Fick du varning från IMY? Så här hanterar du den steg för steg
Brev från IMY i inboxen, eller bara magkänslan att ni ligger i farozonen. Här är vad som faktiskt händer, vad du behöver göra nu, och hur ni stänger fönstret innan det blir dyrt.
Vad en IMY-varning faktiskt är
Integritetsskyddsmyndigheten (IMY) skickar inte automatiska böter när du gör fel. Processen är trapp-formad: först en informell förfrågan, sedan en formell granskning, sedan ett föreläggande, och först därefter en sanktionsavgift. En "varning" kan vara vilket som helst av de första tre stegen.
Om du har fått ett brev där IMY ber dig redovisa hur ni hanterar webbanalys-cookies eller överföringar till tredje land, är det inte en bot. Det är ett samtal som öppnar processen. Hur du svarar de kommande veckorna avgör om ärendet stängs eller eskalerar.
De fyra IMY-besluten du behöver känna till
Sommaren 2023 publicerade IMY beslut mot fyra svenska företag (CDON, Coop, Dagens Industri, Tele2) som använde Google Analytics. Slutsatsen i samtliga: överföringen av personuppgifter till USA via GA4 strider mot GDPR. De flesta varningar och förelägganden som skickas ut idag refererar tillbaka till de besluten.
Det betyder att om du fått en varning i 2026 är saken redan avgjord i praxis. Det finns inget "ja men vi har consent-banner" eller "vi anonymiserar IP-numret"-svar som håller. IMY har redan tittat på de invändningarna och avvisat dem. Försök inte vinna på substans, fokusera på att åtgärda.
- Jul 2020Schrems II
EU-domstolen ogiltigförklarar Privacy Shield. USA blir tredje land utan adekvat skyddsnivå.
- 2022Italien, Frankrike, Österrike
Tre EU-datatillsynsmyndigheter förbjuder GA4. Sätter precedensen.
- Jul 2023IMY beslut Sverige
Fyra svenska företag fälls för GA4-användning. Sanktionsavgifter mellan 0 och 12 miljoner kr.
- 2024-2026Bredare granskning
IMY skickar ut förfrågningar till fler företag baserat på samma resonemang.
Steg 1: De första 7 dagarna
Bekräfta mottagning
Svara IMY inom den tidsfrist som anges i brevet (oftast 14 till 30 dagar). Be inte om förlängning för att "hinna analysera". Det signalerar att ni inte har koll, vilket gör att granskningen blir djupare.
Stäng av eller migrera GA4 omedelbart
Du har två val: stäng av GA4-trackern på sajten just nu, eller migrera till ett EU-baserat alternativ. Att lämna den igång medan ärendet pågår är det absolut värsta valet, det vittnar om medveten överträdelse.
Spårlös tar 90 sekunder att sätta upp och fungerar parallellt med GA4 om du vill ha continuitet. Du kan slå av GA4 dagen efter och fortfarande ha kontinuerlig analytics-data.
Dokumentera vad du gjort, daterat
Skapa ett internt dokument med datum, åtgärd, ansvarig person. "2026-05-25: inaktiverade GA4-tracker på alla domäner, ansvarig: Anna Andersson, CTO." Det här blir bevismaterialet om IMY frågar "när vidtog ni åtgärd?".
Steg 2: De första 30 dagarna
Granska ALL tredjepartsöverföring, inte bara GA4
Många företag fokuserar bara på GA4 efter en varning och missar att samma resonemang träffar andra US-baserade tjänster. Gå igenom listan: Hotjar, Mixpanel, Facebook Pixel, Google Tag Manager, Google Maps, YouTube embeds, Stripe (om ni har checkout-data), HubSpot, Salesforce, Mailchimp. Allt som skickar besöksdata till USA är i samma båt.
Skriv ny privacy policy + cookie-policy
Reflektera nya verkligheten: ni använder inte GA4 längre, ni har bytt till en EU-baserad webbanalys-leverantör som inte sätter cookies. Den nya policyn bör nämna sub-processorer explicit och länka till leverantörens DPA.
Skaffa ett DPA enligt GDPR Art. 28
Detta är obligatoriskt mellan dig (personuppgiftsansvarig) och din nya leverantör (biträde). Många privacy-analytics-leverantörer erbjuder förifyllt DPA som PDF, klart att skicka till legal. Spårlös DPA går att ladda ner direkt på /dpa utan registrering.
