Gästregister och hotellanmälan 2026: komplett guide för hotell och pensionat
Sverige har en av Europas äldsta lagar om gästregister, fortfarande i kraft sedan 1966: lagen om hotell- och pensionatsrörelse (1966:742). Lagen är fortfarande central för den som driver hotell, pensionat eller en verksamhet av liknande karaktär i Sverige. Den kräver att gästregister förs och att det hålls tillgängligt för polisen. Till skillnad från många andra europeiska länder har Sverige i dagsläget ingen centraliserad automatisk rapportering — registret ska finnas och tillgängliggöras på begäran. I den här guiden förklarar jag vad som ska registreras, hur GDPR påverkar lagring och radering och hur processen kan automatiseras med ett PMS.
Det rättsliga underlaget
Gästregister-skyldigheten i Sverige baseras på flera lagar som tillsammans utgör ramverket för hotellverksamheten:
- Lagen om hotell- och pensionatsrörelse (1966:742) — huvudlagen, reglerar tillstånd, gästregister och polisens tillgång
- Förordningen om hotell- och pensionatsrörelse (1966:743) — specificerar innehållet i gästregistret
- Utlänningslagen (2005:716) — ger polisen ytterligare befogenheter att begära information om utländska gäster
- Dataskyddslagen (2018:218) och GDPR — sätter ramar för behandling, lagring och radering av personuppgifter
- Bokföringslagen (1999:1078) — kräver dokumentation av transaktioner i 7 år, men gästregistret i sig är inte transaktionsdokumentation
Den praktiska tillämpningen utförs av Polismyndigheten, som har behörighet att genomföra kontroller när som helst. I vissa fall kan även länsstyrelsen vara involverad (för tillståndsprövning) och Integritetsskyddsmyndigheten (IMY) vid GDPR-frågor.
Tillståndsplikt och 9-bäddsgränsen
En viktig skiljelinje i svensk lag är den så kallade 9-bäddsgränsen. Enligt lagen 1966:742 är verksamheten tillståndspliktig när:
- Rörelsen har 9 eller fler bäddar i egentliga gästrum
- Rörelsen erbjuder minst 5 egentliga gästrum
- Rörelsen har karaktär av "hotell eller pensionat"
Under 9-bäddsgränsen (t.ex. ett litet B&B med 3-4 gästrum i en familjebostad) behövs inget tillstånd från polisen, men gästregisterskyldigheten gäller ändå om verksamheten är kommersiell. Detta är en viktig distinktion för Airbnb-utleire som vuxit under senaste åren — de flesta ligger under 9-bäddsgränsen och behöver inte polistilstånd, men måste fortfarande föra register.
Tillståndsprövningen görs av Polismyndigheten i det län där verksamheten ligger. Ansökan kostar 1 200 kr (2026) och innebär kontroll av:
- Ägarens/rörelseutövarens personliga lämplighet (ingen kriminalitet relevant för uppdraget)
- Lokalens säkerhet (brandsäkerhet, utrymningsvägar)
- Hälsoregler (sanitet, livsmedelshantering om frukost serveras)
- Bokföringen och registerrutinerna
Vad måste registreras
Enligt förordningen 1966:743 måste gästregistret innehålla följande för varje gäst:
| Uppgift | Beskrivning |
|---|---|
| För- och efternamn | Exakt som i legitimationshandlingen |
| Yrke eller sysselsättning | Frivillig enligt praxis, men finns kvar i lagen från 1966 |
| Hemadress | Gata, postnummer, ort, land |
| Medborgarskap | ISO 3166-1 landkod |
| Personnummer (svenskar) / passnummer (utlänningar) | YYYYMMDD-XXXX för svenskar, fullständigt passnummer för utlänningar |
| Ankomstdatum (incheckning) | Datum och helst klockslag |
| Avresedatum (utcheckning) | Planerat eller faktiskt |
| Rumsnummer | Var gästen bor |
Observera att "yrke" fortfarande finns kvar i lagen från 1966, även om det i praktiken sällan efterfrågas och ibland betraktas som överflödigt enligt GDPR:s dataminimering. Polisens kontrollanter brukar inte anmärka på avsaknad av yrkesuppgift, men det är formellt sett en del av registerskyldigheten.
