GDPR-scanner för svensk e-handel
E-handel är den sektor IMY granskat mest 2024–2026. Kontrollera om din butik följer GDPR, ePrivacy och 14 svenska lagar — oftast inom några minuter.
E-handel i Sverige är en av de sektorer som IMY granskat mest aktivt under 2024–2026. Anledningen är strukturell: e-handelsbutiker samlar in fler typer av personuppgifter än de flesta inser — från köpdata och leveransadresser till beteendedata via spårningspixlar — och delar dem med ett stort antal tredjeparter som Klarna, Stripe, Meta, Google och Mailchimp.
Den typiske svenska e-handlaren tror att det räcker med en cookie-banner och en integritetspolicy. Det räcker inte. IMY:s tillsynsarbete har identifierat fyra återkommande brister hos svenska e-handelsaktörer: (1) spårningsskript som körs innan besökaren har gett samtycke, (2) Meta Pixel som läcker köpdata till Facebook utan korrekt lawful basis, (3) e-postmarknadsföring till kunder som aldrig aktivt opt-innat, och (4) integritetspolicyer som saknar specifik information om ändamål och lagringstider.
Apotekets böter på 37 miljoner kronor (2025) var delvis kopplade till hur känsliga köpdata — receptinformation och hälsorelaterade produkter — hanterades i deras digitala försäljningsflöde. Det är ett extremfall, men mönstret återfinns hos vanliga e-handelsbutiker i mindre skala varje dag.
En Northverify-skanning av din e-handelsbutik kontrollerar specifikt de GDPR-risker som är unika för e-handel: vilka tredjepartsskript som laddas innan samtycke, om Klarna och Stripe är korrekt deklarerade i integritetspolicyn, om din checkout samlar in mer data än nödvändigt, och om din e-postmarknadsföring har rätt rättslig grund. Det går snabbt och kräver ingen registrering.
Kontrollera er compliance på några minuter
Kontrollera vilka cookies din butik sätter — gratis cookie-scanner
Kör gratis skanningGDPR-krav specifika för e-handel
E-handelsbutiker hanterar personuppgifter i varje steg av kundresan — från det att en besökare landar på startsidan till returprocessen månader efter köpet. Här är de kritiska compliance-punkterna som svenska e-handlare måste hantera korrekt.
Cookie-samtycke och spårningspixlar
Den vanligaste GDPR-bristen hos svenska e-handlare är att spårningsskript körs innan besökaren har gett samtycke. Meta Pixel, Google Analytics, Google Ads och Hotjar aktiveras ofta automatiskt via Google Tag Manager — oavsett om besökaren klickat "Acceptera" eller inte.
IMY:s riktlinjer från 2023 och 2024 är tydliga: cookiesamtycke måste vara fritt, specifikt, informerat och otvetydigt. Förinbockade rutor är olagliga. "Avböj"-alternativet måste vara lika framträdande som "Acceptera". Och viktigast: inget spårningsskript får aktiveras förrän samtycke registrerats.
För en e-handelsbutik som använder Meta Pixel för retargeting innebär detta att pixeln måste stängas av för besökare som inte samtyckt till marknadsföringscookies. Om köpdata (Purchase-event) skickas till Meta utan giltigt samtycke är det ett GDPR-brott som kan leda till böter.
Checkout och köpdata
Kassan i en e-handelsbutik samlar in en mängd personuppgifter: namn, adress, e-post, telefon, betalningsinformation och köphistorik. Dessa uppgifter behandlas typiskt med stöd av avtal (GDPR Art. 6.1.b) — nödvändiga för att genomföra beställningen. Men det finns gränser.
Principerna om dataminimering (Art. 5.1.c) innebär att ni bara får samla in vad som faktiskt behövs för att genomföra och administrera köpet. Att kräva telefonnummer för att slutföra ett standardköp av digitala produkter är svårt att motivera. Att spara fullständiga kortuppgifter i er databas (istället för att låta Stripe/Klarna hantera det) är i de flesta fall ett onödigt PCI DSS- och GDPR-brott.
Klarnas integration måste täckas av ett personuppgiftsbiträdesavtal (PUB-avtal) om ni delar kunddata med dem för bedömningssyften. Klarna är inte enbart en betaltjänst — de genomför kreditbedömningar baserade på köparens personuppgifter, vilket kräver korrekt lawful basis och transparens i integritetspolicyn.
E-postmarknadsföring: opt-in vs berättigat intresse
Svenska e-handlare skickar ofta nyhetsbrev och marknadsföring till befintliga kunder utan att ha samlat in ett explicit opt-in-samtycke. Marknadsföringslagen och GDPR tillåter direkt marknadsföring till befintliga kunder ("soft opt-in") under Lagen om elektronisk kommunikation — men bara om:
- Kunden har köpt liknande produkter tidigare
- Kunden informerades om marknadsföringen vid köptillfället
- Kunden erbjuds en enkel och kostnadsfri möjlighet att avböja vid varje utskick
Om ni skickar e-post till en e-postlista köpt av tredje part, eller om ni skickar marknadsföring utan koppling till ett faktiskt köp, krävs explicit samtycke. "Vi vill hålla dig uppdaterad" är inte ett giltigt skäl under GDPR.
