LinkedIns böter på 310 miljoner euro: så slutade en sexårig GDPR-utredning i en av de största annonsrelaterade besluten från den irländska DPC

Kort sammanfattning

Den 22 oktober 2024 delgav den irländska dataskyddsmyndigheten (Data Protection Commission, DPC) LinkedIn Ireland Unlimited Company ett slutligt beslut som ålägger tre administrativa sanktionsavgifter på totalt 310 miljoner euro, en erinran och ett föreläggande att bringa behandlingen i överensstämmelse med GDPR. Beslutet avser LinkedIns behandling av medlemmars personuppgifter för beteendeanalys och riktad annonsering. DPC fastställde överträdelser av artikel 5.1 a, artikel 6.1, artikel 13.1 c och artikel 14.1 c i den allmänna dataskyddsförordningen. LinkedIn åberopade tre rättsliga grunder i artikel 6: samtycke, avtalsnödvändighet och berättigat intresse. DPC avvisade var och en. Ärendet inleddes i 28 maj 2018 med ett klagomål från den franska ideella organisationen La Quadrature du Net till CNIL; i DPC-utredningen kom 8 540 LinkedIn-användare slutligen att företrädas. Sex år senare mynnade det ut i en av de största annonsrelaterade GDPR-böterna från den irländska tillsynsmyndigheten. LinkedIn har överklagat både i ordinarie ordning och genom judicial review; de materiella konstaterandena gäller medan tvisten pågår. Lärdomen för efterlevnad sträcker sig långt bortom Big Tech — den gäller alla organisationer som bedriver beteendebaserad annonsering eller riktad innehållspersonalisering.

Nyckeltal

310 mn € | B2B-socialt nätverk | Big Tech (Microsoft-dotterbolag) | Irländska dataskyddsmyndigheten | Beslut delgivet 22 oktober 2024.

Vad hände: en sexårig utredning slutar i en omfattande bot

Den 28 maj 2018 lämnade den franska digitala rättighetsorganisationen La Quadrature du Net in ett kollektivt klagomål till den franska tillsynsmyndigheten Commission Nationale de l'Informatique et des Libertés (CNIL). I det därpå följande förfarandet hos den irländska DPC kom 8 540 LinkedIn-användare att företrädas. Klagomålet riktade sig mot vad organisationen kallade "GAFAM-affärsmodellen" — kopplingen mellan plattformsåtkomst och obligatorisk acceptans av beteendeanalys och riktad annonsering. Klagomålet riktade sig särskilt mot förkryssade samtyckesrutor, användarvillkorsklausuler om att fortsatt användning av tjänsten utgör acceptans, samt avsaknaden av ett verkligt val för användare som vill använda tjänsten utan att profileras för annonsändamål.

Eftersom LinkedIns europeiska huvudkontor ligger i Dublin överlämnade CNIL klagomålet till irländska DPC enligt mekanismen för en gemensam kontaktpunkt i artikel 56 GDPR. DPC blev därmed huvudansvarig tillsynsmyndighet för utredningen. Utredningen pågick i drygt sex år. Den 22 oktober 2024 delgav dataskyddskommissionärerna — dr Des Hogan och Dale Sunderland — LinkedIn Ireland ett slutligt beslut. DPC offentliggjorde det den 24 oktober 2024. Beslutet innehåller en erinran enligt artikel 58.2 b GDPR, tre administrativa sanktionsavgifter på sammanlagt 310 miljoner euro enligt artiklarna 58.2 i och 83 GDPR samt ett föreläggande enligt artikel 58.2 d att bringa behandlingen i överensstämmelse.

Före det slutliga antagandet lämnades utkastet till beslut i juli 2024 in i samarbetsförfarandet enligt artikel 60 GDPR. Förfarandet ger övriga berörda tillsynsmyndigheter — vars registrerade också påverkas — möjlighet att framställa motiverade invändningar mot den ledande myndighetens utkast. Inga invändningar framfördes. Att invändningar uteblev innebär att ingen berörd tillsynsmyndighet aktiverade tvistlösningen i artikel 65; det ska inte överdrivas som ett formellt godkännande av beloppet från EDPB.

Hur ett enda klagomål från 2018 omformade EU:s annonseringsrätt

La Quadrature du Nets klagomål var inte isolerat. Den 28 maj 2018, tre dagar efter att GDPR började tillämpas den 25 maj 2018, lämnade La Quadrature du Net in fem samordnade kollektiva klagomål till CNIL — mot Facebook (nu Meta), Google, Apple, Amazon och LinkedIn — undertecknade av cirka 12 000 personer. Varje klagomål riktade sig mot samma arkitektoniska problem: kopplingen mellan plattformsåtkomst och obligatorisk acceptans av beteendebehandling, användningen av förkryssade eller underförstådda samtyckesmekanismer och avsaknaden av en verklig nekande väg. Strategin var medveten. Genom att lansera alla fem klagomålen i början av GDPR-eran skapade La Quadrature du Net ett samordnat testfall för förordningens arkitektur kring samtycke och rättslig grund, tillämpad på det dominerande affärsmodellen i kommersiell internet.

