Spårlös
SVEN
Prova gratis
Tillbaka till bloggen
Juridik och praktik 8 min läsning

Är Google Analytics lagligt i Sverige 2026?

Kort svar: ja, om du gör en rad saker rätt. Det mer ärliga svaret: för de flesta svenska sajter är det enklare att gå runt frågan helt. Här är båda vägarna, förankrade i vad IMY faktiskt sa 2023 och vad de följt upp 2025.

Det korta svaret

Google Analytics 4 kan användas lagligt i Sverige under specifika tekniska och juridiska förutsättningar. Det förutsätter Consent Mode v2 som faktiskt fungerar, en cookie-banner som följer IMY:s 2025-praxis, kort retention-tid, IP-anonymisering, undertecknat DPA med Google och en rättslig grund baserad på adekvansbeslutet EU-US Data Privacy Framework.

Det är många villkor. DPF är dessutom under rättslig prövning. För majoriteten av svenska sajter är det enklare att välja ett verktyg som inte gör några tredjelands-överföringar alls. Den här guiden förklarar båda vägarna. Du väljer själv vilken som passar dig.

IMY:s fyra beslut 2023 och vad de faktiskt sa

I juli 2023 publicerade Integritetsskyddsmyndigheten (IMY) beslut mot fyra svenska företag som använde Google Analytics. Slutsatsen var samma i alla fyra: överföringen av personuppgifter till USA via GA4 stred mot GDPR.

  • Tele2: 12 miljoner kronor i sanktionsavgift.
  • CDON: 300 000 kronor i sanktionsavgift.
  • Coop: ingen sanktionsavgift, föreläggande att sluta använda. Bedömdes ha samverkat aktivt.
  • Dagens Industri: föreläggande att sluta använda.

Det viktiga är inte beloppen utan resonemanget. IMY menade att de tekniska skyddsåtgärder Google erbjöd (IP-anonymisering, kortad data-set, undertecknat SCC) inte i sig räckte för att neutralisera risken att amerikansk underrättelsetjänst skulle kunna få tillgång till EU-medborgares data. Detta är direkt grundat i Schrems II-domen från 2020, där EU-domstolen ogiltigförklarade Privacy Shield.

  1. Jul 2020
    Schrems II

    EU-domstolen ogiltigförklarar Privacy Shield. USA blir tredje land utan adekvat skyddsnivå.

  2. 2022
    Italien, Frankrike, Österrike

    Tre EU-datatillsynsmyndigheter förbjuder GA4. Sätter precedensen för IMY.

  3. Jul 2023
    IMY beslut Sverige

    Fyra svenska företag fälls. Sanktionsavgifter mellan 0 och 12 miljoner kronor.

  4. Jul 2023
    EU-US Data Privacy Framework

    EU-kommissionen antar nytt adekvansbeslut. GA4 blir tekniskt lagligt igen, under villkor.

  5. Apr 2025
    IMY mot cookie-banners

    IMY riktar kritik mot Warner Music, ATG och Aller Media för ojämna samtyckesbanners.

  6. Pågående
    Schrems III

    Ny rättslig prövning lämnad in mot DPF. Förväntat avgörande inom 2 till 4 år.

Krav för att GA4 ska vara lagligt idag

Adekvansbeslutet DPF ger den rättsliga grunden för överföringen. Men adekvansen ensam räcker inte för att hålla en svensk GA4-installation grön mot IMY:s granskningar. Sju krav du behöver kunna kryssa av:

  1. Consent Mode v2 implementerat och verifierat. Inte bara installerat. Du måste kunna visa att tracking-pixlar inte fyrar förrän användaren aktivt klickar samtycke. Många CMP-installationer misslyckas här eftersom default-läget skickar "denied" samtidigt som det laddar gtag.js.
  2. Cookie-banner som följer IMY:s 2025-praxis. "Avvisa" ska vara lika tydlig som "Acceptera". Avvisa-knappen får inte gömmas under en länk eller kräva två klick. Återkallelse av samtycke ska vara minst lika enkel som att lämna det.
  3. Kort retention-tid. GA4 default är 14 månader. Sätt ner till två månader. Veckovis och månatlig rapportering klarar sig med det.
  4. IP-anonymisering aktiverad och verifierad. GA4 anonymiserar IP by default sedan 2023, men verifiera att inga custom configurations skickar den fulla adressen.
  5. DPA undertecknat enligt GDPR Art. 28. Hittas i Google Analytics admin under Account Settings → Data Processing Terms. Måste aktivt accepteras.
  6. Privacy policy som listar Google som sub-processor med koppling till DPF-certifieringen.
  7. Cookie-policy som beskriver vilka cookies GA4 sätter (_ga, _ga_*, _gid) och hur länge de lever.

