Tillbaka till bloggen
IMY-varning 9 min läsning

Fick du varning från IMY? Så här hanterar du den steg för steg

Brev från IMY i inboxen, eller bara magkänslan att ni ligger i farozonen. Här är vad som faktiskt händer, vad du behöver göra nu, och hur ni stänger fönstret innan det blir dyrt.

Vad en IMY-varning faktiskt är

Integritetsskyddsmyndigheten (IMY) skickar inte automatiska böter när du gör fel. Processen är trapp-formad: först en informell förfrågan, sedan en formell granskning, sedan ett föreläggande, och först därefter en sanktionsavgift. En "varning" kan vara vilket som helst av de första tre stegen.

Om du har fått ett brev där IMY ber dig redovisa hur ni hanterar webbanalys-cookies eller överföringar till tredje land, är det inte en bot. Det är ett samtal som öppnar processen. Hur du svarar de kommande veckorna avgör om ärendet stängs eller eskalerar.

De fyra IMY-besluten du behöver känna till

Sommaren 2023 publicerade IMY beslut mot fyra svenska företag (CDON, Coop, Dagens Industri, Tele2) som använde Google Analytics. Slutsatsen i samtliga: överföringen av personuppgifter till USA via GA4 strider mot GDPR. De flesta varningar och förelägganden som skickas ut idag refererar tillbaka till de besluten.

Det betyder att om du fått en varning i 2026 är saken redan avgjord i praxis. Det finns inget "ja men vi har consent-banner" eller "vi anonymiserar IP-numret"-svar som håller. IMY har redan tittat på de invändningarna och avvisat dem. Försök inte vinna på substans, fokusera på att åtgärda.

  1. Jul 2020
    Schrems II

    EU-domstolen ogiltigförklarar Privacy Shield. USA blir tredje land utan adekvat skyddsnivå.

  2. 2022
    Italien, Frankrike, Österrike

    Tre EU-datatillsynsmyndigheter förbjuder GA4. Sätter precedensen.

  3. Jul 2023
    IMY beslut Sverige

    Fyra svenska företag fälls för GA4-användning. Sanktionsavgifter mellan 0 och 12 miljoner kr.

  4. 2024-2026
    Bredare granskning

    IMY skickar ut förfrågningar till fler företag baserat på samma resonemang.

Steg 1: De första 7 dagarna

Bekräfta mottagning

Svara IMY inom den tidsfrist som anges i brevet (oftast 14 till 30 dagar). Be inte om förlängning för att "hinna analysera". Det signalerar att ni inte har koll, vilket gör att granskningen blir djupare.

Stäng av eller migrera GA4 omedelbart

Du har två val: stäng av GA4-trackern på sajten just nu, eller migrera till ett EU-baserat alternativ. Att lämna den igång medan ärendet pågår är det absolut värsta valet, det vittnar om medveten överträdelse.

Spårlös tar 90 sekunder att sätta upp och fungerar parallellt med GA4 om du vill ha continuitet. Du kan slå av GA4 dagen efter och fortfarande ha kontinuerlig analytics-data.

Dokumentera vad du gjort, daterat

Skapa ett internt dokument med datum, åtgärd, ansvarig person. "2026-05-25: inaktiverade GA4-tracker på alla domäner, ansvarig: Anna Andersson, CTO." Det här blir bevismaterialet om IMY frågar "när vidtog ni åtgärd?".

Steg 2: De första 30 dagarna

Granska ALL tredjepartsöverföring, inte bara GA4

Många företag fokuserar bara på GA4 efter en varning och missar att samma resonemang träffar andra US-baserade tjänster. Gå igenom listan: Hotjar, Mixpanel, Facebook Pixel, Google Tag Manager, Google Maps, YouTube embeds, Stripe (om ni har checkout-data), HubSpot, Salesforce, Mailchimp. Allt som skickar besöksdata till USA är i samma båt.

Skriv ny privacy policy + cookie-policy

Reflektera nya verkligheten: ni använder inte GA4 längre, ni har bytt till en EU-baserad webbanalys-leverantör som inte sätter cookies. Den nya policyn bör nämna sub-processorer explicit och länka till leverantörens DPA.

Skaffa ett DPA enligt GDPR Art. 28

Detta är obligatoriskt mellan dig (personuppgiftsansvarig) och din nya leverantör (biträde). Många privacy-analytics-leverantörer erbjuder förifyllt DPA som PDF, klart att skicka till legal. Spårlös DPA går att ladda ner direkt på /dpa utan registrering.