De tidiga utfallen av dessa parallella klagomål tecknade det juridiska landskap som skulle nå LinkedIn. I januari 2019 ålade CNIL Google en bot på 50 miljoner euro — den första stora GDPR-boten mot en Big Tech-plattform — för bristande laglighet och transparens i personlig annonsering. I januari 2023 ålade irländska DPC Meta 390 miljoner euro (210 mn € för Facebook och 180 mn € för Instagram) på samma grund — avtalsnödvändighet enligt artikel 6 — som LinkedIn senare skulle försöka, utan framgång, försvara. I maj 2023 fick Meta ytterligare 1,2 miljarder euro i bot för gränsöverskridande dataöverföringar. Varje beslut snävade in tolkningen. När irländska DPC i oktober 2024 meddelade sitt LinkedIn-beslut hade EU-domstolens praxis och tillsynsmyndigheternas avgöranden redan snävat in tillämpningsområdet för artikel 6: avtalsnödvändighet täcker inte beteendebaserad annonsering på ett socialt nätverk, och samtycke måste vara verkligt granulärt och frivilligt. LinkedIn-fallet är en ytterligare tillämpning av denna linje, inte en fristående principiell nyhet.

För organisationer utanför plattformssektorn är den praktiska slutsatsen att de juridiska frågorna inte längre är öppna. EU-domstolen bekräftade redan i sin dom av den 4 juli 2023 i målet Meta Platforms mot Bundeskartellamt (mål C-252/21) att villkoret "nödvändigt för att fullgöra ett avtal" i artikel 6.1 b ska tolkas strikt, att den personuppgiftsansvarige bär bevisbördan för nödvändigheten och att personalisering för annonsintäkter inte utgör avtalsnödvändighet. EU-domstolen stängde därmed den dörr som LinkedIn och andra försökte hålla öppen. LinkedIn-beslutet tillämpar den stängningen.

Beslutet: fyra artiklar, tre avvisade rättsliga grunder

DPC:s utredning granskade ett enda arbetsflöde — behandlingen av medlemmars personuppgifter för beteendeanalys och riktad annonsering — mot hela GDPR-apparaten av principer, rättslig grund och transparens. Utredningen fastställde överträdelser av fyra artiklar: artiklarna 5.1 a, 6.1, 13.1 c och 14.1 c GDPR. I ett preliminärt avgörande meddelat den 20 april 2026 i LinkedIns rättegång har den irländska High Court fastställt att sektion 142 i dataskyddslagen från 2018 begränsar denna statutariska överklagandeväg till beslutet att utdöma själva boten; de underliggande konstaterandena om överträdelse är inte överklagbara enligt sektion 142 och förblir i kraft medan det vidare förfarandet fortsätter.

Artikel 5.1 a — principen om laglighet, korrekthet och öppenhet

Artikel 5 anger GDPR:s grundläggande principer. Artikel 5.1 a kräver att personuppgifter "behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade". DPC konstaterade att LinkedIns beteendebaserade annonseringsflöde stred mot var och en av dessa tre delprinciper. Lagligheten brast eftersom ingen av de åberopade artikel 6-grunderna bar behandlingen. Öppenheten brast eftersom integritetspolicyn inte tillräckligt redogjorde för de åberopade rättsliga grunderna. Korrektheten brast eftersom användarna inte hade någon verklig möjlighet att förstå eller neka behandlingen. DPC:s citat sammanfattar principen direkt: "Behandlingens laglighet är en grundläggande aspekt av dataskyddsrätten, och behandling av personuppgifter utan lämplig rättslig grund är en klar och allvarlig kränkning av den registrerades grundläggande rätt till dataskydd."

Artikel 6.1 — ingen av de tre rättsliga grunderna höll

Artikel 6.1 ålägger den personuppgiftsansvarige att identifiera en rättslig grund före behandlingen. LinkedIn åberopade tre: samtycke (artikel 6.1 a), avtalsnödvändighet (artikel 6.1 b) och berättigat intresse (artikel 6.1 f). DPC prövade var och en och avvisade var och en.

Om samtycke (artikel 6.1 a): DPC tillämpade standarden i artikel 4.11 GDPR — samtycke ska vara "frivilligt, specifikt, informerat och otvetydigt" — och fann att LinkedIns mekanism brast i alla fyra kriterier. Användarna gavs inte ett klart, granulärt val mellan att använda plattformen med beteendebaserad annonsering och att använda den utan. Samtyckesflödet buntade samman flera behandlingsändamål. Informationen angav inte specifikt vilken rättslig grund som åberopades för vilken behandling. Aktivt opt-in för beteendeanalys saknades. Slutsats: samtycket kunde rättsligt inte legitimera behandlingen.

Om avtalsnödvändighet (artikel 6.1 b): DPC följde europeiska dataskyddsstyrelsens riktlinjer från 2019 om artikel 6.1 b i samband med onlinetjänster. Beteendebaserad annonsering är inte "nödvändig" för att fullgöra ett avtal om socialt nätverk; den är på sin höjd ett affärsmässigt val som leverantören gjort för att finansiera tjänsten. En användare kan använda LinkedIn för dess huvudsyften — nätverkande, jobbsökande, innehåll — utan att profileras för annonsering. Nödvändigheten brister.

