Hoppa till innehåll
CompliantHQ
Blogg

GDPR + cookies — när ditt tracking saknar laglig grund

Publicerad 8 april 2026

TL;DR

  • Cookies + tracking-skript faller under TVÅ regelverk samtidigt: ePrivacy-direktivet (för cookies teknik-aspekten) och GDPR (för personuppgifts-behandlingen som tracking innebär).
  • ePrivacy kräver samtycke innan cookies sätts; GDPR kräver en laglig grund för att behandla personuppgifter (som IP-adresser och användarbeteende räknas som).
  • Vanligaste GDPR-felet: tracking sätts upp under "berättigat intresse" istället för samtycke. För analytics-cookies fungerar det nästan aldrig — tillsynsmyndigheter har upprepade gånger avvisat det resonemanget.
  • Det praktiska felet: skripten laddas innan banner visat, eller laddas ändå när användaren tackat nej.

Två lagar, en sajt

När en användare besöker er sajt och ni samlar in data om dem behöver ni hålla tungan rätt i mun:

ePrivacy-direktivet (i Sverige via 9 kap. 28 § LEK 2022:482) reglerar att ni får sätta cookies och liknande på besökarens enhet. Den enda grunden för icke-nödvändiga cookies är samtycke.

GDPR reglerar vad ni får göra med de personuppgifter ni samlar in via tracking — IP-adress, beteendedata, identifierare i cookies. Här finns sex olika lagliga grunder (Art. 6.1):

Bokstav Laglig grund Användbar för tracking?
a Samtycke Ja — den gångbara grunden
b Avtal Nej (tracking är inte nödvändigt för att leverera tjänsten)
c Rättslig förpliktelse Sällan
d Vitala intressen Nej
e Allmänt intresse Endast offentlig sektor i specifika fall
f Berättigat intresse Teoretiskt — men inte i praktiken (se nedan)

I praktiken: för analyscookies, marknadsföring, retargeting och A/B-test räcker bara samtycke (Art. 6.1.a). Berättigat intresse har testats upprepade gånger av EDPB och nationella myndigheter och nästan alltid bedömts otillräckligt för konsumentvänd tracking.

Den vanliga gråzon-fällan: "berättigat intresse"

Säljkonsulter försöker ofta sälja in att tracking inte behöver samtycke om det "bara handlar om förbättring av sajten". Ja det låter vettigt — och nej det håller inte.

Berättigat intresse-grunden kräver att en intresseavvägning görs mellan ert behov och den enskildes integritet. Tre kriterier måste vara uppfyllda:

  1. Legitimt syfte (er förbättring av sajten kvalar in)
  2. Nödvändighet (kan ni inte uppnå syftet på annat sätt?)
  3. Balans (väger ert intresse tyngre än den enskildes?)

Tillsynsmyndigheter har konsekvent landat i att kriterium 3 inte är uppfyllt för konsumentvänd tracking — den enskilde har ett starkt integritetsintresse och vad ert "förbättringsbehov" kan tillgodoses via aggregerad statistik utan personliga identifierare (t.ex. server-side analytics utan cookies). Eftersom alternativen finns är trackingen inte "nödvändig" i juridisk mening.

Slutsats: räkna inte med att kunna luta er på berättigat intresse för Google Analytics, Meta Pixel eller liknande. Samtycke är vägen.