Saknas något av stegen, befinner du dig juridiskt på samma plats som CDON och Tele2 gjorde 2022.

Var risken sitter

Adekvansbeslutet DPF är inte hugget i sten. Max Schrems, juristen bakom Schrems I och Schrems II, har redan lämnat in en ny rättslig prövning som kallas Schrems III. Den argumenterar att amerikansk övervakningslag inte ändrats i sak sedan 2020 och att DPF därför har samma juridiska brist som Privacy Shield hade.

EU-domstolens senaste avgöranden indikerar att domstolen tar argumenten på allvar. En realistisk tidshorisont för Schrems III-avgörandet är 2 till 4 år. Om DPF ogiltigförklaras hamnar svenska GA4-användare över en natt i samma juridiska situation som 2022. Bedömningen kan dessutom bli retroaktiv: data som överförts under DPF-perioden kan komma att betraktas som olovligen behandlad.

Det är inte en akut risk. Men det är inte heller en risk du vill ärva.

Cookie-banner-bortfallet ingen pratar om

De flesta GA4-guider fokuserar på "hur konfigurerar vi så det blir lagligt". De pratar sällan om vad du förlorar i själva analysen som följd.

Cookie-banners förlorar mätbart data. Studier från Frankrike, Tyskland och Sverige pekar på att 30 till 60 procent av mobilbesökare avvisar eller stänger fliken på cookie-banners. I GA4 syns det inte. Avvisade besökare räknas helt enkelt inte alls. Du tror att din mobilkonvertering är låg när hälften av besökarna aldrig fick chansen att räknas.

Sajter som bytt till cookie-fri analys rapporterar konsekvent fler besökare än GA4 visade samma vecka. Det är inte ny trafik. Det är data som GA4 aldrig fick se på grund av banner-bortfallet. Vi har skrivit mer om den effekten i cookie-banner-bortfallet.

Om du följer "konfigurera om GA4"-vägen löser du juridiken men inte mätningen. Du fortsätter mäta en delmängd av din publik. Det är centralt för beslutet nedan.

När GA4 räcker, när det inte gör det

GA4 är fortfarande rätt verktyg om:

  • Google Ads-attribution är central för din omsättning. Cookie-fri analys läser inte gclid och kopplar inte till Google Ads-konton. Den biten kan inte ersättas.
  • Du behöver cross-device user-ID för inloggade flöden. Persistent identifierare är inte förenligt med cookie-fri spårning.
  • Custom events och djup e-commerce-integration är A och O. GA4 har djup integration mot enhanced ecommerce. Det är möjligt med cookie-fri analys men inte lika sömlöst.

GA4 är fel verktyg om:

  • Du driver en sajt för offentlig sektor, vård, utbildning eller B2B med compliance-granskande kunder.
  • Din mobiltrafik är minst hälften av total trafik och du tar beslut på siffrorna.
  • Du vill slippa stå mitt i en eventuell Schrems III-omställning.
  • Du vill ha en privacy-policy som inte kräver cookie-banner.

Beslutsmatris: behåll, konfigurera om eller byt

Tre situationer, tre svar. Välj utifrån var ni faktiskt står idag.

Behåll

Behåll som det är

För dig som redan har Consent Mode v2 implementerat och verifierat, CMP som följer IMY:s 2025-praxis, två månaders retention och inget compliance-tryck från större kunder eller offentlig sektor. Juridisk gråzon, men en zon som kan vara tillräcklig.

Konfigurera

Konfigurera om GA4

Den tekniska skulden av att bygga ut Consent Mode v2 ordentligt är hög men möjlig. Räkna med 2 till 4 veckors arbete för en mellanstor sajt. Resultatet är legitim GA4 som fortfarande har banner-bortfallet kvar. Juridisk risk minskar, data-blindspot kvarstår.

Byt

Byt till cookie-fri analys

För majoriteten av svenska sajter den enklaste vägen. Ett verktyg som inte använder cookies har ingen banner att klara av, ingen tredjelands-överföring att försvara, ingen Schrems III-risk att ärva. Migrationen är typiskt under en timme.

Hur Spårlös passar in i bilden

Vi byggde Spårlös för det tredje valet. Cookie-fri, EU-hostad arkitektur, svenskt DPA, F-skatt och MOMS-inkluderad SEK-prissättning. 1,4 KB tracker, 90 sekunders installation, 14 dagars Pro-prov utan kort.

