdata.

  • Laglighet, korrekthet och öppenhet: Behandlingen måste ha en rättslig grund (samtycke, avtal, rättslig förpliktelse, intresseavvägning) och du ska informeras om hur dina uppgifter används. Vid kreditkort är vanliga grunder “fullgörande av avtal” för transaktionsdata och “rättslig förpliktelse” för KYC-data enligt penningtvättlagen.
  • Ändamålsbegränsning: Uppgifter som samlats in för ett specifikt ändamål får inte användas för andra ändamål utan ny grund. Inkomstuppgifter du lämnat för kreditprövning får inte användas för marknadsföring utan separat samtycke.
  • Uppgiftsminimering: Endast de uppgifter som faktiskt behövs för ändamålet får samlas in. En kortutgivare får inte fråga efter information som saknar betydelse för kreditbeslutet, exempelvis sjukdomshistorik eller religion.
  • Korrekthet: Uppgifterna ska vara riktiga och uppdaterade. Du har rätt att begära rättelse om kortutgivaren har felaktig information om din inkomst, adress eller civilstånd.
  • Lagringsminimering: Uppgifter får bara sparas så länge de behövs för ändamålet. Transaktionsdata sparas vanligen 7 år enligt bokföringslagen, KYC-data 5 år enligt penningtvättlagen, och marknadsföringsdata raderas vid avregistrering.
  • Integritet och konfidentialitet: Uppgifterna måste skyddas tekniskt och organisatoriskt mot obehörig åtkomst, förlust eller manipulation. Banker och kortutgivare är skyldiga att ha kryptering, åtkomstkontroll och loggning av all hantering av personuppgifter.

Vilken rättslig grund använder kortutgivare?

Kortutgivare använder fyra rättsliga grunder beroende på datatyp: avtalsfullgörande för data som behövs för kortets funktion (kontonummer, transaktioner), rättslig förpliktelse för KYC-data och skatterapportering, intresseavvägning för bedrägeribekämpning och samtycke för marknadsföring och nyhetsbrev. Du har rätt att när som helst återkalla samtycke för marknadsföring, men inte för data som behövs för avtalets fullgörande.

Vid kreditprövning hänvisar kortutgivaren till “rättslig förpliktelse” enligt konsumentkreditlagen, vilket innebär att du inte kan vägra kreditprövning men har rätt att se vilken data UC eller Bisnode lämnat till banken. Kreditupplysningar ska du få en kopia av automatiskt enligt kreditupplysningslagen (1973:1173).

Vilka rättigheter ger GDPR kortinnehavare?

GDPR ger dig åtta konkreta rättigheter gentemot kortutgivaren och alla rättigheter ska kunna utövas kostnadsfritt. Den vanligaste är rätten till tillgång (även kallad registerutdrag), som låter dig se exakt vilka personuppgifter en kortutgivare har om dig.

Rätt till registerutdrag och dataportabilitet

Du har rätt att få en kopia av all data kortutgivaren har om dig, inom 30 dagar efter begäran och utan kostnad. Registerutdraget ska innehålla vilka uppgifter som behandlas, varför, hur länge de sparas, vem som tar del av dem och var datan kommer ifrån. De flesta svenska kortutgivare har en dataskyddsblankett på sin hemsida för enkel beställning.

Dataportabilitet är en relaterad rättighet som låter dig flytta din data till en annan kortutgivare i ett strukturerat och maskinläsbart format (vanligen JSON eller CSV). Det är användbart om du byter bank och vill ta med dig transaktionshistorik. Däremot omfattar dataportabilitet inte data som tagits fram av banken själv, exempelvis kreditbedömningar eller riskbetyg.

Rätt till radering och rättelse

Du har rätt att begära att felaktiga uppgifter rättas och att uppgifter som inte längre behövs raderas. Rätten att bli glömd är dock inte absolut, eftersom kortutgivaren har lagliga skyldigheter att spara viss data: 7 år för bokföring, 5 år för KYC, 10 år för PEP-data. Marknadsföringsdata kan däremot raderas omedelbart vid begäran.

Vid avslutat kundförhållande raderas data som inte är lagligt skyldiga att spara automatiskt inom 90 dagar. Du kan begära en bekräftelse på att radering skett, men data som anonymiserats genom borttagning av identifieringsuppgifter behöver inte räknas som personuppgifter och kan finnas kvar i statistik och analyser.

Vad händer om GDPR inte följs?

Om en kortutgivare bryter mot GDPR kan tre saker hända: Integritetsskyddsmyndigheten utfärdar en sanktionsavgift, kunden kan kräva skadestånd och dataintrånget måste anmälas till IMY inom 72 timmar. Sanktionsavgifterna kan uppgå till 4 procent av global årsomsättning eller 20 miljoner EUR (cirka 230 000 000 kr 2026), beroende på vilket belopp som är högst.

För svenska banker har IMY utfärdat sanktioner i flera fall sedan 2018, ofta vid otillräcklig kryptering, för bred datadelning till tredje part eller bristande information till kunderna. Sanktionerna har legat mellan 5 000 000 och 50 000 000 kr per fall och offentliggörs på IMY:s hemsida.

Hur anmäler du ett dataintrång eller GDPR-brott?