Vad samtycke faktiskt kräver

GDPR Art. 7 + EDPB:s riktlinjer (uppdaterade 2020) sätter ribban:

  • Frivilligt — inte villkor för att få tjänsten
  • Specifikt — inte ett klick som täcker allt
  • Informerat — användaren vet vad hen samtycker till
  • Otvetydigt — aktiv handling, inte tystnad eller defaults
  • Återkallbart — lika enkelt att tacka nej som att tacka ja
  • Dokumenterat — ni måste kunna bevisa att samtycke lämnats

Banner-design som FAILAR dessa krav (vanliga fel):

  • "Acceptera alla" är prominent men "Avvisa alla" är gömd → inte frivilligt på lika villkor
  • En enda checkbox för analytics + marketing + funktionell → inte specifikt
  • "Genom att fortsätta använda sajten godkänner du..." → inte otvetydigt
  • Förkryssade rutor → inte aktiv handling
  • Ingen "ändra inställningar"-knapp i footer → inte återkallbart

Det tekniska felet de flesta gör

Även om er banner är perfekt designad faller compliancen ofta på implementationen: trackingskript laddas och cookies sätts oavsett vad användaren klickar.

Vanliga underliggande orsaker:

  • GTM med "All Pages"-trigger utan consent-gating
  • Hårdkodad GA-snippet i <head> vid sidan av samtyckes- hanteraren
  • Tredjeparts-iframes (YouTube, Spotify, kartor) som drar in trackingcookies från sin egen domän
  • Server-side rendering som returnerar trackingscript i HTML:en innan klientens samtyckes-state är känd

Test som tar 2 minuter:

  1. Öppna sajten i inkognito-fönster (clear state)
  2. Öppna DevTools → Network-fliken
  3. Ladda om sidan
  4. Innan ni klickar något i bannern, sök i Network på: google-analytics, googletagmanager, facebook, clarity, hotjar, linkedin
  5. Eventuella träffar = tracking laddas utan samtycke = compliance- problem

Vad ni gör åt det

Om ni hittar tracking innan samtycke:

Tre vägar att åtgärda, från enklast till mest grundlig:

  1. Aktivera consent-mode i ert verktyg. Google Tag Manager, Cookiebot, OneTrust, CookieScript m.fl. har alla någon variant av consent-mode. Det blockar tagg-laddning tills användaren klickat ja. Tar 1-2 timmar att konfigurera korrekt.

  2. Omforma er datasamling. Byt från GA4/Meta till en EU-baserad analytics utan cookies (Plausible, Fathom, Simple Analytics) som inte kräver samtycke alls. Dyrare per månad men slipper hela compliance-rasket. Lämpligt för sajter där analytik bara används internt — inte för marknadsföringsattribution mot betal-annonsering.

  3. Server-side tracking. Dirigera all data via er egen server (server-side GTM eller liknande) så ni har kontroll över vad som skickas och när. Tekniskt mer arbete men ger största kontroll.

Vem som bör göra jobbet:

Det här är klassisk samverkan mellan kommunikation/marknad (som äger varför trackingen finns) och utveckling (som äger hur den implementeras). Webbyråer kan göra grovjobbet men behöver tydlig input från er om vad ni faktiskt vill mäta — många byråer har inte klart för sig att deras default-installationer av GA är icke- compliant.

Vad du ska göra nu

  1. Kör 2-minuter-testet ovan. Om allt är clean — bra. Om tracking dyker upp innan samtycke — gå vidare.
  2. Inventera era tredjeparts-skript. Lista varje tredjeparts- tag, säg vem som äger den och vad den gör. Många sajter har skript ingen kommer ihåg vem som la dit.
  3. Bestäm strategi. Consent-mode är för de flesta SMB den pragmatiska vägen. Cookieless analytics för de som inte är tunga på betal-annonsering.
  4. Dokumentera samtyckes-loggar. GDPR kräver att ni kan bevisa att samtycke lämnats — er consent-leverantör ska logga datum, tid, vilket val användaren gjorde, vilken version av bannern. Verifiera att den loggningen faktiskt sker.

Vi har byggt CompliantHQ för att automatisera steg 1 + delar av steg 2 — vi listar varje tredjeparts-skript som laddas innan samtycke, och övervakar löpande så nya tracking-tags inte smyger in via GTM-uppdateringar eller marknads-integrationer. Ni kan köra första scanen utan att registrera kortuppgifter.

Kör en gratis scan av era cookies och tracking →