Vakteye Logo
VAKTEYE
PRISEROM OSSKONTAKTINSIKTERKARRIÄR
Logga in
Tillbaka till insikter
COMPLIANCE

Meta Pixel GDPR-sanktioner i Sverige: 85 miljoner kronor, fem beslut, ett mönster

Vakteye Team/May 6, 2026/9 min läsning

Mellan juni 2023 och juni 2024 utfärdade Integritetsskyddsmyndigheten (IMY) fem separata sanktionsavgifter till svenska bolag för samma underliggande problem: en Meta Pixel på webbplatsen som överförde personuppgifter till Meta/Facebook utan giltig rättslig grund. Sanktionsavgifterna uppgår totalt till 85 miljoner kronor. Samtliga beslut är slutgiltiga.

Den här artikeln är den verifierade dokumentationen. Varje uppgift nedan är knuten till IMY:s beslutslänk och det officiella referensnumret. Om något ändras i källan är artikeln fel — källan vinner.

De fem besluten, sida vid sida

  • Apoteket AB — DI-2023-13015, beslut 2024-06-17. Sanktion: 37 000 000 SEK (~3,36 M EUR). Artiklar: GDPR art. 6.1(a), LEK 9 kap. 28 §, ePrivacy art. 5.3. Källa: imy.se/tillsyner/apoteket/
  • Apohem AB — DI-2023-13016, beslut 2024-06-17. Sanktion: 8 000 000 SEK (~727 000 EUR). Artiklar: samma som Apoteket. Källa: imy.se/tillsyner/apohem/
  • Avanza Bank AB — DI-2022-2177, beslut 2023-06-27. Sanktion: 15 000 000 SEK (~1,36 M EUR). Artiklar: GDPR art. 32, art. 33. Källa: imy.se/tillsyner/avanza/
  • Dagens Industri (Bonnier News AB) — DI-2022-2178, beslut 2023-06-27. Sanktion: 13 000 000 SEK (~1,18 M EUR). Artiklar: GDPR art. 6.1(a), art. 32. Källa: imy.se/tillsyner/bonnier-news-ab/
  • Tele2 Sverige AB — DI-2022-2175, beslut 2023-06-27. Sanktion: 12 000 000 SEK (~1,09 M EUR). Artiklar: GDPR art. 6.1(a), art. 32. Källa: imy.se/tillsyner/tele2-sverige-ab-tele2.se/

Tre av besluten (Avanza, DI, Tele2) togs samma dag — 27 juni 2023 — som en del av en samordnad tillsynsvåg. Apotekspar-besluten (Apoteket, Apohem) togs exakt ett år senare, 17 juni 2024.

Vad Meta Pixel faktiskt gjorde

Meta Pixel är ett JavaScript-snippet som laddas i besökarens webbläsare när en sida öppnas. När sidan laddas läser skriptet av sidans detaljer (URL, sidtitel, knappklick, formulärhändelser) och skickar dem som HTTP-anrop till facebook.com/tr. Om besökaren är inloggad på Facebook kopplar Meta dessa anrop till just den besökarens Facebook-profil.

Den tekniska mekanismen är densamma på alla webbplatser. Det som skiljer de fem fallen är vilken typ av data som lämnar webbläsaren:

  • Apoteket och Apohem: sökningar på receptbelagda läkemedel. Hälsorelaterad surfning (GDPR art. 9 särskild kategori).
  • Avanza: ett programmeringsfel gjorde att kunddata — inklusive belopp och produktsökningar — läckte till Pixeln för cirka 500 000 kunder mellan november 2020 och juni 2021.
  • Dagens Industri: prenumeranters surfmönster och läsbeteende användes för annonsprofilering.
  • Tele2: surfning på den inloggade kundsidan på tele2.se utan separat samtycke för spårning.

Den rättsliga överträdelsen är inte att ha en Meta Pixel. Den rättsliga överträdelsen är att ladda den (och låta den överföra data) utan giltig rättslig grund. För de flesta konsumentwebbplatser kan den rättsliga grunden bara vara besökarens föregående, informerade och frivilliga samtycke enligt GDPR art. 6.1(a) och ePrivacy art. 5.3 — i Sverige genom LEK 9 kap. 28 §.

Varför två olika artikelvägar

De fem besluten delar upp sig i två mönster baserat på vilka artiklar IMY valde att tillämpa:

Väg A — bristande samtycke (Apoteket, Apohem, DI, Tele2)

Pixeln kördes utan giltigt samtycke. IMY tillämpade GDPR art. 6.1(a) (samtycke som rättslig grund som saknades) och, i två av fyra fall, även art. 32 (säkerhet vid behandling). Apoteket och Apohem åberopade dessutom LEK 9 kap. 28 § — Sveriges genomförande av ePrivacy art. 5.3, regeln om samtycke till åtkomst till lagrad information.