Retargeting och tredjepartsdata
Retargeting-annonsering via Meta Audiences och Google Customer Match innebär att ni delar kunddata (e-postadresser, telefonnummer, köphistorik) med annonsplattformarna. Detta är en dataöverföring till ett tredjeland (USA) och kräver:
- Korrekt rättslig grund (vanligtvis samtycke för marknadsföringssyften)
- Transparens i integritetspolicyn om vilken data som delas och för vilket ändamål
- EU-US Data Privacy Framework (DPF) som skyddsåtgärd för USA-överföringen
Förvaltningsrätten i Stockholm avgjorde 2024 ett mål där ett svensk e-handelsbolag fick böter för att ha delat kundlistan med Meta utan att kunder hade samtyckt till att deras data användes för annonsriktning utöver det ursprungliga köpändamålet.
Ångerrätt och personuppgifter
Distansavtalslagen kräver att ni dokumenterar ångerrätten och hanterar returprocessen korrekt. Ur GDPR-perspektiv innebär det att personuppgifter kopplade till returer och reklamationer måste lagras tillräckligt länge för att uppfylla rättsliga förpliktelser — vanligtvis 3–7 år beroende på transaktionstyp — men inte längre.
Data från avbrutna köp (abandoned cart-information) är ett gränsfall. Att skicka ett abandon-cart-mail är direktmarknadsföring och kräver samtycke om det inte täcks av soft opt-in. Att spara kartdata i mer än 24–48 timmar utan aktiv åtgärd är svårt att motivera under dataminimeringsprincipen.
Produktrecensioner och Trustpilot
Om ni skickar recensionsinbjudningar via Trustpilot, Google Reviews eller Yotpo delar ni kundernas e-postadresser med en tredjepartsplattform. Trustpilot är en dansk aktör (EU-hosted) men kräver ändå ett PUB-avtal och transparens i er integritetspolicy. Recensionsinbjudan utgör direktmarknadsföring och faller under soft opt-in-reglerna — kunden ska informeras om att deras e-post delas för recensionsändamål vid köptillfället.
GDPR och betaldata i e-handel
E-handeln hanterar en av de känsligaste kombinationerna av personuppgifter: betaldata, köphistorik och beteendedata som kopplas till en identifierbara person. Enligt GDPR artikel 6 krävs en rättslig grund för varje behandling. För e-handel är de vanligaste grunderna fullgörande av avtal (köp) och berättigat intresse (fraud detection). Retargeting och köphistorik-baserad marknadsföring kräver däremot aktivt samtycke.
Klarna och Stripe är personuppgiftsbiträden som behandlar betaldata på uppdrag av handlaren. Båda kräver signerade DPA-avtal och specificerar i sina villkor hur data hanteras, hur länge betalinformation sparas och vilka sub-processors som är inblandade. Kontrollera alltid att DPA är uppdaterat när betalleverantören byter version.
Abandoned cart-emails – påminnelser till kunder som lagt varor i kundkorgen utan att slutföra köpet – kräver att kunden sedan tidigare gett samtycke till marknadsföringskommunikation, eller att e-handlaren kan åberopa berättigat intresse. IMY har i sina vägledningar klargjort att abandoned cart-emails inte automatiskt faller under köpavtals-grunden eftersom inget avtal slutfördes. Använd alltid dubbel opt-in för nyhetsbrev och dokumentera samtycket.
Kunddata bör inte sparas längre än nödvändigt. Köphistorik kan behövas för bokföring (7 år), men personliga kundprofiler för marknadsföring saknar stöd i lag för längre lagring. Separera bokföringsdata från marknadsföringsprofiler och sätt automatiska raderingsregler per kategori.
IMY-precedent
37 MSEKApoteket AB — 37 MSEK i GDPR-böter (2025)
IMY ålade Apoteket AB att betala 37 miljoner kronor i böter efter att ha konstaterat att webbplatsen delat känsliga hälsouppgifter om kunder med Meta Pixel och Google Analytics utan tillräcklig rättslig grund. Köphistorik för receptfria läkemedel och hälsoprodukter kategoriserades som känsliga uppgifter under GDPR Art. 9. Beslutet är bindande för all e-handel som säljer hälso- eller livsstilsprodukter.
Alla IMY-beslutGuide: cookie banner GDPR 2026
IMY:s fullständiga krav på cookie-banners, dark patterns att undvika, och exempel på korrekt design för svenska e-handlare.
Läs guidenVanliga frågor
Relaterade guider
Hur compliance-redo är din webbplats?
Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.
Skanna gratis →