Du anmäler ett misstänkt GDPR-brott i tre steg: först kontaktar du kortutgivarens dataskyddsombud (DPO) skriftligt, sedan kan du anmäla till Integritetsskyddsmyndigheten via deras webbformulär och i sista hand stämma kortutgivaren i tingsrätten för skadestånd. IMY-anmälan är gratis och kräver att du beskriver vad du anser felaktigt samt vilka bevis du har.

Vid dataintrång där dina uppgifter läckt ut är kortutgivaren själv skyldig att informera dig inom rimlig tid om läckan kan medföra hög risk för dig, vanligen via e-post eller registrerat brev. Du har då rätt att kräva ersättning för faktisk skada och kan i vissa fall även få ideell ersättning för integritetskränkning.

Hur skyddas dina kortuppgifter tekniskt?

Dina kortuppgifter skyddas av fyra tekniska kontroller som GDPR ställer krav på: end-to-end-kryptering, åtkomstkontroll, loggning och pseudonymisering. Vid betalning på nätet täcks transaktionen av PSD2-direktivet med 3D Secure-verifiering via BankID, vilket innebär att kortnumret aldrig syns i klartext för butiken. Större kortutgivare använder också tokenisering där det riktiga kortnumret ersätts av en engångskod vid varje köp.

För dig som kortinnehavare är det viktigaste att aktivera tvåstegsverifiering på kortets app, hålla operativsystemet uppdaterat och aldrig dela CVC-koden. Modernt 3D Secure-protokoll kräver BankID-bekräftelse på köp över 30 EUR enligt PSD2 och är obligatoriskt på alla EU-utgivna kort sedan 2019. Identifieringsplikten enligt penningtvättlagen innebär att utgivaren samlar in personnummer, taxerad inkomst, befintliga krediter och eventuella betalningsanmärkningar.

Vanliga frågor och svar

Q.01

Hur lång tid har banken på sig att svara på ett registerutdrag?

Banken har 30 dagar på sig att lämna ett registerutdrag enligt GDPR artikel 12. Tiden kan förlängas med ytterligare 60 dagar om begäran är komplex, men du ska informeras om förlängningen inom de första 30 dagarna. Registerutdraget är gratis vid den första begäran per år och får kosta en rimlig avgift vid återkommande begäranden.

Q.02

Vad ska jag göra om mina kortuppgifter läckt?

Vid läcka ska du först spärra kortet via app eller bankens 24-timmarsservice, byta lösenord på alla anslutna konton och anmäla brott till polisen om du misstänker bedrägeri. Banken är därefter skyldig att informera dig formellt om läckan och du har rätt till ersättning för faktisk skada plus eventuellt ideellt skadestånd för integritetskränkning.

Q.03

Vad är skillnaden mellan dataskyddsombud och Integritetsskyddsmyndigheten?

Dataskyddsombudet (DPO) är en intern funktion hos kortutgivaren med ansvar för att GDPR följs i den egna verksamheten, medan Integritetsskyddsmyndigheten (IMY) är den externa svenska tillsynsmyndigheten. Du kontaktar först DPO när du har klagomål, och sedan IMY om DPO inte löser ärendet eller om du anser att kortutgivaren bryter mot lagen.

Q.04

Får kortutgivaren dela mina uppgifter med tredje part?

Ja, men bara med rättslig grund och tydlig information till dig. Vanliga tredje parter är UC och Bisnode (kreditupplysningar), Mastercard och Visa (transaktionsnätverk), Skatteverket (rapportering enligt skatteförfarandelagen) och eventuella samarbetspartners som hyrbilsföretag eller försäkringsbolag. Marknadsföringssamarbeten kräver alltid ditt samtycke separat.

Q.05

Får banken neka mig kreditkort om jag inte godkänner deras integritetspolicy?

Ja, banken får neka kreditkortsansökan om du inte godkänner den behandling av personuppgifter som krävs enligt avtalsfullgörande och rättslig förpliktelse. Däremot får banken inte villkora kortet med samtycke till marknadsföring, eftersom det inte är nödvändigt för avtalets fullgörande.

Q.06

Kan jag som kund kräva att kortutgivaren använder mer skyddande teknik?

Nej, du kan inte kräva specifika tekniska lösningar utöver vad GDPR och PSD2 kräver, men du har rätt att få veta vilka skyddsåtgärder som används. Om kortutgivaren bedöms ha bristande säkerhet kan IMY föreläggar förbättringar, och vid faktiskt dataintrång kan du kräva ersättning för skada.

Författat av
Oliver Ivanovic
Oliver Ivanovic

Grundare & innehållsansvarig

Oliver Ivanovic är grundare och skribent på Kreditio.se. Han har över 5 års erfarenhet av att jämföra och recensera kreditkort på den svenska marknaden, och har skrivit de allra flesta sidorna här. Hans intresse för finans och privatekonomi har gett honom djup förståelse för fördelar och nackdelar med olika kort.

Läs mer om Oliver Uppdaterad: 8 maj 2026
Granskad av
Tomas Andersson
Tomas Andersson Bonusexpert

Tomas Andersson är bonusexpert på Kreditio.se sedan våren 2022. Han har i över 10 år drivit en blogg om kreditkortsbelöningar och har även arbetat som konsult åt stora företag med deras lojalitetsprogram. Tomas har en kandidatexamen i ekonomi från Copenhagen Business School och har enligt egna beräkningar sparat över 100 000 kronor genom kreditkortsanvändning.

Läs mer om Tomas