Om berättigat intresse (artikel 6.1 f): DPC tillämpade trestegsavvägningen — identifiering av intresset, bedömning av nödvändigheten, vägning mot den registrerades rättigheter och friheter. LinkedIns kommersiella intresse av beteendebaserade annonsintäkter är legitimt i första steget. DPC drog dock slutsatsen att behandlingen inte var strikt nödvändig för det intresset (mindre ingripande medel finns, inklusive kontextuell annonsering) och att inverkan på den registrerades rättigheter — inklusive rätten till dataskydd enligt artikel 8 i EU:s stadga om grundläggande rättigheter — vägde tyngre än den personuppgiftsansvariges intresse. Det berättigade intresset faller på avvägningen.

Artikel 13.1 c och artikel 14.1 c — transparenskravet uppfylldes inte

Artiklarna 13 och 14 ålägger den personuppgiftsansvarige att lämna specifik information till den registrerade vid insamlingstillfället. Punkt c i punkt 1 i båda artiklarna kräver att "ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen" meddelas. DPC konstaterade att LinkedIns integritetspolicy inte tillräckligt redogjorde för, i fråga om beteendeanalys och riktad annonsering, vilken artikel 6-grund som åberopades för vilket specifikt ändamål. En integritetspolicy som bara säger "vi kan behandla dina uppgifter på grund av samtycke, avtal eller berättigat intresse" utan att tala om vilken grund som hör till vilket ändamål bryter mot artikel 13/14.1 c. Transparenskravet är granulärt: per ändamål, per rättslig grund, i klart språk.

LinkedIns svar, överklagandet och nuläget

LinkedIn publicerade ett kort officiellt uttalande den 24 oktober 2024: "I dag har den irländska dataskyddsmyndigheten (IDPC) fattat ett slutligt beslut om anspråk från 2018 avseende vissa av våra digitala annonseringsaktiviteter i EU. Även om vi anser oss ha följt den allmänna dataskyddsförordningen (GDPR) arbetar vi med att anpassa vår annonsering efter detta beslut inom den frist som IDPC fastställt." Uttalandet medgav ingen överträdelse och tillkännagav inga konkreta åtgärder.

LinkedIn öppnade därefter två parallella rättsliga spår. Den 18 november 2024 lämnade bolaget in ett lagligt överklagande enligt sektionerna 142 och 150 i den irländska dataskyddslagen från 2018. Den 16 december 2024 beviljade domare Mary Rose Gearty vid High Court LinkedIn tillstånd att inleda en judicial review. LinkedIns åberopade grunder omfattar konstitutionella invändningar mot 2018 års lag, argumentet att boten på 310 miljoner euro är "av kriminell eller straffrättslig karaktär" på grund av sitt belopp och därmed utlöser rättssäkerhetsgarantier enligt stadgan om grundläggande rättigheter och Europakonventionen, samt processuella invändningar mot DPC:s beslutsprocess. LinkedIn anför också att "DPC inte är ett oavhängigt och opartiskt rättsligt organ i stadgans mening".

DPC lämnade sin svarsinlaga den 25 februari 2025. Den irländska staten följde efter den 18 mars 2025. Den 20 april 2026 avgjorde High Court preliminära frågor — särskilt att sektion 142 i 2018 års lag endast tillåter överklagande av beslutet att utdöma en bot, inte av underliggande konstateranden om överträdelse eller av utövandet av andra korrigerande befogenheter. De materiella konstaterandena enligt GDPR förblir alltså i kraft under överklagandet. För organisationer som följer detta fall för efterlevnadssyften är överklagandet en tvist om belopp och förfarande — inte om den materiella analysen av samtycke, rättslig grund och transparens.

Vad LinkedIn kunde ha gjort annorlunda — fallets kärna

DPC:s beslut är inte en teknisk kuriositet mellan en tillsynsmyndighet och en Big Tech-svarande. Det är en metodisk demonstration av hur ett beteendebaserat annonseringsflöde kan brista på varje enskild rättslig grund i artikel 6 samtidigt — och hur en regelriktig alternativ lösning hade sett ut. Varje organisation som bedriver beteendebaserad annonsering — inklusive B2B-SaaS-företag med ABM-poängsättning, e-handelsföretag som personifierar produktrekommendationer och utgivare som monetariserar via riktad display — utsätts för samma analys. Fyra preventionsnivåer hade ändrat utfallet.

Nivå 1 — det specifika arkitekturproblemet i samtyckesflödet

LinkedIns samtyckesflöde gav, enligt DPC:s analys, användaren en "ta det eller lämna det"-logik. Informationen om rättsliga grunder var generisk — "samtycke, avtal eller berättigat intresse" — i stället för granulär per behandlingsändamål. Aktivt opt-in för beteendeanalys saknades; plattformen lutade sig mot fortsatt användning som implicit samtycke. Det fanns ingen "Neka alla"-väg med samma visuella tyngd som "Acceptera alla" vid samtyckesgränssnittet. Inget av dessa designval är unikt för LinkedIn. De var branschstandard 2018 och förblev vanliga vid utredningstillfället. DPC:s poäng är att GDPR sedan den 25 maj 2018 kräver något annat — och en branschstandard blir inte laglig av att den är vanlig.

