Hoppa till innehåll
CompliantHQ
Blogg

Cookies utan samtycke — vad lagen faktiskt säger 2026

Publicerad 25 april 2026

TL;DR

  • Sätter sajten några cookies utöver de strikt nödvändiga innan besökaren klickat "godkänn" — då är det förbjudet enligt ePrivacy-direktivet (genomfört i Sverige via lagen om elektronisk kommunikation, LEK 2022:482).
  • Det gäller även Google Analytics, Meta Pixel, hotjar, och alla andra "analyscookies".
  • Det går att kontrollera själv med fem minuter och ett inkognito- fönster — instruktioner längre ner.

Det här är vad lagen kräver — i en mening

Innan din sajt sätter en cookie eller laddar ett tredjepartsskript som samlar information om besökaren, måste besökaren ha gett aktivt samtycke.

Det är inte en svensk specialregel. Det följer av artikel 5(3) i ePrivacy-direktivet, som gäller i hela EU och som Sverige införlivat via 9 kap. 28 § lagen (2022:482) om elektronisk kommunikation. Inkrementsläsning, scrollande eller "fortsatt användning av sajten" är inte samtycke. Förvald-kryssade rutor är inte samtycke. En "vi använder cookies, klicka för att stänga"-banner är inte samtycke.

Bara två undantag finns:

  1. Strikt nödvändiga cookies — sessionscookies, varukorg, inloggning, CSRF-token, språkval. Dessa får sättas utan samtycke eftersom de behövs för att tjänsten ska fungera.
  2. Cookies som besökaren själv begärt — t.ex. en "kom ihåg mitt användarnamn"-checkbox som de aktivt klickade på.

Allt annat — tracking, analytics, retargeting, AB-testning, heatmaps — kräver samtycke innan skriptet körs.

Vad räknas som "trackingcookies"?

I praktiken: nästan allt som inte är listat i undantagen ovan. Konkret betyder det att följande kräver samtycke innan de laddas:

  • Google Analytics (GA4 inkluderat — myten att GA4 är "samtyckesfri" stämmer inte)
  • Google Ads, Google Tag Manager om det laddar något övrigt
  • Meta Pixel / Facebook-tracking
  • LinkedIn Insight Tag
  • TikTok Pixel
  • Hotjar, Microsoft Clarity, FullStory, andra session-replays
  • HubSpot, Marketo, Pardot tracking-skript
  • Intercom, Drift och liknande chatt-widgets om de laddar identifierande information
  • A/B-testverktyg (Optimizely, VWO)

En typisk företagssajt har 5–15 sådana skript inkopplade. En e-handel ofta fler. Var och en som laddas innan besökaren klickat "godkänn" ligger utanför vad lagen tillåter.

Den vanligaste tabben: "vi har ju en cookie-banner"

De flesta svenska sajter har en cookie-banner. En del av dem är ändå fel implementerade. Tre återkommande fel:

1. Skripten laddas innan banner visats

Det här är det vanligaste felet vi ser i scanningar. Cookie-banner- leverantören (Cookiebot, CookieScript, OneTrust, Cookie-Information, etc.) installeras korrekt, men någon — utvecklare eller webbyrå — har av misstag lagt GA-snippeten direkt i <head> också. Då laddar Google Analytics oavsett om besökaren godkänt eller inte.

Snabb test: öppna sajten i ett inkognito-fönster, öppna devtools på Network-fliken, ladda om. Innan du klickat på något i bannern, sök på google-analytics, googletagmanager, facebook, clarity. Får du träffar — då laddas de utan samtycke.

2. "Forts. = samtycke"-design

Den ökända "om du fortsätter använda sajten godkänner du våra cookies"- texten. Den var aldrig giltig under GDPR och är det fortfarande inte. Samtycke måste vara aktivt.

Kombinationen "X för att stänga" + tracking-skript som ändå körs är samma sak — bannern är dekorativ, samtycket är fiktion.

3. Förvalda kryss

Vissa bannrar visar checkboxar för olika cookie-kategorier (analytics, marketing, etc.) som är förkryssade. Det räknas inte som samtycke enligt EDPB:s riktlinjer från 2020. Samtycket måste vara en aktiv handling — användaren måste själv kryssa i, inte avkryssa något som redan var ifyllt.

Tillsyn och konsekvenser

Två myndigheter är inblandade beroende på vad i regelverket man pratar om — det är värt att hålla isär:

  • PTS (Post- och telestyrelsen) övervakar cookie-bestämmelserna i LEK (alltså "fick ni samtycke innan ni satte cookien") och kan utfärda förelägganden + sanktioner.
  • IMY (Integritetsskyddsmyndigheten) övervakar GDPR-aspekterna av personuppgiftsbehandlingen som cookies möjliggör (alltså "vad gör ni med datan ni samlar in").

I praktiken kan båda vara relevanta för samma fall: PTS för att ni satte cookien utan samtycke, IMY för hur de personuppgifter som följer av cookien sedan behandlas.

Konkret cookie-tillsynspraxis i Sverige under PTS är ännu relativt sparsam jämfört med t.ex. Frankrike, där CNIL har drivit flera högprofilfall (Google, Amazon m.fl.) med stora bötesbelopp för just brister i samtyckesinhämtning.

På GDPR-sidan har IMY varit mer aktiva — bland annat förelade myndigheten 2023 fyra svenska företag (Coop, Dagens Industri, CDON, Tele2) att sluta använda Google Analytics utan ytterligare tekniska skyddsåtgärder. Det var dock inget cookie-samtyckesärende — det rörde tredjelandsöverföring av personuppgifter till USA enligt GDPR kap. V (Schrems II-doktrinen). Tele2 fick 12 miljoner kronor i sanktionsavgift, CDON 300 000 kronor; Coop och DI fick föreläggandet utan avgift.

Den största kostnaden vid tillsyn är ofta inte själva boten — det är arbetet med att städa upp efteråt: byta verktyg, omarbeta integrationer, hantera frågor från kunder.

Vad du ska göra nu

Tre konkreta steg, i prioritetsordning:

  1. Kolla din egen sajt. Öppna inkognito-fönster, devtools, Network- fliken, ladda sajten. Före klick i banner: söker du på google, facebook, linkedin, clarity — finns det träffar? Då har du problemet. Det här tar fem minuter och kostar inget.

  2. Be den som bygger eller förvaltar sajten om en cookie-revision. Det kan vara en webbyrå, en intern utvecklare, en konsult, eller IT-avdelningen — vem som än har handen på tekniken. Inte "hur många cookies sätter vi" — be specifikt: vilka skript laddas innan samtycke, och varför. De flesta har det här på sin allt-att-städa- lista men plockar inte upp det förrän någon frågar.

  3. Bestäm dig för hur du vill övervaka det löpande. En cookie- revision är en ögonblicksbild. Utvecklare lägger till nya skript, marknad integrerar nya verktyg, integrationer återförs — sajten driver bort från compliance kontinuerligt om ingen har koll. Du kan:

    • Köra om manuella kontrollen (steg 1) månadsvis
    • Be webbyrån övervaka som del av sitt avtal
    • Använda ett verktyg som kör scanning automatiskt

För det sista alternativet har vi byggt CompliantHQ — vi listar varje skript som laddas innan samtycke, kategoriserat efter vad det gör och varifrån det kommer, och håller koll på sajten över tid. Du kan köra första scanen utan att registrera kortuppgifter, om det är ett alternativ du vill prova.

Kör en gratis scan av din sajt →