Hoppa till huvudinnehåll

Lag om elektronisk kommunikation och kreditkortsjämförelser

Lag om elektronisk kommunikation (LEK, 2022:482) ersatte 2003 års lag den 3 juni 2022 och kräver att webbplatser inhämtar aktivt samtycke innan de placerar cookies eller liknande spårning. Lagen påverkar hur kreditkortsjämförelser, banker och affiliatesajter samlar in data om besökare.

·
· Uppdaterad maj 2026

Lag om elektronisk kommunikation och kreditkortsjämförelser

Vad reglerar lag om elektronisk kommunikation?

Lag om elektronisk kommunikation (LEK, 2022:482) är den svenska lag som styr cookies, spårning, samtycke och elektronisk marknadsföring och som ersatte 2003 års äldre LEK-lag den 3 juni 2022. Den nya LEK genomför EU:s ePrivacy-direktiv (2002/58/EG) och samordnas med GDPR genom dataskyddsförordningen 2016/679. Tillsynsmyndighet är Post- och telestyrelsen (PTS) tillsammans med Integritetsskyddsmyndigheten (IMY).

För dig som besöker en kreditkortsjämförelse eller bankens hemsida innebär LEK att du måste få aktivt välja vilka cookies du godkänner innan webbplatsen får placera spårningskakor i din webbläsare. Endast strikt nödvändiga cookies (för inloggning, kundvagn, säkerhet) får placeras utan samtycke. Marknadsförings- och analyscookies kräver alltid att du klickar “godkänn” eller motsvarande aktiv handling. Begrepp som tracking pixel, fingerprinting och stark kundautentisering är samlade i ordlistan för kreditkort.

Varför kallas LEK för cookielagen?

LEK kallas i dagligt tal för cookielagen eftersom den mest synliga effekten för användare är de cookie-banner som måste visas vid första besök på en webbplats. Begreppet “cookielag” är dock missvisande eftersom LEK omfattar mer än bara webbcookies, exempelvis spårpixlar, fingerprinting, lokala lagringsutrymmen (localStorage) och liknande tekniker som kan användas för att identifiera en besökare.

Den ursprungliga LEK från 2003 krävde bara passiv information (“informed consent”), men sedan 2018 års tolkning från EU-domstolen och 2022 års nya lag krävs aktivt opt-in. Det innebär att en webbplats inte får anta att du godkänner cookies bara för att du fortsätter scrolla, vilket var praxis i Sverige fram till cirka 2020.

Vilka regler gäller för cookies enligt LEK?

LEK ställer fyra konkreta krav på alla webbplatser som riktar sig till svenska besökare, oavsett om sajten är svensk eller utländsk. Listan nedan visar de fyra grundkraven och vad de innebär praktiskt vid besök på en kreditkortsjämförelse.

  • Aktivt samtycke före placering: Cookies som inte är strikt nödvändiga får placeras först efter att besökaren aktivt klickat “godkänn” eller liknande knapp. Förkryssade kryssrutor är inte giltigt samtycke. Bara att fortsätta scrolla räknas inte heller, vilket var praxis innan EU-domen i Planet49-målet 2019.
  • Tydlig och förståelig information: Besökaren ska få veta vilka cookies som placeras, varför, vilka tredje parter som tar del av datan och hur länge cookien är aktiv. Informationen ska vara tillgänglig innan samtycket ges, vanligen i en cookiebanner med länk till en cookiepolicy.
  • Lika lätt att neka som att godkänna: Sedan 2023 års IMY-praxis ska “neka alla”-knappen vara lika tydlig och tillgänglig som “godkänn alla”-knappen. Webbplatser som gömmer “neka”-knappen i undermeny eller bakom flera klick bryter mot likabehandlingsprincipen.
  • Möjlighet att ändra samtycke: Besökaren ska kunna ångra eller justera sitt cookie-samtycke när som helst, vanligen via en länk i sidfoten eller en flytande knapp. Webbplatsen får inte göra det svårt att återkalla samtycke.

Vilka cookies kräver samtycke och vilka är undantagna?

Strikt nödvändiga cookies (sessions-ID, autentisering, kundvagn, lastbalansering) är undantagna från samtycke eftersom de behövs för att webbplatsen alls ska fungera. Övriga cookies kräver alltid samtycke, inklusive marknadsföringscookies (Facebook Pixel, Google Ads, Adtraction-tracking), analytiska cookies (Google Analytics, Hotjar), preferenscookies (språk, layout) och tredjepartscookies från externa tjänster.