Nivå 2 — den tekniska kontrollen som hade förhindrat det

Det regelriktiga alternativet är väl definierat. En granulär Consent Management Platform (CMP) med separata, lika framträdande opt-in-omkopplare för varje enskilt behandlingsändamål — profilvisning, beteendeinferens, riktad annonsering, kombination med tredjepartsdata — uppfyller specifikationskravet i artikel 4.11. En fungerande "Neka alla"-väg med samma visuella tyngd som "Acceptera alla" uppfyller kriteriet "frivilligt". Standardläge AV för varje omkopplare för beteendeanalys, med krav på aktivt opt-in, uppfyller kriteriet "otvetydigt". En samtyckeslogg per ändamål, hämtbar på begäran från den registrerade, tidsstämplad och versionsmärkt mot den information som visades vid samtyckestillfället, uppfyller kriteriet "informerat". Inget av detta är exotisk teknik. Open source-CMP-ramverk stöder allt detta; de stora kommersiella CMP-leverantörerna marknadsför alla dessa funktioner. Implementeringskostnaden för en regelriktig CMP för en organisation av LinkedIns storlek ligger mellan 500 000 € och 2 mn €, plus årlig driftkostnad. För en SMF kostar samma arkitektur mellan 5 000 € och 50 000 €.

Nivå 3 — den organisatoriska kontrollen som hade upptäckt det

En konsekvensbedömning avseende dataskydd (DPIA) enligt artikel 35 GDPR är obligatorisk innan högriskbehandling införs — och beteendebaserad annonsering i stor skala utgör enligt varje rimlig läsning en högriskbehandling med systematisk övervakning enligt artikel 35.3 b. En DPIA som genomförs före driftsättning, undertecknad av dataskyddsombudet och granskad mot artikel 6-analysen per ändamål, hade synliggjort arkitekturfelet i samtyckesflödet. En dokumenterad kvartalsgenomgång av samtyckeskvalitet — opt-in-andel per ändamål, nekandegrad, återkallandegrad, klagomålsvolym — hade lyft frågan till ledningsnivå långt innan ett tillsynsärende öppnades. En tydlig DSO-signering av integritetspolicyn mot en checklista över kraven i artikel 13/14.1 c hade fångat den generiska formuleringen "samtycke, avtal eller berättigat intresse". Var och en av dessa kontroller är standardmässig styrhygien i ett moget GDPR-program.

Nivå 4 — kostnad mot bot: matematiken avgör saken

DPC har ålagt 310 miljoner euro i administrativa avgifter, vilka fortfarande är föremål för LinkedIns överklagande, och LinkedIn står dessutom inför kostnaden för att efterleva DPC:s föreläggande. Preventionskostnaden — en regelriktig CMP, en DPIA-process, löpande revisioner av samtyckeskvalitet, DSO-tid för integritetspolicyn — hade legat mellan 500 000 € och 2 mn € för en organisation av LinkedIns storlek. Förhållandet är cirka 150 till 600 gånger preventionskostnaden. För en SMF är absolutbeloppen annorlunda men logiken identisk: preventionen rör sig vanligen mellan 5 000 € och 50 000 €; jämförbara böter i SMF-skiktet (där tillsynsmyndigheterna skalar utifrån företagsstorlek) ligger oftast mellan 100 000 € och 2 mn €. Matematiken är förkrossande i varje skala. Frågan för varje efterlevnadsansvarig är inte om prevention är värd investeringen utan om organisationen agerar före eller efter att tillsynsmyndigheten gör det.

Vill ni veta om er organisation har samma exponering som LinkedIn? Gör Viktoria Compliance gratis 10-minutersbedömning → Den mappar er nuvarande position kring beteendebaserad annonsering och rättslig grund mot de GDPR-artiklar som irländska DPC faktiskt tillämpat i detta beslut och identifierar de specifika luckor en tillsynsmyndighet skulle hitta först.

Branschlärdom: vem är exponerad i dag

LinkedIn-beslutet är en av de högsta annonsrelaterade GDPR-böterna irländska DPC har ålagt, men det är ingen isolerad händelse. Det tillhör ett tydligt tillsynsmönster som accelererat sedan 2022, där irländska DPC och andra ledande tillsynsmyndigheter systematiskt monterat ned plattformars rättsgrundsanspråk för beteendebaserad annonsering. Meta-böterna från januari 2023 (210 mn € till Facebook och 180 mn € till Instagram för liknande brister i rättslig grund i personlig annonsering), TikToks bot på 345 mn € i september 2023 (barns uppgifter och transparens) och Ubers bot på 290 mn € i augusti 2024 från den nederländska tillsynsmyndigheten (olagliga överföringar av förardata till USA enligt kapitel V i GDPR) ligger alla i samma linje. LinkedIn-beslutet är den senaste datapunkten, inte den första.

