Sveriges dataskyddsmyndighet, Integritetsskyddsmyndigheten (IMY), har stadigt ökat sin tillsynsaktivitet under 2025. Det som en gång ansågs vara en relativt mild tillsynsmyndighet har blivit en av EU:s mest tekniskt fokuserade dataskyddsmyndigheter, med särskilt fokus på cookieefterlevnad och automatiserad spårningsteknik.
Skiftet började i slutet av 2024 när IMY publicerade uppdaterad vägledning om tolkningen av e-dataskyddsdirektivet så som det införlivats i svensk lag (LEK). Vägledningen klargjorde att analyticscookies, annonspixlar och fingeravtrycksskript alla kräver ett förhandsinformerat samtycke — en ståndpunkt som visserligen överensstämmer med EU-domstolens praxis, men som överraskade många svenska organisationer.
Under första halvåret 2025 genomförde IMY samordnade granskningar av 40 offentliga webbplatser och 25 stora e-handelsplattformar. Resultaten var slående: över 70 % av de granskade webbplatserna använde spårningsteknik innan giltigt samtycke inhämtats. De vanligaste överträdelserna var cookiebanners med förkryssade rutor, cookie-väggar som villkorade åtkomst med samtycke samt avvisningsknappar dolda bakom flera klick.
Tillsynsåtgärderna har följt ett tydligt upptrappningsmönster. Inledande överträdelser resulterar vanligtvis i en formell tillsägelse med en tidsfrist för åtgärder. Organisationer som inte åtgärdar bristerna inom 90 dagar riskerar administrativa sanktionsavgifter enligt artikel 83 i GDPR. IMY har utfärdat sanktionsavgifter på mellan 500 000 och 12 miljoner kronor under 2025, med en genomsnittlig avgift på cirka 3 miljoner kronor.
Budskapet till företag verksamma i Sverige är tydligt: egenbedömning räcker inte längre. IMY förväntar sig att organisationer genomför regelbundna tekniska granskningar av sina cookieimplementationer, upprätthåller dokumentation av sina samtyckesmekanismer och kan visa att alternativet att avvisa cookies är lika tillgängligt som att acceptera. Myndigheten har särskilt noterat att den använder automatiserade skanningsverktyg i sina preliminära bedömningar — vilket innebär att din webbplats efterlevnad utvärderas redan innan en formell utredning inleds.
Framöver har IMY signalerat att tillsynsprioriteringarna 2026 kommer att utvidgas till att omfatta gränsöverskridande dataöverföringar (särskilt till USA-baserade analysleverantörer) och skärningspunkten mellan AI-system och behandling av personuppgifter. Organisationer bör förbereda sig genom att se över sina dataflöden, uppdatera sina konsekvensbedömningar avseende dataskydd och säkerställa att deras cookielösningar klarar automatiserad granskning.