För kreditkortsjämförelser är affiliate-cookies en gråzon: de placeras när du klickar på en jämförelseknapp för att spåra om du senare ansöker om kortet. Sedan 2023 års tolkning krävs samtycke även för affiliate-cookies, vilket är skälet till att de flesta seriösa svenska jämförelsesajter har en cookiebanner som omfattar både analys och affiliate-spårning.

Vilka rättigheter ger LEK besökare?

LEK ger dig fyra grundläggande rättigheter när du besöker en webbplats, och samtliga är reglerade i 9 kap. LEK och kan kontrolleras av PTS och IMY. Den viktigaste är rätten att få välja vilka cookies som placeras innan webbplatsen samlar in data om dig.

Rätt till informerat och aktivt samtycke

Du har rätt att få fullständig information om vilka cookies en webbplats placerar och varför, innan du tar ställning till samtycke. Informationen ska finnas i en cookiebanner som visas vid första besöket eller via en länk till en cookiepolicy. Cookiepolicyn ska innehålla en lista över alla cookies grupperade efter syfte (nödvändiga, analytiska, marknadsföring), deras livslängd och vilken tredje part som har tillgång.

I praktiken innebär det att en seriös svensk kreditkortsjämförelse ska ha minst tre val i cookiebannern: “godkänn alla”, “neka alla” och “anpassa val”, där det sista låter dig välja per kategori. Webbplatser som bara har “godkänn”-knapp utan möjlighet att neka bryter mot LEK och kan anmälas till IMY.

Rätt att neka och ändra samtycke

Du har rätt att neka cookies utan att tappa tillgång till webbplatsens grundfunktion. Vissa funktioner kan vara begränsade om du nekar (exempelvis personaliserade rekommendationer eller chattsupport via tredje part), men kärnfunktionen ska fungera. Du ska också kunna ändra ditt samtycke när som helst utan att behöva besöka en annan sida.

Praktiskt ska kreditkortsjämförelsen ha en flytande knapp eller länk i sidfoten med text som “Cookieinställningar” eller liknande. När du klickar ska du få upp samma val som i den ursprungliga bannern och kunna ändra ditt val per kategori. Tidigare placerade cookies ska raderas om du återkallar samtycke.

Vad händer om LEK inte följs?

Om en webbplats bryter mot LEK kan tre saker hända: IMY utfärdar en sanktionsavgift, PTS kan förelägga rättelse vid vite och tredje part kan kräva skadestånd vid skada. Sanktionsavgifterna kan uppgå till 4 procent av global årsomsättning eller 20 miljoner EUR, samma nivå som GDPR, eftersom LEK och GDPR samordnas i dessa frågor.

För svenska företag har IMY utfärdat sanktioner i flera fall sedan 2022, främst mot stora annonsnätverk och e-handelsplattformar som inte respekterat aktivt samtycke. Sanktionerna har legat mellan 100 000 och 5 000 000 kr per fall och offentliggörs på IMY:s hemsida med vägledning om vad som varit fel.

Hur anmäler du en webbplats som bryter mot cookielagen?

Du anmäler en webbplats som bryter mot LEK i två steg: först kontaktar du webbplatsens dataskyddsombud (DPO) skriftligt och därefter anmäler du till Integritetsskyddsmyndigheten via deras webbformulär. Anmälan är gratis och kräver att du beskriver vad du anser felaktigt, exempelvis att “neka”-knappen saknas eller att cookies placeras innan samtycke.

IMY behandlar anmälningar baserat på allvar och konsumentintresse. Mindre överträdelser kan resultera i en varning och föreläggande om rättelse, medan systematiska överträdelser kan leda till sanktionsavgift. Du har rätt att få veta resultatet av din anmälan, även om enskilda detaljer i utredningen kan vara sekretesskyddade.

Hur skyddas du som besökare på kreditkortssajter?

Som besökare på en kreditkortsjämförelse skyddas du av LEK genom kravet på aktivt cookie-samtycke och av GDPR genom kravet på rättslig grund för all annan personuppgiftsbehandling. Tillsammans betyder regelverken att jämförelsesajten inte får placera marknadsföringscookies utan att du klickat “godkänn”, inte får sälja dina kontaktuppgifter till tredje part utan separat samtycke och inte får skicka marknadsföringsmejl utan att du valt det själv.