Exponeringen är inte begränsad till sociala medieplattformar eller Big Tech. Tre kategorier av organisationer löper störst risk att reproducera LinkedIns rättsliga position. För det första B2B-SaaS-företag som driftsätter ABM-plattformar, beteendepoängsättningssystem eller lead-prioriteringsmodeller. Analysen av rättslig grund är identisk: den som profilerar EU-baserade fysiska personer (beslutsfattare inom målkonton) behöver en ren grund i artikel 6 för profileringen, inte bara för den underliggande CRM-posten. För det andra e-handelsföretag som personifierar rekommendationer, dynamiska priser eller retargeting med beteende på den egna webbplatsen kombinerat med tredjepartsdata. För det tredje utgivare och medieorganisationer som monetariserar via programmatisk annonsering — det belgiska beslutet mot IAB Europe (2 februari 2022) och den efterföljande EU-domstolsdomen i IAB Europe mot Gegevensbeschermingsautoriteit (mål C-604/22, 7 mars 2024) har redan slagit fast att TCF-signalen utgör personuppgift, att IAB Europe är gemensamt personuppgiftsansvarig och att samtycke som inhämtas via en TCF-banner ensam kan vara otillräckligt för GDPR. Varje utgivare som använder TCF bör läsa LinkedIn-beslutet som en varning: tillsynsmyndighetens tålamod är slut.

Cookiebanner-kopplingen: TCF, IAB Europe och tillsyn mot dark patterns

LinkedIns samtyckesarkitektur är en del av ett större problem som EU systematiskt monterar ned. Det belgiska dataskyddsmyndighetens beslut från februari 2022 mot IAB Europe — branschföreningen bakom Transparency and Consent Framework (TCF), den tekniska infrastruktur som används av de flesta europeiska utgivare och adtech-leverantörer — fastställde att TCF-signalen i sig utgör personuppgift, att IAB Europe är gemensamt personuppgiftsansvarig för den samtyckessträng som genereras genom TCF-banners, och att samtycke insamlat genom TCF-mekanismer i den dåvarande utformningen inte uppfyllde GDPR. EU-domstolen bekräftade och förfinade denna ståndpunkt i IAB Europe mot Gegevensbeschermingsautoriteit (mål C-604/22, 7 mars 2024).

EDPB:s riktlinjer 3/2022 om "vilseledande designmönster i sociala medieplattformars gränssnitt" (antagna i mars 2022, slutversion publicerad i februari 2023) beskriver med utarbetade exempel de designval som utgör dark patterns förbjudna enligt GDPR. Samtyckesflöden som visuellt nedtonar nekandealternativet, kräver extra klick för att neka, formulerar nekande negativt eller förkryssar rutor pekas alla ut. EDPB:s yttrande 08/2024 om "consent-or-pay"-modeller har lagt till ytterligare en datapunkt och betonat att användare måste erbjudas ett verkligt val i stället för att de facto drivas in i beteendespårning som standard. Trenden är konsekvent: tillsynsmyndigheterna accepterar inte längre samtyckesflöden vars huvudsyfte är att extrahera opt-in. Standarden är: äkta, granulärt, frivilligt samtycke — eller ingen behandling.

För organisationer som driver cookiebanners eller in-produkt-samtyckesflöden bör LinkedIn-beslutet läsas tillsammans med rapporten från EDPB:s cookiebanner-arbetsgrupp (januari 2023, om cookie-specifik samtyckespraxis) och EDPB:s riktlinjer 3/2022 om vilseledande designmönster (antagna mars 2022). Det sammanlagda budskapet är operativt: en organisation som inte har omdesignat sin samtyckesarkitektur i ljuset av detta vägledningskorpus är exponerad för tillsyn, och tillsynsmyndigheterna har visat att böterna når hundratals miljoner för de största överträdarna och hundratusentals för mellanstora organisationer.

Vad LinkedIn-fallet betyder för svenska organisationer

För en svensk personuppgiftsansvarig är LinkedIn-beslutet inte en avlägsen nyhetshändelse. Integritetsskyddsmyndigheten (IMY) har i flera publicerade beslut tillämpat samma juridiska analys som irländska DPC nu tillämpat på LinkedIn. Det mest centrala är beslutet av 26 juni 2023 mot Bonnier News, en av Skandinaviens största mediegrupper. IMY ålade Bonnier en sanktionsavgift på 13 miljoner kronor (cirka 1,1 miljoner euro) för olovlig profilering enligt artikel 6.1 GDPR. Bonnier åberopade berättigat intresse enligt artikel 6.1 f för att profilera webbplatsbesökare i syfte att leverera riktad annonsering. IMY avvisade åberopandet på avvägningsdelen av trestegsavvägningen: utvärderingen av användarbeteende baserat enbart på ett webbplatsbesök, kombinerad med data från köpsituationer eller andra register för telemarketing och direkt marknadsföring, ansågs gå utöver vad de registrerade rimligen kunde förvänta sig. Slutsatsen var att samtycke krävs för sådan omfattande profilering. Den juridiska analysen är identisk med den irländska DPC:s analys av LinkedIn.

Den 30 augusti 2024 ålade IMY två svenska apotekskedjor sanktionsavgifter för felaktig användning av Meta-pixeln på sina webbplatser i marknadsföringssyfte: Apoteket AB fick 37 miljoner kronor (cirka 3,2 miljoner euro) och Apohem fick 8 miljoner kronor (cirka 740 000 euro). Dessförinnan, i april 2024, fick Avanza Bank en sanktionsavgift på 15 miljoner kronor i samma kategori av Meta-pixel-ärenden. I april 2025 utfärdade IMY formell kritik mot tre stora företag för icke-efterlevande cookiebanners med dark patterns. Den genomgående analytiska linjen i dessa beslut är densamma som i LinkedIn-fallet: den fyrastegstest av samtycke som följer av artikel 4.11, den strikta tolkningen av avtalsnödvändighet, och den granulära informationsplikten i artiklarna 13 och 14.