Steg 3: De första 90 dagarna

Svara IMY med ett substansrikt åtgärdsbrev

När du svarar IMY, beskriv:

  • Vilket datum GA4 inaktiverades.
  • Vilken EU-baserad leverantör som ersatte den.
  • Att ni har upprättat ett DPA enligt GDPR Art. 28 med den nya leverantören.
  • Att privacy policy och cookie-policy är uppdaterade.
  • Att övriga tredjepartsöverföringar granskats och åtgärdats.
  • Att ni har infört en intern process för att hantera nya verktygsval mot GDPR-checklista.

Ett välskrivet åtgärdsbrev stänger 90% av ärendena utan vidare aktion. IMY:s mål är inte att straffa, det är att få efterlevnad. När de ser att ni faktiskt har agerat tappar de motivet att fortsätta.

Sätt upp intern process för framtida verktygsbedömningar

Bygg en mall som ditt team använder INNAN ni adopterar ett nytt SaaS-verktyg: vilken jurisdiktion är leverantören i? Finns DPA? Skickas data utanför EU? Finns sub-processor-lista? Det förhindrar att samma situation upprepas om 18 månader när någon i marknadsavdelningen vill testa en ny ad-tracker.

Vad det kostar att INTE agera

Sanktionsavgifterna i 2023-besluten gick från 0 (Coop, för aktiv samverkan) till 12 miljoner kronor (Tele2). Storleken berodde på företagets omsättning och hur samverkansvilliga de var under utredningen.

Men direktkostnaden är inte det värsta. Att hamna i en publicerad IMY-utredning är en PR-händelse. Dagens Industri rapporterade flitigt på namngivna företag. Procurement-officerare på era kunder kommer att hänvisa till det när de förhandlar. Att ligga sent på åtgärd är dyrare än att ligga tidigt.

Varför Spårlös som ersättning

Vi byggde Spårlös specifikt för det här gapet. Inte ad-tech som lägger på en consent-banner, inte ett US-verktyg med "EU-mode"-toggle. EU-hostad arkitektur, cookie-fri tracker, daglig roterande visitor-hash, DPA som genereras automatiskt vid registrering.

Migration tar 90 sekunder: byt ut script-taggen, koppla din sajt på vår dashboard, klart. Du kan köra parallellt med GA4 i några dagar för att verifiera att din data ser likadan ut.

Ta med dig något konkret

Vårt DPA är förifyllt, refererar svensk lag och listar alla sub-processorer öppet. Ladda ner, mejla till din DPO eller IT-chef, börja samtalet med ett dokument i handen.

Det här gör IMY INTE

  • De godkänner inte verktyg på förhand. Inget verktyg är "IMY-godkänt".
  • De ringer inte. All kommunikation går via brev eller säker myndighetspost. Om någon ringer och säger sig vara IMY är det bedrägeri.
  • De ger inte juridisk rådgivning. De granskar att ni följer lagen, inte hur ni ska göra det. Det är därför vi har sammanställt den här guiden.
  • De skickar inte böter direkt. Det finns alltid möjlighet att rätta innan sanktionsavgift utdöms.

Sammanfattning: din checklista

  • Bekräfta IMY-brevet inom tidsfristen, be inte om förlängning
  • Inaktivera GA4 på alla domäner samma dag
  • Migrera till EU-baserad analytics (Spårlös, Plausible EU, Matomo self-hosted)
  • Dokumentera åtgärder med datum och ansvariga
  • Granska alla US-baserade tredjepartstjänster, inte bara GA4
  • Uppdatera privacy policy och cookie-policy
  • Skaffa DPA enligt GDPR Art. 28 med ny leverantör
  • Svara IMY med substansrikt åtgärdsbrev
  • Sätt upp intern process för framtida verktygsval

Den här guiden är skriven för att hjälpa, inte för att skrämma. Om du fått en IMY-varning är det inte slutet. Det är en signal att stänga ett kapitel som ni ändå borde stängt för länge sedan. Agera snabbt, dokumentera tydligt, byt verktyg, gå vidare.

Frågor? Vi är inte jurister, men vi har hjälpt flera svenska företag igenom migrationen. Mejla [email protected] så svarar vi inom 24 timmar.

Kom igång gratis. Inget kort krävs.

Sätt upp Spårlös parallellt med GA4 så ser du att din data är konsistent innan du stänger av Google.

Fick du varning från IMY? Så här hanterar du den steg för steg | Spårlös