Vid registrering av lead på jämförelsesajten ska du få tydlig information om vilka uppgifter som samlas in, varför, hur länge de sparas och vilka samarbetspartners som får data. Du har rätt att begära ut ett registerutdrag och att begära radering enligt GDPR. Enligt personuppgiftslagen och GDPR artikel 17 har du rätt att få dina uppgifter raderade inom 30 dagar från begäran, om inget annat regelverk (exempelvis bokföringslagen) kräver längre lagring.

Vanliga frågor och svar

Q.01

Vad är skillnaden mellan LEK och GDPR?

LEK reglerar specifikt cookies, spårning och elektronisk kommunikation, medan GDPR reglerar all behandling av personuppgifter generellt. LEK ställer krav på samtycke före placering av cookies, GDPR ställer krav på rättslig grund för all databehandling och ger dig rättigheter som tillgång, rättelse och radering. De båda regelverken samordnas och kompletterar varandra.

Q.02

Måste cookiebanner visas på svenska?

Ja, om webbplatsen riktar sig till svenska besökare ska cookiebannern och cookiepolicyn finnas tillgänglig på svenska. Engelska kan finnas parallellt, men förstavalet ska vara svenska. Webbplatser som bara erbjuder cookieinformation på engelska bryter mot informationskravet i LEK, eftersom besökaren ska kunna förstå vad samtycket innebär.

Q.03

Vad räknas som strikt nödvändiga cookies?

Strikt nödvändiga cookies är de som behövs för att webbplatsen alls ska fungera, exempelvis sessions-ID för inloggning, kundvagnsdata vid e-handel, säkerhetscookies mot CSRF-attacker och lastbalanseringsdata. Analyscookies, marknadsföringscookies och preferenscookies är inte strikt nödvändiga, även om webbplatsen själv anser att de är viktiga för upplevelsen.

Q.04

Hur länge gäller mitt cookie-samtycke?

Cookie-samtycket gäller tills du själv återkallar det eller tills cookien går ut, vilket varierar mellan sessionsslut och flera år beroende på cookien. Webbplatsen får inte automatiskt förnya samtycket utan att fråga dig på nytt, vilket är praxis efter cirka 6 till 12 månader. Du kan när som helst återkalla samtycket via cookieinställningar i sidfoten.

Q.05

Får banken skicka marknadsföringsmejl utan mitt samtycke?

Nej, banken får inte skicka elektronisk marknadsföring utan ditt aktiva samtycke enligt 7 kap. LEK. Undantag finns för befintliga kundförhållanden där banken får skicka information om liknande produkter, men du har alltid rätt att avregistrera dig och samtliga marknadsföringsmejl ska innehålla en avregistreringslänk.

Q.06

Vad gäller för spårpixlar och fingerprinting?

Spårpixlar (Facebook Pixel, LinkedIn Insight Tag) och fingerprinting (browser fingerprinting, device-ID) omfattas av samma regler som cookies enligt LEK och GDPR och kräver aktivt samtycke. Sedan 2023 års IMY-praxis räknas alla tekniker som identifierar en besökare över tid som "lagring av eller åtkomst till information" och kräver därför samtycke. Krypterad transport av kortdata vid själva köpet skyddas via 3D Secure, och fysiska kort skyddas mot avläsning genom RFID-blockerande plånböcker.

Författat av
Oliver Ivanovic
Oliver Ivanovic

Grundare & innehållsansvarig

Oliver Ivanovic är grundare och skribent på Kreditio.se. Han har över 5 års erfarenhet av att jämföra och recensera kreditkort på den svenska marknaden, och har skrivit de allra flesta sidorna här. Hans intresse för finans och privatekonomi har gett honom djup förståelse för fördelar och nackdelar med olika kort.

Läs mer om Oliver Uppdaterad: 8 maj 2026
Granskad av
Tomas Andersson
Tomas Andersson Bonusexpert

Tomas Andersson är bonusexpert på Kreditio.se sedan våren 2022. Han har i över 10 år drivit en blogg om kreditkortsbelöningar och har även arbetat som konsult åt stora företag med deras lojalitetsprogram. Tomas har en kandidatexamen i ekonomi från Copenhagen Business School och har enligt egna beräkningar sparat över 100 000 kronor genom kreditkortsanvändning.

Läs mer om Tomas