GDPR för e-handel handlar om fyra saker: rätt rättslig grund för kundregistret, laglig hantering av marknadsföring, korrekt cookie-samtycke och rimliga lagringstider för orderdata. En svensk webbutik behandlar personuppgifter i varje led – från kundkonto och beställning till nyhetsbrev, övergivna varukorgar och analysverktyg. Reglerna kommer från två håll: dataskyddsförordningen för själva personuppgifterna och lagen om elektronisk kommunikation (2022:482, LEK) för cookies och elektronisk direktmarknadsföring. Att blanda ihop dem är den vanligaste källan till fel.
Viktigaste punkterna
- Kundregistret vilar normalt på avtal (art. 6.1 b) för köpet och berättigat intresse (art. 6.1 f) eller samtycke för marknadsföring.
- Cookies som inte är strikt nödvändiga kräver samtycke enligt LEK – det gäller även analys- och marknadsföringscookies.
- Orderdata som utgör räkenskapsinformation ska sparas i sju år enligt bokföringslagen; övriga kunduppgifter gallras tidigare.
- Profilering för till exempel produktrekommendationer och övergivna varukorgar kräver en tydlig rättslig grund och information.
- IMY:s beslut om Google Analytics (Tele2 12 MSEK, CDON 300 000 kr, 2023) drabbar direkt e-handelns analysuppsättningar.
Rättslig grund för kundregistret
En webbutiks behandling har flera ändamål, och varje ändamål behöver sin egen rättsliga grund:
| Ändamål | Rättslig grund |
|---|---|
| Genomföra köpet och leverera | Avtal (art. 6.1 b) |
| Bokföring av ordern | Rättslig förpliktelse (art. 6.1 c) |
| Kundkonto och orderhistorik | Avtal / berättigat intresse |
| Nyhetsbrev och e-postmarknadsföring | Samtycke eller berättigat intresse (befintliga kunder) |
| Produktrekommendationer, profilering | Berättigat intresse (art. 6.1 f) |
| Analys och statistik | Samtycke via cookies |
Den vanligaste felkällan är att blanda ihop grunderna – att till exempel hämta ett samtycke till nyhetsbrev och tro att det legitimerar all marknadsföring. Marknadsföring till befintliga kunder om liknande produkter kan ofta stödjas på berättigat intresse med en dokumenterad intresseavvägning, medan marknadsföring till den som inte är kund normalt kräver samtycke.
En annan vanlig missuppfattning är att avtalsgrunden täcker mer än den gör. Avtalet (art. 6.1 b) legitimerar bara den behandling som är nödvändig för att fullgöra köpet – ta betalt, leverera, hantera retur och reklamation. Så snart du går utöver detta, till exempel genom att bygga en marknadsföringsprofil eller dela uppgifter med en samarbetspartner, behöver du en annan grund. Det är därför registerförteckningen bör bryta ned webbutikens behandling i separata ändamål med var sin grund, i stället för att klumpa ihop allt under “kundhantering”.
Cookies och LEK
Cookieregler ligger inte i GDPR utan i LEK. Huvudregeln: att lagra eller läsa information i användarens terminal (cookies, pixlar, liknande tekniker) kräver samtycke, utom när det är strikt nödvändigt för att tillhandahålla den tjänst användaren uttryckligen begärt. En varukorgscookie är nödvändig för att kunden ska kunna slutföra köpet; en analys- eller annonscookie är det inte, eftersom den tjänar butikens intresse och inte den tjänst kunden uttryckligen begärt.
Det praktiska kravet är en cookiebanner där icke-nödvändiga cookies är avstängda som förval och där användaren aktivt måste samtycka. En banner som bara har “Acceptera” utan ett likvärdigt “Neka” uppfyller inte samtyckeskraven. Post- och telestyrelsen (PTS) är tillsynsmyndighet för cookiereglerna i LEK, medan IMY hanterar de bakomliggande personuppgifterna – en uppdelning som gör det extra viktigt att både banner och behandling är rätt.
Google Analytics och tredjelandsöverföring
IMY beslutade 2023 om sanktionsavgifter för användning av Google Analytics: Tele2 fick 12 miljoner kronor och CDON 300 000 kronor för att personuppgifter överfördes till USA utan tillräckliga skyddsåtgärder. För e-handel är detta direkt relevant eftersom analys-, annons- och pixelverktyg ofta skickar data till amerikanska leverantörer. Efter att EU–USA:s dataskyddsramverk (Data Privacy Framework) trädde i kraft 2023 kan överföringar till certifierade amerikanska mottagare vara lagliga, men webbutiken måste kontrollera att just dess leverantör omfattas. Reglerna behandlas närmare i vår guide om tredjelandsöverföring.
