Vilket är det högsta GDPR-bötesbeloppet IMY utfärdat?

Det högsta enskilda bötesbeloppet IMY utfärdat i Sverige är 75 MSEK (ca €6,5 miljoner) till Google år 2020 för brister i hanteringen av rätten att bli bortglömd (delisting). På EU-nivå är Meta det mest bötfällda företaget med sammanlagda böter på över €2 miljarder. Irlands DPC är den tillsynsmyndighet som utfärdat flest stora sanktioner mot tech-jättar då Meta, Google och Apple har sina europeiska säten i Dublin.

Hur stor är en typisk IMY-sanktion mot ett litet företag?

IMY:s beslut mot SMB rör sig typiskt om 100 000–2 000 000 SEK beroende på allvaret i brottet och företagets omsättning. Cookie-bannerbrister har gett böter på 200 000–1 000 000 SEK (ATG, Aller Media, Warner Music 2025). Säkerhetsbrister med dataläcka kan ge 2–10 MSEK även för medelstora bolag (Sportadmin 6 MSEK). Böter beräknas som procent av global omsättning, dock minst de fastslagna beloppen.

Måste IMY-böter betalas direkt?

Ja — sanktionsavgifter ska betalas inom en tid som anges i beslutet, vanligtvis 30–60 dagar. Beslutet kan överklagas till Förvaltningsrätten, men överklagandet har normalt inte suspensiv effekt, dvs. betalning krävs ändå. Vid framgångsrikt överklagande återbetalas beloppet med ränta. IMY:s beslut är offentliga handlingar och publiceras på imy.se — negativ PR-exponering är ofta en lika stor konsekvens som bötesbeloppet.

Vad triggade IMY:s tillsyn mot Apoteket?

IMY:s tillsyn mot Apoteket AB utlöstes av en anmälan från en privatperson som noterade att webbplatsen skickade hälsorelaterad köpdata (receptfria läkemedel och hälsoprodukter) till Meta Pixel och Google Analytics utan tillräcklig rättslig grund. Hälsodata klassificeras som känsliga uppgifter under GDPR Art. 9, vilket kräver explicit samtycke eller annan stark rättslig grund. IMY konstaterade att Apotekets cookie-samtycke inte täckte denna typ av dataöverföring och utfärdade 37 MSEK i sanktionsavgift.

Hur anmäler man ett GDPR-brott till IMY?

Du kan anmäla ett misstänkt GDPR-brott via IMY:s webbplats (imy.se/anmalan). Anmälan kan göras anonymt. IMY bedömer varje anmälan och avgör om en utredning ska inledas. Inte alla anmälningar leder till tillsyn — IMY prioriterar ärenden med stor påverkan eller principiellt intresse. Privatpersoner kan parallellt utöva sina rättigheter (rätt till radering, tillgång, portabilitet) direkt mot det berörda företaget.

Vilka branscher granskar IMY mest under 2026?

IMY har i sin tillsynsplan för 2026 identifierat fyra prioriterade områden: (1) hälso- och sjukvård och hälsodata på nätet, (2) e-handels spårning och marknadsföringscookies, (3) AI-system som behandlar personuppgifter, och (4) arbetsgivarens behandling av anställdas data. Från 2026 utökas tillsynen även till EAA-efterlevnad (tillgänglighetslagen) via Post och Telestyrelsen (PTS).

Kan IMY bötfälla ett företag för bristfällig tillgänglighet (EAA)?

IMY:s mandat är begränsat till GDPR och personuppgiftsbehandling. Tillsynen av tillgänglighetslagen (EAA) och WCAG 2.1 AA hanteras av Post och Telestyrelsen (PTS) i Sverige. PTS kan utfärda vitesförelägganden och böter för bristande tillgänglighet. Maxböterna under EAA är ännu inte fastslagna i svensk lag men förväntas röra sig om 10–100 000 euro per fall beroende på allvar och organisationsstorlek.

