Integritetsskyddsmyndigheten (IMY) har inkluderat e-handel i sitt årliga tematiska granskningsprogram sedan 2022, och antalet offentliga tillsynsbeslut mot webbutiker ökar varje år. På EU-nivå har det genomsnittliga bötesbeloppet nästan fördubblats på två år. Skälet är strukturellt: webbutiker samlar stora mängder personuppgifter (betalning, adress, köphistorik) men är ofta juridiskt mindre mogna än stora plattformar. Resultatet: e-handel placerar sig högt på prioritetslistan för IMY:s årliga granskningsprogram.
Om du driver en webbutik är de följande sju felen de som systematiskt placerar webbplatser på IMY:s prioritetslista. Den här artikeln beskriver var och en med exakta juridiska referenser och konkreta åtgärder. Börja med att analysera din butik gratis med en efterlevnadsskanner för att identifiera dina luckor, följ sedan GDPR-handlingsplanen i 10 steg för att åtgärda dem.
Varför IMY särskilt riktar in sig på e-handel
Varje år publicerar IMY ett program av tematiska granskningar. Sedan 2022 finns e-handel alltid på listan, vid sidan av digital hälsa och direktmarknadsföring. Skälen är strukturella.
Volym: en genomsnittlig webbutik samlar in mer än 30 datakategorier per kund (identitet, betalning, surfbeteende, preferenser, geolokalisering). Multiplicerat med tiotusentals kunder är exponeringen betydande.
Spårbarhet i kundresan: tredjepartscookies, reklampixlar, retargeting, marketing automation. Varje tillagt verktyg försvagar samtyckesramverket.
Underentreprenad: mellan webbhotell, plattform (Shopify, WooCommerce, PrestaShop), betalningsförmedlare, e-postmarknadsföringsverktyg och scoringlösning, har en genomsnittlig webbutik mellan 8 och 15 personuppgiftsbiträden. Kartläggningen är sällan uppdaterad.
Internationella överföringar: Google Analytics, Mailchimp, Stripe, AWS — många tjänster värdade i USA kräver specifika kontraktuella garantier (standardavtalsklausuler, kompletterande åtgärder efter Schrems II).
Fel 1: Cookies utan giltigt uttryckligt samtycke
Det är det vanligaste felet — och det lättast upptäckbara utifrån. En cookiebanner måste uppfylla tre kumulativa krav (riktlinjer från Europeiska dataskyddsstyrelsen + IMY:s riktlinjer uppdaterade 2024):
- Frivilligt samtycke: att avslå måste vara lika enkelt som att acceptera. En “Acceptera alla”-knapp utan en lika synlig “Avslå alla”-knapp är en överträdelse.
- Specifikt samtycke: per ändamål (annonsering, publikmätning, personalisering), inte globalt.
- Föregående samtycke: ingen tredjepartscookie får placeras innan användaren klickar.
Senaste tillsyn: IMY, tillsammans med franska CNIL och italienska Garante, har sanktionerat stora plattformar med böter på 60-150 miljoner euro på dessa specifika grunder. För små och medelstora företag rör sig böterna typiskt mellan 20 000 € och 200 000 € beroende på företagets storlek och hur länge bristen pågått.
Lösningen: implementera en GDPR-kompatibel cookiebanner med automatisk blockering av spårare före samtycke. Den kostnadsfria WebLegal cookiebannern blockerar automatiskt över 37 spårare och respekterar IMY:s riktlinjer plus Google Consent Mode v2.
Fel 2: Generisk eller saknad integritetspolicy
En betydande andel av de svenska e-handelswebbplatser som granskats de senaste åren saknade en helt korrekt integritetspolicy. De vanligaste bristerna:
- Texter klippt-och-klistrade från en annan webbplats utan anpassning till de faktiska dataflödena.
- Lagringsperioder som inte specificeras per datakategori.
- Lista över personuppgiftsbiträden saknas eller är inaktuell.
- Rättsliga grunder för behandling som inte preciseras (samtycke, avtal, berättigat intresse, rättslig förpliktelse).
Artikel 13 GDPR kräver 12 specifika obligatoriska upplysningar när uppgifter samlas in direkt från den registrerade. Att utelämna någon av dem är en överträdelse — även om webbplatsen i övrigt är säker.
Lösningen: generera en integritetspolicy anpassad till din verkliga verksamhet. Undvik generiska mallar.