Bevarandetid och radering enligt GDPR
Lagen 1966:742 anger inte exakt bevarandetid för gästregistret, vilket är en anomali jämfört med nyare EU-lagstiftning. I praxis gäller följande:
- Minimum 1 år från incheckning, i enlighet med allmän rekommendation från Polismyndigheten
- GDPR (Article 5(1)(e)) kräver att personuppgifter endast bevaras så länge som är nödvändigt för ändamålet
- Integritetsskyddsmyndigheten (IMY) har i flera beslut fastslagit att 1 års lagring är tillräckligt för gästregister i normalfall
- Efter 1 år ska uppgifterna raderas automatiskt, såvida inte det finns annat rättsligt grund för längre lagring (t.ex. pågående utredning)
Det är en vanlig missuppfattning att gästregistret måste lagras lika länge som bokföringsmaterialet (7 år enligt bokföringslagen). Detta är fel — gästregistret är en separat handling som inte är bokföringsdokument. Bokföringen ska innehålla fakturor och kvittensunderlag, inte personnummer och adresser till alla gäster.
Polisens tillgång till registret
Till skillnad från många andra europeiska länder har Sverige ingen daglig automatisk rapportering av gäster till polisen. Gästdata lämnas endast ut på specifik begäran från Polismyndigheten. Denna begäran kan komma:
- Från lokal polis i samband med utredning av brott
- Från Säkerhetspolisen (Säpo) vid säkerhetsärenden
- Från Gränspolisen vid utlänningsärenden
- Från Migrationsverket i samband med asylärenden eller utvisningsbeslut
Begäran måste i princip vara skriftlig (men kan vara muntlig vid akuta fall, exempelvis pågående brottsutredning). Hotellet är skyldigt att svara utan onödigt dröjsmål, vilket i praxis betyder samma dag eller nästa arbetsdag. Vägran att lämna ut information till polisen är ett brott mot lagen 1966:742 och kan leda till böter och i extrema fall tillståndets indragning.
Praktiska fall
I praktiken händer det flera gånger per år att polisen kontaktar hotell med förfrågningar:
- Efterlyst person: polisen vill veta om en specifik person har övernattat och när
- Gruppkontroll: när en grupp utlänningar misstänks ha utnyttjat hotellet för olaglig aktivitet
- Spårning av rörelse: när polisen behöver fastställa var en misstänkt befann sig ett visst datum
- Säkerhetskontroll: vid statsbesök eller större evenemang kontrollerar polisen alla gäster på centrala hotell
De flesta hotellchefer upplever 2-5 sådana förfrågningar per år. Om PMS-systemet har en bra sökfunktion och rapporteringsmodul tar det bara några minuter att svara. Om registret är på papper kan det ta timmar att leta igenom flera årspärmar.
Böter och sanktioner
Lagen 1966:742 har sanktioner som till stor del förändrats sedan 1966, men de grundläggande reglerna finns kvar:
| Överträdelse | Sanktion |
|---|---|
| Avsaknad av gästregister | vägledande ca. 5 000 – 20 000 kr* |
| Ofullständigt eller felaktigt register | vägledande ca. 2 000 – 10 000 kr* |
| Vägran att lämna ut info till polisen | vägledande ca. 10 000 – 30 000 kr* + möjlig tillståndsindragning |
| GDPR-brott (för lång lagring eller obehörig åtkomst) | IMY:s sanktionsavgifter enligt GDPR artikel 83 |
| Verksamhet utan polistillstånd (över 9 bäddar) | vägledande ca. 15 000 – 50 000 kr* + krav på ansökan |
| Upprepad överträdelse | sanktionen kan skärpas |
Utöver böterna finns det en mer subtil men viktig konsekvens: om polisen upptäcker att ett hotell inte för register korrekt, kan det påverka förnyelsen av tillståndet vid nästa prövning. Tillstånd för hotellverksamhet måste förnyas periodvis (vanligtvis vart 5:e år i praktiken, även om lagen inte specifikt föreskriver detta), och en negativ anmärkning i polisregistret kan göra förnyelsen svårare.