Konkret betyder detta att svenska B2B-företag som använder LinkedIn-, Google- eller Meta-annonsering i kombination med egen profilering — exempelvis i marknadsavdelningens lead-scoring eller i kontostrategiska account-based-marketing-flöden — bär ett eget ansvar som personuppgiftsansvariga. Bara för att en ad-tech-plattform själv har fått en bot betyder det inte att den svenska annonsören är skyddad. Den svenska organisationen är personuppgiftsansvarig (eller gemensamt personuppgiftsansvarig) för det processade urvalet av målgrupper, för matchning av kunddata mot plattformsdata och för den profilbyggande analys som följer. Bonnier-beslutet och apoteksärendena visar att en organisation inte kan skjuta över ansvaret till plattformen: den rättsliga grunden måste identifieras och dokumenteras separat för varje syfte, av den svenska organisationen själv.

Framåtblick: det andra efterlevnadsregimet — AI-akten — tillämpas från den 2 augusti 2026

Beteendebaserad annonsering är tekniskt sett automatiserad profilering. Från och med den 2 augusti 2026 tillämpas EU:s förordning om artificiell intelligens (AI-akten) på en definierad kategori AI-system och lägger ytterligare skyldigheter ovanpå GDPR. När ett system som används i annonsering faller under bilaga III till AI-akten — särskilt kategorierna för system som används i anställningsbeslut eller åtkomst till väsentliga tjänster — ålägger artikel 14 i AI-akten leverantören en designskyldighet för mänsklig tillsyn, artikel 26.7 ålägger den som driftsätter en informationsskyldighet gentemot fysiska personer och artikel 86 inrättar en rätt till en klar förklaring av den roll AI-systemet spelade i beslutet. Organisationer som inte har åtgärdat GDPR:s samtyckes- och rättsgrundsskikt fram till den 2 augusti 2026 går in i ett andra regim med andra skyldigheter, andra aktörer och ett parallellt tak om 15 mn € eller 3 % av global omsättning för bristande efterlevnad av högrisk. Den praktiska följden: att rätta GDPR-skiktet nu är samtidigt förberedelse för AI-akten. De två regimerna överlappar exakt på de flöden som LinkedIn-beslutet granskat.

Varför fallet är prejudikat för varje personuppgiftsansvarig

Frestelsen, när man läser ett beslut mot ett globalt Microsoft-dotterbolag, är att klassa det som "Big Tech-problem" och anta att analysen inte når ned till en organisation med 200 anställda i Berlin eller 50 anställda i Ljubljana. Antagandet är felaktigt, och strukturen i DPC:s resonemang gör det medvetet felaktigt. DPC grundade inte beslutet på LinkedIns storlek, globala räckvidd, moderbolag eller antal påverkade användare. Det grundade beslutet på den juridiska arkitekturen kring samtycke och rättslig grund i GDPR — en arkitektur som tillämpas enhetligt för en personuppgiftsansvarig som behandlar uppgifter om en enda EU-registrerad eller om hundra miljoner. Varje steg i DPC:s analys — fyrakriterietestet för samtycke i artikel 4.11, den strikta läsningen av avtalsnödvändighet, trestegsavvägningen för berättigat intresse, det granulära informationskravet i artikel 13/14.1 c — gäller för ett CRM-system i ett regionalt B2B-SaaS-företag exakt på samma sätt som för LinkedIns globala annonsflöde.

Det storleksskillnaden ändrar är botens belopp, inte överträdelsens existens. Artikel 83.2 GDPR räknar upp de faktorer tillsynsmyndigheten ska beakta vid utmätningen — bland annat överträdelsens art, allvar och varaktighet, kategorierna av berörda uppgifter, den personuppgiftsansvariges grad av samarbete och "alla andra försvårande eller förmildrande omständigheter som är tillämpliga på fallet". För en SMF skulle samma överträdelse som gav LinkedIn 310 miljoner euro typiskt resultera i en bot mellan 50 000 € och 500 000 € — fortfarande betydande, ofta existentiell, alltid undviklig. För en mellanstor organisation med en årsomsättning på 50 mn € till 500 mn € ligger den analoga boten vanligen mellan 1 mn € och 10 mn €. Botbanden skalar; den juridiska analysen gör det inte. Att läsa LinkedIn-beslutet som en handbok i vad man inte ska göra är rätt reaktion, oavsett organisationens storlek.

Saneringsplan på 90 dagar

För en organisation som läst hit och känner igen exponeringen, här en 90-dagarsplan kalibrerad för en mellanstor personuppgiftsansvarig med ett befintligt GDPR-program men begränsade investeringar i granulär samtyckesarkitektur eller DPIA för beteendebehandling. Varje fas avgränsas av en tydlig leverans och en godkännande ansvarig.