Väg B — säkerhetsbrist (Avanza)

Avanza hade ett kodningsfel — Pixeln var felkonfigurerad och överförde finansdata den aldrig borde ha rört. IMY behandlade detta primärt som en säkerhetsincident: GDPR art. 32 (otillräckliga tekniska åtgärder) plus art. 33 (underlåtenhet att anmäla personuppgiftsincidenten inom 72 timmar — företaget upptäckte läckan i juni 2021 men anmälde den inte vid den tidpunkten).

Vägen spelar roll eftersom den ändrar vad "efterlevnad" innebär operativt:

  • Väg A-brister hittas genom att testa din samtyckesbanner: kör Pixeln före samtycke? Stannar den vid avslag? Finns banner ens på sidan?
  • Väg B-brister hittas genom att granska vad Pixeln faktiskt är konfigurerad att skicka. Avanzas banner var inte problemet — det var datat som flödade genom Pixeln som var problemet.

En fullständig granskning täcker båda vägarna. Ett samtyckesbannertest fångar inte en Avanza-typ av felkonfiguration. En kodgranskning av Pixelkonfigurationen fångar inte en Apoteket-typ av samtyckesbrist.

Hur IMY bevisar det

IMY:s beslut beskriver bevismönstret. I varje fall öppnade myndigheten den live-publicerade webbplatsen, observerade nätverkstrafik och matchade utgående anrop till facebook.com/tr mot det dokumenterade samtyckestillståndet. När anropen skickades före samtycke — eller efter att användaren klickat avslag — bevisades överträdelsen genom reproducerbara nätverksloggar.

Detta är samma metod som vilken extern revisor (eller en konkurrents jurist) kan använda. Det kräver inte tillgång till dina servrar, ditt CRM eller din samtyckesplattforms databas. Webbläsaren talar sanning.

Om din webbplats laddar Meta Pixel, öppna DevTools nu, filtrera Network på 'facebook.com/tr', ladda om sidan utan att klicka på samtyckesbannern, och titta. Om anrop skickas innan du har samtyckt reproducerar du exakt det IMY observerade i de fem fallen ovan.

Sanktionsmatten

GDPR art. 83.5 sätter den övre gränsen för samtyckes- och lagenlighetsöverträdelser till det högsta av 20 000 000 EUR eller 4 % av global årsomsättning. IMY:s sanktioner i detta kluster ligger långt under det taket — myndigheten utövar bedömning proportionellt mot personuppgiftsansvarigs intäkter och överträdelsens omfattning.

Spridningen visar mönstret:

  • Apoteket: 37 M SEK på ett statligt apotek med hälsodata — högst i klustret, konsekvent med art. 9-känsligheten.
  • Avanza: 15 M SEK på ett finansiellt brott som påverkade cirka 500 000 kunder — anpassat efter säkerhetsbristens omfattning.
  • DI/Tele2: 12-13 M SEK var på konsumentinriktade media-/telekomföretag — i mellanskiktet.
  • Apohem: 8 M SEK — mindre apotek, mindre verksamhet, samma mönster.

Lägg märke till att apoteksboten överstiger mediabotarna trots att Apohem är ett mindre bolag än Tele2. Förekomsten av hälsodata (art. 9, särskild kategori) drev multiplikatorn även när bolaget självt var litet.

Testa din egen Pixel-status på 90 sekunder

Vakteyes scanner reproducerar IMY:s bevismetod: den öppnar din live-webbplats, observerar utgående nätverkstrafik, klickar avslag på samtyckesbannern och verifierar att Pixeln faktiskt stannar. Fynden mappas till de GDPR-artiklar som åberopas i de fem fallen ovan.

Skanna din domän

Vad klustret inte säger

Tre saker som de fem besluten inte etablerar, även om det ibland påstås:

  • De säger inte att Meta Pixel är olaglig. De säger att det är olagligt att köra den utan giltig rättslig grund. Pixeln är laglig med giltigt samtycke och korrekt dataminimering.
  • De ogiltigförklarar inte samtyckesplattformar (CMP). En CMP som blockerar Pixeln före samtycke och stoppar den vid avslag kan vara förenlig. Sanktionerna träffade webbplatser där CMP:n antingen inte fanns, inte blockerade Pixeln eller inte förmedlade avslagssignalen.
  • De åberopar inte alla samma artikel. Att behandla alla fem som "art. 6.1(a)-fall" är fel — Avanza är primärt ett art. 32 + art. 33-fall. Den rättsliga grunden för sanktionen är inte utbytbar mot den tekniska åtgärden.