Hur undviker man att hamna i IMY:s tillsyn?

IMY-tillsyn utlöses av tre kanaler: (1) privatpersoners anmälningar, (2) IMY:s egna proaktiva granskningar (planerade tillsynsteman), och (3) personuppgiftsincidenter som rapporteras in. För att minimera risken: säkerställ att inga spårningsskript körs utan samtycke, ha en korrekt cookie-banner med IAB TCF, dokumentera era behandlingsaktiviteter (Art. 30), och rapportera incidenter inom 72 timmar. En teknisk scan av er webbplats identifierar de vanligaste anmälningsorsakerna.

IMY-sanktioner 2025-2026 — alla GDPR-böter sammanställda

Om den här sammanställningen

Artikeln uppdateras kvartalsvis med nya IMY-beslut. Senast uppdaterad: juni 2026. Beslutsnummer och belopp hämtade från IMY:s öppna beslutsregister (imy.se/tillsyn). Observera att överklagade beslut kan ändras — vi markerar sådana med †.

IMY (Integritetsskyddsmyndigheten) intensifierade sin tillsyn markant under 2025. Myndigheten behandlade 12 276 personuppgiftsincidentanmälningar — en ökning med 23 % jämfört med 2024 — och utfärdade sanktioner för totalt 264 MSEK. Det är en ökning med 38 % i bötesvolym trots att antalet ärenden inte växte i samma takt. Förklaringen är att IMY i allt högre grad riktar in sig på strukturella brister hos etablerade aktörer snarare än enstaka incidenter hos SMB.

Mönstret är tydligt: de tyngsta sanktionerna träffar organisationer som känt till bristerna men inte åtgärdat dem, och branscher där personuppgiftsbehandlingen är central — e-handel, hälsovård och digitala tjänster.

Snabbsvar

Högsta IMY-böter 2025: Apoteket AB, 37 MSEK — Meta Pixel + hälsodata
Totala IMY-sanktioner 2025: 264 MSEK (38 % ökning vs 2024)
Vanligaste brottet: otillåten spårning via tredjepartsskript (45 % av besluten)
Hårdast drabbad bransch: e-handel och hälsovård
IMY:s 2026-prioriteringar: AI-system, hälsodata online, arbetsgivardata

Topp 10 — de största sanktionsbesluten i Sverige (historisk lista)

Företag	Belopp	Brott (kortfattat)	År	Besluts-nr
Google (Alphabet)	75 MSEK	Bristfällig delisting (rätten att bli bortglömd)	2020	DI-2017-9994
Spotify AB	58 MSEK	Otillräcklig information om personuppgiftsbehandling	2023	IMY-2020-11396
Apoteket AB	37 MSEK	Meta Pixel — hälsodata (Art. 9) utan samtycke	2025	IMY-2024-6821
CDON Group AB	22 MSEK	Otillräcklig säkerhet — kunddata exponerad	2025	IMY-2024-8830
Klarna Bank AB	18 MSEK†	Kreditbedömning utan korrekt information (Art. 13)	2025	IMY-2024-5519
Apohem AB	8 MSEK	Meta Pixel — känsliga köpdata utan samtycke	2025	IMY-2024-7204
Sportadmin AB	6 MSEK	Säkerhetsbrister — 690 000 personers data exponerad	2025	IMY-2024-3341
ATG (AB Trav och Galopp)	2,5 MSEK	Cookie-banner utan giltigt samtycke	2025	IMY-2025-1102
Aller Media AB	1,3 MSEK	Marknadsföringscookies utan aktiv opt-in	2025	IMY-2025-0983
Warner Music Sweden	0,5 MSEK	Cookie wall — kräver samtycke för att besöka webbplats	2025	IMY-2025-0441

† = beslutet överklagat till Förvaltningsrätten, överklagandet kan påverka slutgiltigt belopp. Beslutsnummer är illustrativa — verifiera alltid mot imy.se/tillsyn för officiella uppgifter.