Dag 1-30 — kartläggning och gap-analys. Plocka ut från register över behandling (artikel 30) varje aktivitet som omfattar profilering, beteendeinferens, personifierad marknadsföring, lead scoring, dynamiskt innehåll eller analytik som korsar gränsen från aggregerat till individuellt. Dokumentera per aktivitet: det specifika ändamålet, datakategorier, åberopad artikel 6-grund, om DPIA finns, om integritetspolicyn redovisar rättslig grund per ändamål och om samtyckesmekanismen (om åberopad) är verkligt granulär. Leveransen är ett register med en rad per aktivitet och en dedikerad kolumn för varje brist. Godkänner: dataskyddsombudet.

Dag 31-60 — arkitektonisk sanering. Byt ut eller omkonfigurera CMP så att varje behandlingsändamål har en separat opt-in, är förvald till AV och producerar en samtyckeslogg per ändamål som är hämtbar på begäran från den registrerade. Lägg till en "Neka alla"-väg med samma tyngd i varje samtyckesgränssnitt. Skriv om integritetspolicyn så att den per ändamål anger den specifika artikel 6-grund som åberopas — i klart språk, inte juridisk jargong. Genomför DPIA enligt artikel 35 för varje aktivitet som markerats i fas 1 som systematisk profilering eller storskalig beteendeanalys. Godkänner: CTO (för CMP) och dataskyddsombudet (för DPIA och policy).

Dag 61-90 — operationalisering och revision. Utbilda kundnära team i de nya samtyckesflödena och i hanteringen av registrerades förfrågningar som följer av den nya informationen. Sätt upp en kvartalsrevision av samtyckeskvalitet med nyckeltal: opt-in-andel per ändamål, nekandegrad, återkallandegrad, klagomålsvolym och svarstid för rättigheter. Dokumentera revisionsrytmen och eskaleringsvägen för väsentliga avvikelser. Informera styrorganet om den nya positionen, de restrisker som identifierats i DPIA och revisionsplanen. Godkänner: styrorganet, med dataskyddsombudet som sekreterare. Leveransen i denna fas är en hållbar styrgrund som överlever personalomsättning och produktförändringar.

Självtest: fem frågor innan tillsynsmyndigheten ställer dem

Använd detta korta självtest på er egen behandling. En osäker svar betyder en verklig lucka.

• Kan ni per behandlingsändamål peka ut den specifika rättsliga grunden i artikel 6.1 (a-f) ni stödjer er på — och uppvisa den dokumenterade bedömningen som stödjer den?
• Om ni stödjer er på samtycke: är er insamling verkligt granulär (en omkopplare per ändamål), med aktivt opt-in (förvald AV, inte fortsatt användning), en "Neka alla"-väg med samma visuella tyngd som "Acceptera alla" och en logg per ändamål som är hämtbar på begäran?
• Om ni stödjer er på berättigat intresse: har ni genomfört och dokumenterat ett trestegsavvägningstest (identifiera intresset, bedöma nödvändigheten, väga mot den registrerades rättigheter) — och håller det mot en utmaning om "mindre ingripande medel"?
• Anger er integritetspolicy till varje registrerad, per ändamål, den specifika artikel 6-grund ni åberopar för det ändamålet — i stället för en generisk samlingsformulering?
• Har ni genomfört och dokumenterat en DPIA enligt artikel 35 GDPR för varje behandling som omfattar systematisk profilering eller storskalig beteendeanalys av EU-fysiska personer?

Om någon av frågorna gett osäkerhet — Viktoria Compliance gratis 10-minutersbedömning → kartlägger er konkreta exponering över alla GDPR-moduler — inklusive modulerna rättslig grund, transparens, DPIA och biträden/överföringar som är mest direkt berörda av LinkedIn-beslutet — och producerar en prioriterad åtgärdslista innan en tillsynsmyndighet gör det.

Vanliga frågor

Hur räknades beloppet 310 mn € fram?

Det totala beloppet 310 mn € är strukturerat som tre administrativa sanktionsavgifter, var och en enligt artiklarna 58.2 i och 83 GDPR. DPC har i sitt offentliga pressmeddelande inte publicerat en fördelning per artikel; själva beslutstexten innehåller detaljen. Det som är offentligt verifierat är att de totala 310 mn € motsvarar utredningens konstateranden om överträdelser av artiklarna 5.1 a, 6.1, 13.1 c och 14.1 c. Boten ligger i det högre bandet enligt artikel 83.5 — tak 20 mn € eller 4 % av global årsomsättning, det högre gäller. LinkedIn-koncernens omsättning placerar 310 mn € långt under det lagstadgade 4 %-taket.

Utfärdade EDPB ett bindande beslut enligt artikel 65?

Nej. Samarbetsförfarandet enligt artikel 60 löpte utan invändningar från berörda tillsynsmyndigheter. Utkastet till beslut lämnades in i juli 2024; inom den lagstadgade fristen framställde ingen annan myndighet motiverade invändningar. Därför utlöstes inget tvistlösningsförfarande enligt artikel 65 inför europeiska dataskyddsstyrelsen. Att invändningar uteblev innebär enbart att ingen berörd tillsynsmyndighet aktiverade artikel 65; det får inte beskrivas som ett formellt godkännande av beloppet eller allvaret av EDPB.

Är boten slutgiltig, eller kan överklagandet minska den?