Steg 3: De första 90 dagarna
Svara IMY med ett substansrikt åtgärdsbrev
När du svarar IMY, beskriv:
- Vilket datum GA4 inaktiverades.
- Vilken EU-baserad leverantör som ersatte den.
- Att ni har upprättat ett DPA enligt GDPR Art. 28 med den nya leverantören.
- Att privacy policy och cookie-policy är uppdaterade.
- Att övriga tredjepartsöverföringar granskats och åtgärdats.
- Att ni har infört en intern process för att hantera nya verktygsval mot GDPR-checklista.
Ett välskrivet åtgärdsbrev stänger 90% av ärendena utan vidare aktion. IMY:s mål är inte att straffa, det är att få efterlevnad. När de ser att ni faktiskt har agerat tappar de motivet att fortsätta.
Sätt upp intern process för framtida verktygsbedömningar
Bygg en mall som ditt team använder INNAN ni adopterar ett nytt SaaS-verktyg: vilken jurisdiktion är leverantören i? Finns DPA? Skickas data utanför EU? Finns sub-processor-lista? Det förhindrar att samma situation upprepas om 18 månader när någon i marknadsavdelningen vill testa en ny ad-tracker.
Vad det kostar att INTE agera
Sanktionsavgifterna i 2023-besluten gick från 0 (Coop, för aktiv samverkan) till 12 miljoner kronor (Tele2). Storleken berodde på företagets omsättning och hur samverkansvilliga de var under utredningen.
Men direktkostnaden är inte det värsta. Att hamna i en publicerad IMY-utredning är en PR-händelse. Dagens Industri rapporterade flitigt på namngivna företag. Procurement-officerare på era kunder kommer att hänvisa till det när de förhandlar. Att ligga sent på åtgärd är dyrare än att ligga tidigt.
Varför Spårlös som ersättning
Vi byggde Spårlös specifikt för det här gapet. Inte ad-tech som lägger på en consent-banner, inte ett US-verktyg med "EU-mode"-toggle. EU-hostad arkitektur, cookie-fri tracker, daglig roterande visitor-hash, DPA som genereras automatiskt vid registrering.
Migration tar 90 sekunder: byt ut script-taggen, koppla din sajt på vår dashboard, klart. Du kan köra parallellt med GA4 i några dagar för att verifiera att din data ser likadan ut.
Ta med dig något konkret
Vårt DPA är förifyllt, refererar svensk lag och listar alla sub-processorer öppet. Ladda ner, mejla till din DPO eller IT-chef, börja samtalet med ett dokument i handen.
Det här gör IMY INTE
- De godkänner inte verktyg på förhand. Inget verktyg är "IMY-godkänt".
- De ringer inte. All kommunikation går via brev eller säker myndighetspost. Om någon ringer och säger sig vara IMY är det bedrägeri.
- De ger inte juridisk rådgivning. De granskar att ni följer lagen, inte hur ni ska göra det. Det är därför vi har sammanställt den här guiden.
- De skickar inte böter direkt. Det finns alltid möjlighet att rätta innan sanktionsavgift utdöms.
Sammanfattning: din checklista
- Bekräfta IMY-brevet inom tidsfristen, be inte om förlängning
- Inaktivera GA4 på alla domäner samma dag
- Migrera till EU-baserad analytics (Spårlös, Plausible EU, Matomo self-hosted)
- Dokumentera åtgärder med datum och ansvariga
- Granska alla US-baserade tredjepartstjänster, inte bara GA4
- Uppdatera privacy policy och cookie-policy
- Skaffa DPA enligt GDPR Art. 28 med ny leverantör
- Svara IMY med substansrikt åtgärdsbrev
- Sätt upp intern process för framtida verktygsval
Den här guiden är skriven för att hjälpa, inte för att skrämma. Om du fått en IMY-varning är det inte slutet. Det är en signal att stänga ett kapitel som ni ändå borde stängt för länge sedan. Agera snabbt, dokumentera tydligt, byt verktyg, gå vidare.
Frågor? Vi är inte jurister, men vi har hjälpt flera svenska företag igenom migrationen. Mejla [email protected] så svarar vi inom 24 timmar.