Fel 3: Ofullständig juridisk information
Juridisk information på en e-handelswebbplats regleras av e-handelslagen (2002:562), distansavtalslagen (2005:59) och, för personuppgifter, GDPR och kompletterande dataskyddslagen (2018:218). Den måste innehålla:
- Säljarens identitet (namn, firmanamn, juridisk form)
- Postadress och e-postadress
- Telefonnummer
- Organisationsnummer och, för aktiebolag, aktiekapital
- Momsregistreringsnummer
- Identitet på den ansvarige utgivaren
- Webbhotellets uppgifter
Överträdelser kan leda till sanktioner från Konsumentverket eller, för personuppgiftsaspekterna, från IMY enligt GDPR. Konkurrensverket kan också intervenera i marknadsföringsfrågor.
Fel 4: Överföringar utanför EU utan skyddsåtgärder
Sedan Schrems II-domen (juli 2020) måste varje dataöverföring till USA (och andra länder utan adekvansbeslut) inramas av specifika skyddsåtgärder:
- Standardavtalsklausuler (SCC), juni 2021-versionen — tidigare versioner upphörde att vara giltiga 27 december 2022.
- Dokumenterad Transfer Impact Assessment (TIA).
- Kompletterande åtgärder när SCC ensamma inte räcker (kryptering, pseudonymisering).
Konkreta verktyg som påverkas i e-handel:
| Tjänst | Risk | Åtgärd |
|---|---|---|
| Google Analytics 4 | Sanktionerad av CNIL/Garante/AEPD 2022-2023 | Aktivera IP-anonymisering + Consent Mode v2, eller migrera till Matomo / Plausible |
| Mailchimp | Hosting i USA | SCC + årlig revision, eller EU-alternativ (Brevo, Mailjet) |
| Stripe | Delvis hosting i USA | SCC aktiva som standard, kontrollera versionen |
| AWS / GCP | Beroende på vald region | Föredra eu-west-* / europe-west-* |
Lösningen: inventera dina personuppgiftsbiträden, verifiera SCC och överväg europeiska alternativ för icke-kritiska verktyg. Specifikt för Google Analytics, se vår guide Google Analytics och GDPR: kompatibla alternativ.
Fel 5: Personuppgiftsbiträden utan personuppgiftsbiträdesavtal
Artikel 28 GDPR kräver ett skriftligt avtal — ett personuppgiftsbiträdesavtal (Data Processing Agreement) — mellan personuppgiftsansvarig (du) och varje personuppgiftsbiträde som har tillgång till dina kunders personuppgifter. Avtalet måste innehålla 9 obligatoriska klausuler: föremål, varaktighet, ändamål, datatyper, biträdets skyldigheter, ansvariges rättigheter, överföringar utanför EU, vidareöverlåtelse, avslutsbestämmelser.
Stora plattformar (Shopify, Stripe, AWS, Mailchimp) tillhandahåller ett standardiserat personuppgiftsbiträdesavtal som signeras online. Det viktiga: du måste faktiskt skriva under det och arkivera kopian. IMY begär systematiskt dessa avtal vid en granskning. Saknas avtalet för även ett enda biträde kan det räcka för att utlösa en formell varning.
Lösningen: föra ett biträderegister med, för varje post: typer av behandlade data, hostingland, datum för signering av personuppgiftsbiträdesavtalet, länk till det arkiverade avtalet. Uppdatera vid varje nytt verktyg.
Fel 6: Ingen process för registrerades rättigheter
GDPR garanterar kunder sju utkrävbara rättigheter: tillgång, rättelse, radering, begränsning, dataportabilitet, invändning och rättigheter relaterade till automatiserade beslut (artiklarna 15 till 22). Företaget måste svara inom en månad maximalt (förlängningsbart till tre månader för komplexa förfrågningar).
I praktiken konstaterar IMY regelbundet:
- Ingen särskild e-postadress för förfrågningar (en allmän kontaktadress räcker inte).
- Ingen dokumenterad intern procedur: förfrågningar drar ut på tiden eller glöms bort.
- Ofullständigt svar: till exempel på en åtkomstförfrågan skickar företaget en export av kundkontodata men glömmer inloggningsloggar, arkiverade betalningsuppgifter eller mottagna marknadsföringsmejl.
- Ingen identitetsverifiering av sökanden, eller omvänt, överdrivna krav (systematisk ID-kopia).
Lösningen: skapa en adress dpo@dinwebbplats.se eller integritet@dinwebbplats.se, dokumentera den interna processen (vem mottar, vem validerar, vem svarar, inom vilken tidsfrist) och kontrollera teamets utbildningsfrekvens.