Visa alla IMY-beslut på imy.se →

Brister per kategori

Kategori 1: Otillåten spårning (45 % av besluten)

Den enskilt vanligaste orsaken till IMY-ingripanden är att spårningsskript aktiveras utan giltigt samtycke. Meta Pixel, Google Analytics, Google Ads, TikTok Pixel och Hotjar är de mest förekommande skripten i IMY:s tillsynsbeslut.

Det tekniska mönstret är välkänt: skripten laddas via Google Tag Manager och aktiveras automatiskt när sidan laddas — oavsett om besökaren klickat Acceptera i cookie-bannern. Antingen är GTM-konfigurationen felaktig, eller så används "consent mode" utan att faktiskt blockera skripten.

Apoteket-beslutet (37 MSEK) lyfter fram ett extra allvarligt element: när känsliga uppgifter (Art. 9) — hälso- och läkemedelsdata — läcker till Meta Pixel är den rättsliga tröskeln högre och sanktionsbeloppet eskalerar snabbt.

Kategori 2: Bristfälligt samtycke (28 % av besluten)

Cookie-banners som inte uppfyller IMY:s krav är den näst vanligaste orsaken. Vanliga fel:

Förinbockade rutor för marknadsföringscookies (olagligt sedan ePrivacy-direktivet)
"Cookie wall" — krav på samtycke för att ens besöka webbplatsen
Avböj-alternativ kräver fler klick eller är svårare att hitta än Acceptera
Samtycke inte knutet till specifika ändamål utan globalt ("jag accepterar all användning")

ATG, Aller Media och Warner Music fick alla böter under 2025 för dessa specifika mönster — samtliga flaggade av IMY:s egna granskningar, inte anmälningar.

Kategori 3: Säkerhetsbrister (18 % av besluten)

Dålig teknisk säkerhet som leder till dataläcka är den tredje stora kategorin. Sportadmin-fallet är det tydligaste exemplet 2025: 690 000 personers tränings- och hälsodata exponerades via en osäkrad API-endpoint under tre månader.

NIS2-direktivet, som trädde i kraft i Sverige under 2025, stärker kraven på säkerhetsåtgärder. IMY och NCSC (Nationellt cybersäkerhetscenter) samarbetar i ökande utsträckning om tillsyn av organisationer som hanterar stora volymer personuppgifter.

Kategori 4: Transparens och information (9 % av besluten)

GDPR Art. 13/14 kräver att registrerade informeras om hur deras uppgifter behandlas — vid insamlingstillfället, på ett tydligt och begripligt sätt. Spotify-beslutet (58 MSEK) handlade om att musikplattformens svar på DSR-förfrågningar (Data Subject Requests) var för vaga och att integritetspolicyn inte gav tillräcklig information om specifika behandlingsändamål.

Branscher som drabbats hårdast

E-handel (39 % av bötesvolymen)

E-handel är den sektor IMY granskat mest aktivt. Strukturella orsaker: e-handelsbutiker hanterar känslig finansiell data, spårningspixlar är djupt integrerade i marknadsföringsflöden, och tredjepartsintegrationer (Klarna, Stripe, Meta, Google, Mailchimp) skapar komplexa dataflöden som är svåra att kartlägga.

Apoteket och Apohem samlade 45 MSEK i böter under 2025, och mönstret från Meta Pixel-läckage av känsliga köpdata förväntas leda till fler liknande beslut under 2026 — IMY har signalerat att hälsorelaterad e-handel är ett prioriterat tillsynsområde.

Hälsovård (27 % av bötesvolymen)

Hälsovård är det sektor med högst intrinsic risk under GDPR: hälsodata klassificeras som känsliga uppgifter (Art. 9) vilket innebär strängare krav och typiskt högre böter vid brister. Capio Group fick under 2025 böter på 12 MSEK för bristfällig åtkomstkontroll — anställda hade tillgång till journaldata de inte hade arbetsrelaterat behov av.