Vad det betyder om din webbplats har en Pixel

Tre konkreta kontroller, samtliga möjliga att köra idag:

  1. 1. Kör din webbplats i en ny webbläsarprofil. Utan att klicka på samtyckesbannern, observera nätverksanropen. Varje anrop till facebook.com/tr före en samtyckesåtgärd är en Väg A-brist.
  2. 2. Klicka avslag på samtyckesbannern. Vänta 5 sekunder. Ladda om. Observera igen. Om Pixeln körs efter avslag är det också en Väg A-brist — en CMP som inte förmedlar avslagssignalen.
  3. 3. Inspektera Pixelns faktiska payload. Titta på ett nätverksanrop till facebook.com/tr i DevTools, avkoda payloaden och se vad som finns i custom data-fälten. Om något bortom rena sid-URL:en finns där — söktermer, kund-ID:n, finansiella belopp — har du en Avanza-liknande Väg B-exponering.

Om någon av dessa misslyckas är du ännu inte hos IMY — men du reproducerar exakt de förhållanden IMY observerade i fem fall som resulterade i sanktioner på totalt 85 miljoner kronor. Att åtgärda detta är billigare än den minsta sanktionen i klustret.

Verifierbara summor: Apoteket 37 M + Avanza 15 M + DI 13 M + Tele2 12 M + Apohem 8 M = 85 000 000 SEK i fem slutgiltiga IMY-beslut. Källa: imy.se/tillsyner/-sidorna länkade ovan. Samtliga beslut verifierade mot IMY:s kanoniska register 2026-05-05.

Bottom line

IMY:s Meta Pixel-kluster är den tydligaste tillsynssignalen i den svenska GDPR-historiken. Fem sanktioner, två olika rättsliga vägar, ett konsekvent mönster: Pixeln överförde personuppgifter utan giltig rättslig grund, och tillsynsmyndigheten fångade det genom att titta på vad webbläsaren faktiskt gjorde.

Om din webbplats har en Meta Pixel kan du inte luta dig mot "vi har en samtyckesbanner". De fem sanktionerade bolagen hade alla banner. Det avgörande var om bannern faktiskt styrde Pixeln — eller om Pixeln körde ändå. Det är ett femminuters-test, och det är samma test som IMY kör.

Från banner till beteende

Vakteye verifierar att din samtyckesbanner faktiskt stoppar spårare, inte bara att den finns. Varje fynd mappas till åberopad GDPR-artikel och relevant svensk tillsynspraxis.

Kör en gratis Pixel-granskning

Är ni i riskzonen?

Få er gratis compliance-rapport

Vi skannar er sajt live och visar exakt vilka risker som ligger öppna — innan IMY hittar dem.

Boka demo · gratis skanning
Föregående

NIS2-revision i Sverige: vad MCF och PTS faktiskt granskar

Nästa

Policy mot verklighet: hur en GDPR-tillsyn faktiskt går till

Relaterade artiklar

COMPLIANCE5 min läsning

IMY:s cookie-tillslag: Vad ATG, Aller Media och Warner Music betyder för dig

I april 2025 fattade IMY sina första formella beslut om cookie-banners mot tre svenska företag. Överträdelserna var klassiska mörka mönster, och din sajt har sannolikt samma problem.

COMPLIANCE7 min läsning

NIS2 är här: Sveriges cybersäkerhetslag sedan januari 2026

Sveriges NIS2-implementering (Cybersäkerhetslagen) gäller sedan 15 januari 2026. Ingen övergångsperiod. Här är vad den kräver och vad som händer om du struntar i den.

COMPLIANCE6 min läsning

EDPB 2026: Varför transparenstillsyn drabbar svenska företag

EDPB:s samordnade tillsyn 2026 fokuserar på transparens. Om din integritetspolicy inte stämmer med vad din webbplats faktiskt gör är du ett mål.

FÖRETAG

  • PRISER
  • OM OSS
  • KONTAKT
  • INSIKTER
  • info@vakteye.com

JURIDISKT

  • Integritetspolicy
  • Användarvillkor
  • Cookie-policy
  • Datarättigheter (GDPR)
  • Säkerhetspolicy
  • Skanner-information
Vakteye
VAKTEYE

Bevisledger för GDPR, NIS2 och ePrivacy. Varje fynd lagrumskopplat och signerat av en analytiker.

Vakteye
Integritet verifieradKontinuerligt övervakad av Vakteye

© 2026 Vakteye AB. Alla rättigheter förbehållna.