Lagring av orderdata
En återkommande fråga: hur länge får orderuppgifter sparas? Svaret är tudelat. Fakturor och verifikationer är räkenskapsinformation och ska sparas i sju år enligt bokföringslagen (1999:1078). Men kundens hela profil – köpbeteende, marknadsföringssamtycken, wishlists – omfattas inte av bokföringskravet och ska gallras enligt ändamålet. Sätt därför separata gallringsfrister: behåll det bokföringen kräver, gallra resten när kundrelationen inte längre motiverar lagringen.
Profilering och övergivna varukorgar
Modern e-handel bygger på profilering: produktrekommendationer, personaliserade utskick och påminnelser om övergivna varukorgar. Rättsligt är detta behandling som kräver en tydlig grund och transparent information. Automatiska produktrekommendationer och segmentering kan oftast vila på berättigat intresse, men bara efter en dokumenterad intresseavvägning där kundens rimliga förväntningar vägs in. Ju mer ingående profileringen är, desto tyngre väger integritetsintresset.
Övergivna varukorgar är ett typexempel. Att skicka en påminnelse till en inloggad kund som lämnat produkter i varukorgen kan rymmas inom berättigat intresse, medan att spara och profilera beteendet hos en besökare som aldrig identifierat sig snarare kräver cookiesamtycke enligt LEK. Gränsen går vid om behandlingen bygger på uppgifter du fått genom ett avtalsförhållande eller genom spårning i webbläsaren. Automatiserat beslutsfattande som har rättsliga följder eller på liknande sätt i betydande grad påverkar kunden – till exempel automatiskt nekad kredit i kassan – omfattas dessutom av de särskilda kraven i artikel 22, med rätt till mänsklig inblandning. Avanza Bank fick 2021 en sanktionsavgift på 15 miljoner kronor sedan en felkonfigurerad Facebook-pixel oavsiktligt överfört känsliga kunduppgifter till Meta – en påminnelse om att spårningsverktyg i kassaflödet måste kontrolleras noga innan de aktiveras.
Vad en webbutik behöver ha på plats
- Registerförteckning som täcker samtliga behandlingar från order till analys – se registerförteckning.
- Integritetspolicy som uppfyller informationskraven i art. 13 – en färdig struktur finns i vår mall för integritetspolicy.
- Cookiebanner som uppfyller LEK med förvalt nej och ett tydligt nekaalternativ.
- Biträdesavtal med betallösning, fraktbolag, e-postplattform och analysleverantör.
- Gallringsrutiner som skiljer bokföringsdata från övriga kunduppgifter.
För en växande e-handel med många verktyg och integrationer blir överblicken snabbt en utmaning. En plattform som Legiscope kan hålla ihop register, biträdesavtal och gallringsfrister, vilket sänker risken att en analysleverantör eller en marknadsföringsintegration glider under radarn. Kostnadsbilden för sådana verktyg beskrivs i vår kostnadsguide.
Vanliga frågor
Får jag skicka nyhetsbrev till mina kunder utan samtycke?
Till befintliga kunder kan du ofta marknadsföra liknande produkter med stöd av berättigat intresse, förutsatt att kunden vid insamlingen fick möjlighet att tacka nej och kan avregistrera sig i varje utskick. Till den som inte är kund krävs normalt samtycke.
Måste jag ha en cookiebanner?
Ja, om din butik använder cookies som inte är strikt nödvändiga – till exempel analys eller annonsering. Bannern ska ha icke-nödvändiga cookies avstängda som förval och ett nekaalternativ som är lika lätt som att acceptera. Reglerna finns i lagen om elektronisk kommunikation, inte i GDPR.
Hur länge får jag spara kundens orderhistorik?
Räkenskapsinformation (fakturor, verifikat) ska sparas i sju år enligt bokföringslagen. Övriga uppgifter om kunden ska gallras när ändamålet är uppfyllt – sätt separata gallringsfrister för de olika kategorierna.
Får jag använda Google Analytics på min webbutik?
Bara om överföringen av personuppgifter till USA är laglig. Efter IMY:s beslut mot Tele2 och CDON 2023 krävs att din leverantör omfattas av EU–USA:s dataskyddsramverk eller att andra skyddsåtgärder finns på plats, och att du inhämtat cookiesamtycke. Alternativet är att använda ett analysverktyg som lagrar data inom EU. Kontrollera alltid vart dina spårningsverktyg skickar data innan du aktiverar dem.
Slutsats
GDPR för e-handel kräver att du håller isär grunderna: avtal för köpet, bokföring för fakturan, samtycke eller berättigat intresse för marknadsföringen och LEK-samtycke för cookies. Sätt korrekta gallringsfrister som skiljer bokföringsdata från övrig kunddata, och kontrollera dina analys- och annonsverktygs överföringar efter IMY:s Google Analytics-beslut. Grunden finns i dataskyddsförordningen och i IMY:s vägledning, och för cookies i LEK under PTS tillsyn.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial