GDPR och adress-data — vad du måste tänka på

Adresser kan vara personuppgifter. Här är vad det betyder.

Uppdaterad 2026-05-19

När en adress är persondata

En adress är personuppgift så snart den är kopplad till en specifik person — direkt (namn) eller indirekt (kombination som identifierar). Bara själva adressen som geografisk plats är inte persondata.

Exempel: - ❌ "Storgatan 1, Stockholm" + "Anna Andersson" → personuppgift - ❌ "Storgatan 1, Stockholm" + ip-adress + besökstid → kan identifiera → personuppgift - ✅ "Storgatan 1, Stockholm" som enbart geografisk plats i en karta → INTE personuppgift

Natomrade-API:s position

API:t tar emot adresser men sparar dem inte kopplade till identitet. Vi loggar requesten i api_usage med IP-adress och request, men:

  • IP-adresser anonymiseras efter 90 dagar
  • Requesten loggas för rate limit-spårning, inte profilering
  • Vi säljer inte data, vi aggregerar inte profiler

Som integratör — ditt ansvar

Om du använder natomrade-API:t för att berika kundregister (kund + deras adress + deras nätägare), då hanterar du persondata och behöver:

  1. Laglig grund enligt GDPR (samtycke / avtal / berättigat intresse)
  2. Personuppgiftsbehandling-registrering internt
  3. Personuppgiftsbiträdesavtal med natomrade om vi anses biträde (vi är troligen inte personuppgiftsbiträde — vi gör bara uppslag, inte lagring av identitet)

Pseudonymisering vid bulk-uppslag

Vid batch-import av många adresser, skicka bara adressen — inte namn/personnummer. Då är vår sida av ekvationen inte persondata.

# OK
api.lookup(postnr="11151")

# OK
api.lookup(adress="Storgatan 1", ort="Stockholm")

# UNDVIK (inte standard, vi gör inget med det)
api.lookup(adress="Storgatan 1", ort="Stockholm", customer_name="Anna")

Loggningspolicy hos natomrade

Vi loggar: - IP-adress (anonymiseras efter 90 dagar) - Endpoint - Query-params - Response status + latens - API-nyckel-ID (om någon)

Vi loggar INTE: - Response body (= ditt sökresultat) - Användarens namn - Cookies eller browser-fingerprints

Vid incidents

Vi följer artikel 33 GDPR — anmäler dataintrång till IMY inom 72 timmar och kontaktar berörda inom rimlig tid.