Fel 7: Säkerhetsincidenter inte anmälda inom 72 timmar
Artikel 33 GDPR kräver anmälan av en personuppgiftsincident till IMY inom 72 timmar efter att ha fått kännedom, om inte incidenten sannolikt inte medför risk för fysiska personers rättigheter och friheter. Om risken är hög kräver artikel 34 dessutom individuell anmälan till de berörda kunderna.
I e-handel de vanligaste incidenterna:
- Läcka av kundbasen genom exportbug (felaktig publik URL).
- Obehörig åtkomst efter komprometterat administratörskonto.
- Datastöld genom SQL-injektion eller XSS.
- Massmejl-misstag (mejl som innehåller kundbasen som bilaga).
IMY noterar regelbundet att e-handelsoperatörer, av okunnighet eller rädsla för rykte, inte anmäler i tid. Det är en försvårande omständighet: sanktioner blir då betydligt högre än för en initialt mindre incident som anmälts i tid.
Lösningen: förbereda i förväg ett anmälningsprotokoll (mall för IMY-skrivelse, ansvarigt team, incidentregister). IMY tillhandahåller ett online-anmälningsformulär avsett för dessa anmälningar.
Hur du blir GDPR-kompatibel snabbt
De sju ovan nämnda felen är åtgärdbara på mindre än en vecka för de flesta små och medelstora företag. Den rekommenderade sekvensen:
- Dag 1: revision av befintligt läge via en automatisk efterlevnadsskanner för att identifiera offentliga fel (cookies, juridisk information, integritetspolicy).
- Dag 2: generera eller uppdatera juridiska dokument (integritetspolicy, juridisk information, allmänna villkor) med ett specialiserat verktyg.
- Dag 3: implementera en GDPR-kompatibel cookiebanner med automatisk blockering.
- Dag 4: inventera personuppgiftsbiträden och verifiera personuppgiftsbiträdesavtal.
- Dag 5: skapa den dedikerade adressen för rättigheter + dokumentera intern process.
- Dag 6-7: förbereda anmälningsprotokoll för incidenter och utbilda teamet.
För böterna vid en granskning, se vår dossier Cookiepolicy: regler och sanktioner.
FAQ
Granskar IMY slumpmässigt eller endast vid klagomål?
Båda. Majoriteten av granskningar följer på ett klagomål (kund, konkurrent, organisation). Resten är årliga tematiska granskningar (e-handel, hälsa, offentlig sektor) eller uppföljande granskningar efter en tidigare formell varning.
Vad är genomsnittsboten för ett svenskt e-handels-SMB 2026?
För små och medelstora företag (omsättning < 5 M €) ligger det typiska intervallet mellan 5 000 € och 50 000 €. För medelstora företag mellan 50 000 € och 500 000 €. Sanktioner på flera miljoner gäller främst stora plattformar eller avsiktliga överträdelser.
Behövs ett dataskyddsombud (DPO) för e-handel?
Inte alltid. Ett dataskyddsombud är obligatoriskt om du behandlar uppgifter i stor skala (artikel 37 GDPR). En allmän webbutik med under 50 000 kunder per år behöver vanligtvis inget men kan utse en intern GDPR-ansvarig. Från 100 000 kunder per år eller om du behandlar särskilda kategorier av uppgifter (hälsa, okrypterade bankuppgifter), blir ett dataskyddsombud nödvändigt.
Hur vet jag om mitt Google Analytics är GDPR-kompatibelt?
Tre punkter: (1) IP-anonymisering aktiverad, (2) Consent Mode v2 kopplad till din cookiebanner, (3) personuppgiftsbiträdesavtal signerat med Google. Om du är osäker på någon av de tre punkterna, överväg Plausible eller Matomo, som är GDPR-kompatibla som standard.
Vad ska jag göra om jag idag upptäcker en personuppgiftsincident?
I följande ordning: (1) begränsa läckan (rotera komprometterade lösenord, isolera systemet), (2) bedöm risken för registrerade (vem, hur många, vilka uppgifter), (3) anmäl IMY inom 72 timmar via online-formuläret om risk är bekräftad, (4) om risken är hög, varna individuellt berörda kunder, (5) dokumentera allt i incidentregistret.
Hur länge varar en IMY-granskning?
En platsbesök-granskning varar en till två dagar. Den efterföljande utredningsfasen kan pågå sex månader till två år före det slutliga beslutet. Under denna period har du skyldighet att samarbeta och svara på begäran om kompletterande dokument.
Att granska din webbutik idag tar mindre än fem minuter med en automatisk skanner — och sparar dig veckor av osäkerhet vid en granskning. För Shopify-specifika skyldigheter, se även vår dossier Shopify och GDPR: skydda din butik från böter.
