Efter IMY-beslutet

GA4 är inte längre lagligt.
Vi är.

Efter IMY:s beslut 2023 är Google Analytics inte längre ett alternativ för svenska företag som tar GDPR på allvar. Spårlös är byggt specifikt för det här gapet. EU-hostat, inga US-överföringar, DPA på 30 sekunder, sub-processorer listade öppet.

DPA enligt GDPR Art. 28, förifyllt, på svenska. Skicka direkt till din compliance-person.

Vad IMY faktiskt sa

Sommaren 2023 publicerade Integritetsskyddsmyndigheten (IMY) sina beslut mot fyra svenska företag som använde Google Analytics. Slutsatsen: överföringen av personuppgifter till USA via GA4 strider mot GDPR.

Det här är inte en gråzon längre. Det är inte ett "håll-utkik-på-detta". Det är ett skarpt myndighetsbeslut som binder svenska företag att inte använda GA4 i sin nuvarande form, med eller utan IP-anonymisering, med eller utan consent-banner.

För B2B-företag med EU-kunder, mid-size svenska företag och alla med procurement-officerare som läser GDPR-bedömningen är detta inte längre en teknisk fråga. Det är en juridisk position.

Hela bakgrunden i bloggen

Vi är byggda för det här

Inte en bolt-on consent-banner. Inte ett "du kan stänga av Google Signals"-tricks. Spårlös är ett analytics-verktyg vars hela arkitektur är gjord för att passera Schrems II.

EU-hostat, ingen US-överföring

All data lagras inom EU. Inga US-subprocessorer i datavägen. Inga CDN-edge-noder som dropar data i USA. Svenskt datacenter under 2026.

Inga cookies, ingen banner

Vi sätter inga cookies, läser ingen localStorage, gör ingen fingerprinting. Ingen cookie-banner krävs enligt ePrivacy. Visitor-hashen roterar dagligen.

DPA på svenska, Art. 28

Auto-genererat databehandlaravtal vid registrering. Refererar svensk lag, namnger oss som biträde, listar sub-processorer. PDF, ladda ner när du vill.

IP slängs efter länder-uppslag

IP används i minnet för en sekund för att lista land. Sedan släpps den. Aldrig persisterad, aldrig loggad, aldrig delad.

Vad vi samlar in. Och vad vi inte gör.

Det här är tabellen din DPO behöver. Vi har ingen dold telemetri, ingen undanskymd advertising-pixel, inget "avancerade signaler"-läge att stänga av.

Datapunkt
Spårlös
GA4
Sidvisning + sökväg
Ja
Ja
Anonym besökar-ID (visitor hash)
Daglig roterande
Persistent client_id i cookie
IP-adress
In-memory, slängs efter 1 sek
Skickas till US för bearbetning
Land
Ja (utan stad)
Ja (med stad)
Browser + OS + enhetstyp
Namn (Chrome / iOS / Mobile)
Full fingerprint inkl. version, språk, skärm
Referrer + UTM
Ja
Ja
Custom events (klick, scroll)
Nej
Ja, default auto-trackat
User-ID-koppling (CRM, email)
Nej
Ja, om aktiverat
Cross-site tracking
Nej
Ja, via Google Signals
Ad-personalisering
Nej
Ja, default
Säljs till advertisers
Nej
Ja, via Google Ads
Tränar AI-modeller på din data
Nej
Ja

Sub-processorer, öppet listade

Inget gömt. Här är allt som rör din data, vem och var.

Infrastruktur (compute + lagring)
Var: EU-datacenter, ISO 27001-certifierat
Syfte: Kör Spårlös-applikationen och lagrar event-data
Managerad kontodata-leverantör
Var: EU, SOC 2 Type II-certifierad
Syfte: Lagrar användarkonton, sajt-konfiguration och prenumerationer
Backup-leverantör
Var: EU-baserad
Syfte: Daglig backup av kontodata och event-data
E-postleverantör (Resend, EU-region)
Var: EU
Syfte: Transaktionella mejl: verifiering, veckorapport, larm
Betalningsleverantör (Stripe Sweden AB)
Var: EU
Syfte: Fakturering och kortbetalningar. Ser ingen besökar-data.

Listan uppdateras om vi byter leverantör. Du blir aviserad via mejl 30 dagar innan ändring träder i kraft. Hela listan står också i vårt DPA.

Vad Schrems II betyder för dig

Schrems II är EU-domstolens beslut från 2020 som ogiltigförklarade Privacy Shield, det avtal som tidigare gjorde det möjligt att överföra personuppgifter till USA. Sedan dess är överföringar till USA i princip otillåtna utan omfattande "supplementary measures" (extra skyddsåtgärder) som i praktiken sällan håller för en granskning.

GA4 skickar pageview-data via Google-infrastruktur som inkluderar US-baserade edge-noder och bearbetningssystem. EU-Data-Boundary-läget hjälper på papper men har inte testats juridiskt, och IMY har redan beslutat att det inte räcker.

Spårlös skickar din besöks-data till en server i EU. Punkt. Inga edge-noder i USA, inga "data flow safeguards" att lita på. Datapathen är geografiskt enkel: besökarens browser → vår EU-server. Färdigt.

Schrems II i praktiken (blogg)

Ta med dig något konkret till legal

Vårt DPA är förifyllt, refererar svensk lag, listar sub-processorer och definierar oss som biträde enligt GDPR Art. 28. Ladda ner, mejla till din DPO eller inköpsavdelning, börja samtalet med ett dokument i handen.

Konto krävs inte. Vi mejlar inget. Bara ett rakt nedladdningsbart dokument.

När legal har godkänt: kom igång på 90 sekunder

Inget kort krävs vid registrering. 14 dagars Pro-prov ingår automatiskt. Sub-processorer listade i samma sekund som ditt konto skapas.

Efter IMY-beslutet · GDPR-säker webbanalys för svenska företag · Spårlös | Spårlös