Måndag morgon, 07:45. En av dina montörer ringer från bygget: han har fått veta att appen registrerar positionen, och han vill veta om det är lagligt. Du vet att det är det, men du har inget papper som visar det, och just då förvandlas ett vettigt tekniskt val till ett juridiskt problem.
En integritetspolicy om geolokalisering av anställda är inget frivilligt tillägg. Det är en skyldighet enligt GDPR, artiklarna 13 och 14, svart på vitt. Använder du en app med GPS för stämpling, uppdragshantering eller närvarokontroll, ska varje anställd få ett skriftligt dokument, innan systemet slås på, inte efter att någon börjat undra.
Vad IMY säger om geolokalisering av arbetstagare
Integritetsskyddsmyndigheten, IMY, har vid flera tillfällen tagit ställning till positionsdata om anställda via mobiltelefon. Kärnan är den här: en arbetsgivare får samla in positionsuppgifter, men bara om det är proportionerligt, öppet redovisat och begränsat till det som verkligen behövs. Översatt till praktik betyder det tre saker, dels att det inte får ske någon löpande spårning, positionen läses av vid arbetspassets början och slut, inte var femte minut, dels att den anställde ska veta exakt vad som samlas in, varför, hur länge och vem som ser det, och dels att uppgifterna inte får användas för andra ändamål än de som angetts.
Om mallen i PDF bara är papper som åldras, testa fjorton dagar med policyn som skapas och skrivs under automatiskt.
Inget kreditkort, klart på 2 minuter.
Allt det här ska finnas i skrift, och integritetspolicyn är dokumentet som formaliserar det. Utan policy blir även ett fullt lagligt system möjligt att ifrågasätta, och om en granskning kommer, från Arbetsmiljöverket eller från IMY, är det första de ber om just det pappret.
De 7 obligatoriska delarna i en GPS-policy
GDPR lämnar inget utrymme för tolkning kring vad policyn ska innehålla. Artikel 13 räknar upp de uppgifter som den personuppgiftsansvarige är skyldig att lämna, och för geolokalisering av anställda blir det sju konkreta punkter. Först identiteten på den personuppgiftsansvarige, alltså du som företag, med fullständiga kontaktuppgifter, sedan kontaktuppgifter till dataskyddsombudet om du har utsett ett, därefter de specifika ändamålen med behandlingen, alltså varför du samlar in GPS-positionen, och det räcker inte att skriva “av verksamhetsskäl” utan du ska vara precis, vidare den rättsliga grunden, som för de flesta mindre företag är arbetsgivarens berättigade intresse men som måste motiveras, sedan mottagarna av uppgifterna, vem som får tillgång inklusive eventuella molnleverantörer, därefter lagringstiden, hur länge du sparar koordinaterna enligt principen om uppgiftsminimering, och slutligen den anställdes rättigheter, alltså tillgång, rättelse, radering, begränsning, invändning, dataportabilitet och klagomål till IMY.
Det låter långt, men med en välbyggd mall blir det ett dokument på två sidor. Så här ser det ut.
Mall för GPS-integritetspolicy, version 2026
Det du hittar här nedanför är en komplett mall, i linje med IMY:s vägledning och förenlig med GDPR. Anpassa den till ditt företag genom att byta ut fälten inom hakparentes.
INFORMATION OM BEHANDLING AV PERSONUPPGIFTER
Geolokalisering via mobil enhet i tjänsten
enligt art. 13-14 i EU:s förordning 2016/679 (GDPR)
Personuppgiftsansvarig: [Företagsnamn], med säte i [adress], organisationsnummer [nummer], företrätt av den behöriga firmatecknaren [namn efternamn]. Kontakt: [e-post/telefon].
Dataskyddsombud (DPO): [Namn efternamn / externt bolag], nås på adressen [e-post DPO]. (Ange “ej utsett” om det inte krävs för verksamheten.)
Ändamål med behandlingen: Positionsuppgifterna samlas in uteslutande för att (a) registrera närvaro vid in- och utpassering på arbetsplatserna, (b) bekräfta genomförandet av insatser hos kunder, och (c) sköta den operativa hanteringen av uppdrag och tilldelningar i fält. Positionen hämtas endast vid stämplingen (arbetspassets eller insatsens början och slut) och aldrig löpande.
Rättslig grund: Behandlingen vilar på den personuppgiftsansvariges berättigade intresse (art. 6.1 f i GDPR) av en korrekt organisation av arbetet och skydd av företagets tillgångar, samt på fullgörandet av anställningsavtalet (art. 6.1 b i GDPR). Intresseavvägningen har gjorts med hänsyn till IMY:s vägledning om övervakning på arbetsplatsen.
Uppgifter som behandlas: GPS-koordinater (latitud, longitud) vid stämpling, datum och tid, enhetens identifierare, operatörens identifierare.