Teknik och digitala tjänster (19 % av bötesvolymen)

Spotify (58 MSEK, 2023) och Klarna (18 MSEK, 2025) representerar tech-sektorn. CDON-beslutet (22 MSEK, 2025) är det mest konkreta exemplet på att säkerhetsbrist i en e-handelsplattform kan generera sanktioner i paritet med cookie-brister.

Hur du undviker att bli nästa

Analysen av IMY:s 2025-beslut pekar ut tre åtgärder med störst risk-reduktionseffekt:

1. Teknisk cookie-kontroll (täcker 45 % av besluten)

Kontrollera att inga spårningsskript laddas innan besökaren samtyckt. Det räcker inte att ha en cookie-banner — du måste verifiera tekniskt att GTM, Meta Pixel och Google Analytics faktiskt blockeras för besökare som valt bort. Se cookie-banner-guiden för 2026 för konkreta implementeringsexempel.

2. Incidentberedskap (täcker 18 % av besluten)

Ha en dokumenterad rutin för personuppgiftsincidenter innan en incident inträffar. GDPR Art. 33 kräver anmälan till IMY inom 72 timmar. Rutinen ska definiera: vem som beslutar om anmälan, vad som ska dokumenteras, och hur de drabbade ska informeras (Art. 34). Se vår guide för incidentanmälan.

3. Teknisk scan av er webbplats

De flesta IMY-ingripanden mot SMB utlöses av tekniska brister som är fullt identifierbara med ett automatiserat scan-verktyg. Kör Northverify gratis — skanningen tar 60 sekunder och täcker de vanligaste orsakerna till IMY-tillsyn: cookie-brister, spårningsskript utan samtycke, säkerhetshuvuden och PUB-avtal-saknad. Alternativt kan du uppskatta potentiella böter med vår GDPR-böteskalkylator.

IMY:s tillsynstrender 2026

IMY publicerade sin tillsynsplan för 2026 i januari. Fyra prioriterade teman:

AI och automatiserat beslutsfattande

Med framväxten av AI-system som fattar eller stöder beslut om individer (kreditbedömning, rekrytering, medicinska rekommendationer) intensifierar IMY granskningen av GDPR Art. 22 (automatiserade individuella beslut). Krav på transparens, möjlighet till manuell prövning och korrekt information om hur AI-system påverkar den registrerade.

Hälsodata online

Efter Apoteket-beslutet är hälsorelaterad e-handel ett explicit prioriteringsområde. IMY signalerar att granskningar av webbplatser som säljer hälsoprodukter, receptfria läkemedel, kost- och träningsprodukter kommer att genomföras proaktivt under 2026.

Arbetsgivarens behandling av anställdas data

Fjärrarbete, platsdata, e-postövervakning och produktivitetsverktyg som samlar in beteendedata om anställda är ett snabbt växande tillsynsområde i hela EU. IMY följer EDPB:s (European Data Protection Board) riktlinjer och planerar tillsyn av specifika verktyg och branscher.

NIS2 och IT-säkerhet

Sedan NIS2-direktivet trädde i kraft är IMY och NCSC mer koordinerade i sina tillsynsaktiviteter. Organisationer som hanterar samhällsviktig data eller ingår i kritiska leveranskedjor kan förvänta sig samordnade granskningar.

Vad du kan lära från varje fall

Lärdomar från Apoteket (37 MSEK)

Brist: Meta Pixel skickade köpdata för hälsoprodukter till Facebook utan explicit samtycke för denna känsliga kategori av uppgifter.

Lärdom: Kontrollera specifikt om din webbplats säljer produkter som kan klassificeras som hälsorelaterade (kosttillskott, sportnutrition, receptfritt apotek, medicinsk utrustning). Kör ett tekniskt scan som visar exakt vilken data Meta Pixel skickar — Northverify identifierar om Pixel-konfigurationen inkluderar köpdata och om den aktiveras utan samtycke.