Automatisering med PMS
Manuell hantering av gästregistret på papper eller i Excel är fortfarande vanligt i små svenska B&B och familjeägda pensionat, men det är både tidskrävande och utsatt för fel. Ett modernt PMS automatiserar:
- OCR på legitimation: vid incheckning fotograferar du gästens ID-kort, körkort eller pass, och PMS:et fyller automatiskt i alla nödvändiga fält (namn, personnummer/passnummer, medborgarskap, adress)
- Validering av svenska personnummer: PMS:et kontrollerar att personnumret är giltigt via Luhn-algoritmen och upptäcker skrivfel automatiskt
- Digital gästregister: kronologisk registrering med sök-, filter- och exportfunktioner till PDF eller Excel
- Automatisk radering efter 12 månader: gästdata markeras för automatisk borttagning, i enlighet med GDPR
- Snabb polisförfrågan-hantering: när polisen begär information genererar PMS en rapport på några sekunder, med komplett dokumentation av gästens vistelse
- Digital signatur på surfplatta: gästen signerar GDPR-samtycke direkt vid incheckningen, istället för pappersformulär
- GDPR-kompatibel lagring: krypterad databas, tvåfaktorsautentisering, audit-logg av all åtkomst
Gästregister med ett klick i Vezpa
Vezpa för gästregistret automatiskt, raderar personuppgifter efter 12 månader enligt GDPR och genererar polisrapporter på sekunder. OCR på svenska legitimationer, personnummer-validering, digital signatur. Slut på manuellt arbete.
Prova gratisVanliga frågor
Måste jag registrera även barn?
Formellt sett ja, men praxis tillåter förenklingar. För barn under 18 år som reser med sina föräldrar kan du nöja dig med att notera namn och ålder (utan personnummer för mycket små barn), medan föräldrarnas legitimation används som primär referens. För tonåringar (15-17 år) är det tillrådligt att registrera legitimationsnummer om de har eget ID-kort. Spädbarn behöver bara registreras som antal ("2 vuxna + 1 spädbarn").
Behöver jag registrera dagsgäster (utan övernattning)?
Nej. Skyldigheten gäller endast övernattande gäster. Dagsgäster (konferensdeltagare, spa-besökare, restauranggäster) behöver inte registreras, eftersom de inte faller under definitionen "hotell- eller pensionatsgäst" i lagen. Om en gäst bokar ett rum för en dag utan övernattning ("day use"), är registreringen inte obligatorisk men många hotell gör det ändå för enkelheten.
Kan jag lagra registret längre än 12 månader?
Endast med gästens explicita samtycke för annat ändamål (t.ex. marknadsföring eller CRM). För själva registerskyldigheten räcker 12 månader — efter det ska uppgifterna raderas. Om du vill spara data längre för lojalitetsprogram eller nyhetsbrev, ska detta grundas på separat frivilligt samtycke som kan dras tillbaka när som helst.
Vad händer om mina gästdata läckts på grund av en cyberattack?
GDPR Article 33 kräver att du rapporterar personuppgiftsincidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Om läckan sannolikt innebär hög risk för de registrerade (t.ex. stöld av personnummer som kan användas för identitetsstöld), måste även gästerna underrättas direkt. IMY:s sanktioner för GDPR-brott kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning. Det är därför kritiskt att PMS:et lagrar data krypterat och använder stark åtkomstkontroll (2FA, rollbaserad åtkomst, audit-logg).
Slutsats
Gästregister i Sverige är en av de äldsta regelverken i europeiskt hotellsammanhang, baserat på en lag från 1966 som fortfarande är i kraft. Samtidigt är det relativt enkelt jämfört med nyare system i andra EU-länder: ingen daglig central rapportering, bara en 12-månaders lokal lagring och tillgänglighet för polisen vid behov. Men kraven är tydliga: fullständiga uppgifter, GDPR-kompatibel lagring, automatisk radering och förmåga att snabbt svara på polisens förfrågningar.
Den goda nyheten är att stora delar av processen kan automatiseras med ett modernt PMS-system. Korrekt konfigurerat går gästregistret från minuter till sekunder per incheckning, och hantering av polisförfrågningar blir enklare.
Friskrivning: denna guide är av informativ karaktär och ersätter inte juridisk rådgivning. Exakta bötesbelopp och tillämpning kan ändras över tid och bero på behörig myndighet. Huvudkällor: lag (1966:742) om hotell- och pensionatsrörelse; förordning (1966:743); utlänningslagen (2005:716); dataskyddslagen (2018:218) och GDPR; riksdagen.se; Polismyndigheten (polisen.se); IMY (imy.se). Kontakta polisen eller en jurist för din specifika situation.
Belgique
България
Česko
Danmark
Deutschland
Ελλάδα
España
France
Hrvatska
Ireland
Ísland
Italia
Luxembourg
Magyarország
Nederland
Norge
Österreich
Polska
Portugal
România
Schweiz
Slovenija
Slovensko
Suomi
Sverige
United Kingdom