Krav på cookie-samtycke i Sverige 2026: Vad IMY förväntar sig
Integritetsskyddsmyndigheten (IMY) har under 2025 och 2026 genomfört en rad tillsynsärenden kopplade till cookie-samtycke. Kraven har blivit tydligare, och konsekvenserna för de som inte följer dem har blivit kännbara. Här är vad som gäller.
Bakgrund: Varför cookie-samtycke är en het fråga
Sverige var länge ett land där tillsynen av cookie-regler var relativt mild jämfört med exempelvis Frankrike (CNIL) och Österrike (DSB). Det har förändrats. IMY har under de senaste 18 månaderna utfärdat sanktionsavgifter mot flera svenska företag för bristande samtycke vid spårning och analys.
Grunden är enkel: enligt GDPR artikel 6(1)(a) och ePrivacy-direktivet krävs informerat, aktivt samtycke innan personuppgifter behandlas för ändamål som analys, marknadsföring och spårning. I praktiken innebär det att inga cookies eller skript som samlar personuppgifter får laddas innan besökaren uttryckligen godkänner.
Vad IMY kräver: 7 konkreta punkter
1. Samtycke före laddning
Inga analys- eller marknadsföringsskript får köras innan besökaren har gett sitt samtycke. Det räcker inte att visa en banderoll. Skripten måste vara tekniskt blockerade tills samtycke registrerats.
2. Aktivt val, inte förkryssade rutor
Samtycke måste bygga på en aktiv handling. Förkryssade kryssrutor eller "genom att fortsätta surfa godkänner du"-formuleringar uppfyller inte kraven. Besökaren måste göra ett tydligt val.
3. Lika enkelt att neka som att godkänna
Knappen för att neka samtycke måste vara lika framträdande som knappen för att godkänna. Designtrick som gör "Acceptera alla" stor och grön medan "Neka" är dold i grå text räknas som vilseledande.
4. Granulära val per ändamål
Besökaren ska kunna välja samtycke per kategori: nödvändiga cookies, analys, marknadsföring och tredjepartstjänster. "Allt eller inget" är inte tillräckligt.
5. Möjlighet att ändra eller återkalla samtycke
Det måste vara enkelt för besökaren att ändra sitt val i efterhand. En tillgänglig länk i sidfoten eller en persistent ikon som öppnar samtyckeshanteraren uppfyller kravet.
6. Dokumenterat samtycke
Företaget måste kunna visa att samtycke faktiskt gavs. Det innebär att tidpunkt, omfattning och metod för samtycket behöver loggas och sparas.
7. Tydlig information om vad samtycket gäller
Banderollen måste förklara vilka cookies som sätts, av vem och i vilket syfte, med länk till en fullständig cookiepolicy.
Vanliga överträdelser vi hittar
När vi skannar svenska webbplatser med SVAR ser vi samma mönster om och om igen:
| Överträdelse | Hur vanligt | Riskgrad |
|---|---|---|
| Google Analytics laddas före samtycke | ~60 % av webbplatser | Hög |
| Meta Pixel aktiveras utan samtycke | ~35 % av webbplatser | Hög |
| Förkryssade samtyckerutor | ~25 % av webbplatser | Medel |
| "Neka"-knapp svår att hitta | ~40 % av webbplatser | Medel |
| Ingen möjlighet att återkalla samtycke | ~20 % av webbplatser | Medel |
Hur CookieProof löser problemet
Vi byggde CookieProof specifikt för att uppfylla IMY:s krav utan att kompromissa med användarupplevelsen. Så här fungerar det:
- Teknisk blockering: Alla tredjepartsskript blockeras i DOM tills samtycke registreras. Inte bara visuellt dolt, utan tekniskt förhindrat.
- Granulära kategorier: Besökaren väljer per ändamål: nödvändiga, analys, marknadsföring.
- Likvärdiga knappar: "Godkänn" och "Neka" har samma visuella vikt.
- Samtyckeslogg: Varje samtycke loggas med tidsstämpel, IP-hash och omfattning för revisionsspårning.
- Återkallelse: Besökaren kan ändra sitt val när som helst via en tillgänglig ikon.
CookieProof är egenhostbart, vilket innebär att ingen besökardata lämnar din infrastruktur. Samtyckesdata lagras lokalt, inte hos en tredje part.
Sanktionsavgifter: Vad riskerar du?
IMY har utfärdat sanktionsavgifter på mellan 12 000 kr och 12 miljoner kr för överträdelser relaterade till cookie-samtycke och spårning. Nivån beror på företagets storlek, överträdelsens allvar och om den var uppsåtlig.
Europeisk kontext
CNIL i Frankrike bötfällde Google med 150 miljoner EUR och Facebook med 60 miljoner EUR för bristande cookie-samtycke. Europeiska dataskyddsstyrelsen (EDPB) och skandinaviska tillsynsmyndigheter följer samma tolkningslinje, om än med lägre belopp. Trenden är tydlig: böterna ökar.
Förutom direkta böter tillkommer risken för krav på rättelse, negativ publicitet och potentiella skadeståndsanspråk från registrerade.
Checklista: Uppfyller din webbplats kraven?
- ☐ Inga analys- eller marknadsföringsskript körs före samtycke
- ☐ Samtycke ges genom aktiv handling (inga förkryssade rutor)
- ☐ "Neka"-knappen är lika framträdande som "Godkänn"
- ☐ Besökaren kan välja samtycke per kategori
- ☐ Det finns en tydlig möjlighet att ändra eller återkalla samtycke
- ☐ Samtycke loggas med tidsstämpel och omfattning
- ☐ Cookiepolicyn listar alla cookies med ändamål och varaktighet
- ☐ Inga Google Fonts eller CDN-resurser laddas före samtycke
Osäker på om din webbplats uppfyller kraven?
Vår SVAR-skanner kontrollerar automatiskt om din webbplats laddar spårningsskript före samtycke, om banderollen uppfyller kraven och om tredjepartsdata överförs utan rättslig grund. Helt kostnadsfritt.