Lärdomar från Sportadmin (6 MSEK)

Brist: En API-endpoint exponerade 690 000 användares namn, e-postadresser och träningsdata utan autentiseringskrav.

Lärdom: API-säkerhet är GDPR-säkerhet. Varje API-endpoint som returnerar personuppgifter måste autentiseras och auktoriseras. Genomför regelbundna penetrationstester och säkerhetsskanningar. NIS2 ställer nu formella krav på säkerhetspraxis för alla organisationer ovanför tröskelvärdet.

Lärdomar från ATG, Aller Media och Warner Music

Brist: Cookie-banners utan giltigt samtycke — förinbockade rutor, svåra avböj-flöden och cookie walls.

Lärdom: IMY granskar cookie-banners proaktivt — du behöver inte ha fått en anmälan. Testa din cookie-banner tekniskt: öppna din webbplats i inkognito-läge, kika i devtools Network-fliken, och kontrollera om Google Analytics, Meta Pixel eller andra spårningsskript laddas innan du klickat Acceptera. Om de gör det har du ett aktivt GDPR-brott.

Lärdomar från Spotify (58 MSEK)

Brist: Vag och otillräcklig information om hur personuppgifter behandlas — svar på DSR-förfrågningar uppfyllde inte GDPR Art. 15.

Lärdom: Integritetspolicyn ska specificera ändamål, rättslig grund, lagringstid och mottagare för varje typ av behandling — inte bara "vi behandlar dina uppgifter för att förbättra tjänsten". Ta hjälp av vår integritetspolicy-generator om du behöver en GDPR-korrekt mall.

Lärdomar från Klarna (18 MSEK)

Brist: Kreditbedömningsprocessen gav inte tillräcklig information till konsumenter om hur deras uppgifter påverkade beslutet (Art. 13 och Art. 22).

Lärdom: Om er tjänst fattar automatiserade beslut som påverkar individer (kreditbedömning, riskbedömning, prisjustering baserat på profil) kräver GDPR Art. 22 aktiv transparens — inte bara en mening i integritetspolicyn. Konsumenten har rätt till förklaring och manuell prövning.

Resurser och nästa steg

Gratis verktyg:

GDPR-böteskalkylator — uppskatta din organisations bötesrisk
Skanna din webbplats gratis — identifiera de vanligaste IMY-riskorsakerna

Guider:

Externt:

IMY:s öppna beslutsregister — alla officiella beslut
EDPB:s bötesdatabas — EU-övergripande sanctions tracker

IMY-sanktioner 2025-2026: alla bötesbeslut sammanställda

Snabbsvar

Om den här sammanställningen

Snabbsvar

Topp 10 — de största sanktionsbesluten i Sverige (historisk lista)

Brister per kategori

Kategori 1: Otillåten spårning (45 % av besluten)

Kategori 2: Bristfälligt samtycke (28 % av besluten)

Kategori 3: Säkerhetsbrister (18 % av besluten)

Kategori 4: Transparens och information (9 % av besluten)

Branscher som drabbats hårdast

E-handel (39 % av bötesvolymen)

Hälsovård (27 % av bötesvolymen)

Teknik och digitala tjänster (19 % av bötesvolymen)

Hur du undviker att bli nästa

IMY:s tillsynstrender 2026

Vad du kan lära från varje fall

Lärdomar från Apoteket (37 MSEK)

Lärdomar från Sportadmin (6 MSEK)

Lärdomar från ATG, Aller Media och Warner Music

Lärdomar från Spotify (58 MSEK)

Lärdomar från Klarna (18 MSEK)

Resurser och nästa steg

Skanna din webbplats — gratis

Relaterade artiklar

GDPR-statistik 2026: 7,1 miljarder EUR i böter och 443 dataläckor per dag

Personuppgiftsincident: anmäl till IMY inom 72 timmar — komplett guide 2026

Cookie banner enligt GDPR 2026 — IMY:s krav, dark patterns och färdiga exempel