Det är ärligt att säga att Plausible, Fathom, Matomo och Umami också är legitima privacy-första alternativ. Skillnaden ligger i svensk-specifika kontaktytor: DPA på svenska, support på svenska, fakturahantering enligt svensk standard, en produktroadmap som vi själva styr från Sverige. För kommun, region, vård och B2B-kunder med svenska procurement-mallar väger det tungt.

Om du vill se hur en faktisk migration ser ut har vi skrivit en steg-för-steg-guide i Byt från Google Analytics 2026. Vi tappar gclid-spårning. Du får tillbaka besökarna som banner-bortfallet tog ifrån dig.

Ta med dig något konkret

Vårt DPA är förifyllt, refererar svensk lag och listar alla sub-processorer öppet. Ladda ner, mejla till din DPO eller IT-chef, börja samtalet med ett dokument i handen.

Ladda ner DPAHela compliance-paketet

Sammanfattning: din checklista

  • Bestäm dig: behåll, konfigurera om eller byt (matrisen ovan)
  • Om du behåller: dokumentera varför, inkl. Consent Mode v2-status
  • Om du konfigurerar om: budgetera 2 till 4 veckors arbete plus uppföljning
  • Om du byter: kör parallellt med GA4 i 2 till 3 dagar för att verifiera siffrorna
  • Verifiera att Consent Mode v2 faktiskt blockerar pixlar utan samtycke
  • Sätt GA4 retention till 2 månader, inte default 14
  • Granska att din cookie-banner följer IMY:s 2025-praxis (symmetriska knappar)
  • Acceptera DPA i Google Analytics admin om det inte är gjort
  • Uppdatera privacy policy och cookie-policy om något har ändrats

Vanliga frågor

Är GA4 lagligt om jag har Consent Mode v2?

Det räknas in i bedömningen men är inte hela svaret. Consent Mode v2 löser att pixlarna inte fyrar utan samtycke. Det löser inte att Google fortfarande är personuppgiftsbiträde, att data behandlas av ett företag underställt amerikansk lag och att överföringen vilar på adekvansbeslutet DPF som är under rättslig prövning. Consent Mode v2 är ett krav, inte ett svar.

Vad händer om DPF ogiltigförklaras av EU-domstolen?

Då hamnar svenska GA4-användare över en natt i samma juridiska situation som 2022. Schrems II-domen var den föregående situationen. IMY:s 2023-beslut var konsekvensen. Risken är inte akut idag men en realistisk tidshorisont för Schrems III-avgörandet är 2 till 4 år. Företag som migrerat innan slipper göra om hela övningen under press.

Räcker det med en CMP för att vara IMY-säker?

Nej. En CMP är verktyget som hanterar samtycket. IMY:s 2025-kritik mot Warner Music, ATG och Aller Media handlade om HUR den användes, inte om de hade en. Designen ska vara symmetrisk (lika tydlig "Avvisa" som "Acceptera"), enkel att återkalla och får inte använda mörka mönster. CMP plus dålig konfiguration är fortfarande dålig konfiguration.

Kan IMY ge mig böter även med korrekt konfigurerad GA4?

I praktiken är det osannolikt om DPF gäller, du har giltigt DPA med Google, kort retention, fungerande Consent Mode v2 och en banner som följer 2025-praxis. IMY skickar typiskt sett ett föreläggande först. Sanktionsavgift kommer först om du inte agerar på föreläggandet. Vägen från korrekt GA4 till böter går alltid via IMY:s formella process, inte direkt.

Vilken retention-tid är säker?

Två månader är den lägsta GA4 tillåter och den vi rekommenderar för minimerad risk. Default är 14 månader. För veckovis och månatlig rapportering räcker två månader långt. Behöver du historisk jämförelse längre tillbaka exporterar du månadsvis aggregerad data till en lokal CSV eller BigQuery. Personuppgifter raderas, aggregat behålls.

Vi är inte jurister. Vi har däremot byggt en produkt som adresserar exakt det här problemet och hjälpt företag genom migrationen. Behöver du gå djupare i juridiken, konsultera en GDPR-jurist. Behöver du en praktisk genväg, mejla [email protected].

Vidare läsning: Fick du varning från IMY? · Schrems II i praktiken · Spårlös vs Google Analytics · Du äger din data.

14 dagars Pro-prov. Inget kort krävs.

Sätt upp Spårlös parallellt med GA4 så ser du att din data är konsistent innan du stänger av Google.

Kom igång gratis Mer för compliance-team
Är Google Analytics lagligt i Sverige 2026? IMY-guide | Spårlös