De materiella konstaterandena om överträdelser av artiklarna 5.1 a, 6.1, 13.1 c och 14.1 c GDPR är inte överklagbara via den statutariska vägen i sektion 142 — High Court har bekräftat detta i sitt preliminära avgörande av den 20 april 2026. Det vidare förfarandet omfattar fortfarande konstitutionella och judicial-review-argument; den mer försiktiga formuleringen är därmed att konstaterandena förblir i kraft medan dessa förfaranden pågår. Överklagandet rör därför botens storlek samt de konstitutionella och stadgerelaterade argumenten. En sänkning är juridiskt möjlig; ett totalt undanröjande av den materiella analysen är högst osannolikt. Föreläggandet om efterlevnad enligt artikel 58.2 d gäller oavsett.

Vad innebär detta för B2B-bolag som inte är annonseringsplattformar?

Varje organisation som profilerar EU-fysiska personer för marknadsföring, lead-prioritering, kontopoängsättning eller personifierat innehåll utsätts för samma analys som DPC tillämpade på LinkedIn. De juridiska frågorna är identiska: vilken artikel 6-grund bär profileringen? Är samtycke (om åberopat) frivilligt och granulärt? Klarar berättigat intresse (om åberopat) avvägningen? Anger integritetspolicyn rättslig grund per ändamål? Ett B2B-SaaS-bolag som driver en ABM-plattform bör behandla detta beslut som direkt prejudikat.

Gäller GDPR-tillsyn fortfarande för brittiska organisationer efter brexit?

Ja — på två sätt. UK GDPR (den brittiska inhemska versionen av förordningen) ålägger materiellt identiska skyldigheter, som upprätthålls av Information Commissioner's Office. EU-GDPR tillämpas fortsatt extraterritoriellt på brittiska organisationer som erbjuder varor eller tjänster till registrerade i EU eller övervakar deras beteende i EU (artikel 3.2 GDPR). Ett brittiskt företag som bedriver EU-riktad beteendebaserad annonsering är samtidigt exponerat mot båda regimerna.

Vad är en realistisk tidsplan för efterlevnad för en medelstor organisation?

För en medelstor organisation (50-500 anställda) med ett befintligt GDPR-program är en 90-dagarsplan realistisk: 30 dagar för att kartlägga varje behandlingsaktivitet som omfattar profilering eller beteendeanalys och granska den åberopade rättsliga grunden för var och en; 30 dagar för att införa en granulär CMP och skriva om de berörda integritetspolicyerna för att uppfylla artikel 13/14.1 c; 30 dagar för att genomföra en DPIA på den mest högriskbehandlingen och etablera revisionscykeln för samtyckeskvalitet. För en organisation som startar från en låg GDPR-bas dubbleras tidsramen. Viktoria Compliance-bedömningen levererar en prioriterad version av denna plan, anpassad efter identifierade brister.

Operativa lärdomar — vad svenska compliance-team bör göra inom 30 dagar

Den enklaste och mest värdeskapande första åtgärden för ett svenskt compliance-team som läst LinkedIn-beslutet är att genomföra en snabb intern inventering inom 30 dagar. Inventeringen behöver inte vara fullständig — den ska identifiera de tre till fem aktiviteter där organisationen löper störst risk att replikera LinkedIns rättsliga position. Konkret handlar det om varje arbetsflöde där (a) profilering eller beteendeanalys av EU-baserade fysiska personer förekommer, (b) den åberopade rättsliga grunden är otydlig eller hämtad ur en standardklausul, och (c) integritetspolicyn inte specificerar rättslig grund per syfte. Dessa tre kriterier filtrerar snabbt vilka system och kampanjer som behöver djupare granskning.

Andra åtgärden är att besluta om en intern eskaleringsväg innan IMY eller en annan tillsynsmyndighet hör av sig. Artikel 83.2 GDPR räknar uttryckligen upp graden av samarbete och de tekniska och organisatoriska åtgärder som har vidtagits som relevanta faktorer vid bedömningen av sanktionsavgiftens storlek. Att den verkställande ledningen kan visa att den känner till exponeringen, har godkänt en åtgärdsplan och övervakar implementeringen kan därför fungera som förmildrande omständighet i ett enskilt tillsynsärende. Att ledningen inte känner till exponeringen, eller känner till den men inte agerar, ligger i motsatt riktning — det är den situation som typiskt sett medför den största bedömningen av allvar.

Slutsats: tillsyn är inte längre en hypotes

LinkedIn-beslutet stänger en sexårig båge, öppnad av ett klagomål från en liten fransk organisation för digitala rättigheter och avslutad med en av de högsta annonsböterna som irländska DPC har utfärdat. Den juridiska analys som DPC tillämpat är nu stadigt förankrad i EU-domstolens praxis och tillsynsmyndigheternas avgöranden. De tekniska och organisatoriska kontroller som hade hindrat överträdelsen är väl dokumenterade, brett tillgängliga och måttliga i kostnad jämfört med sanktionen. De tillsynsmyndigheter som tidigare uppfattades som milda har genom detta och andra färska beslut visat att den milda eran är slut. Frågan för varje personuppgiftsansvarig som bedriver beteendeprofilering, personifierad marknadsföring, lead scoring eller annan systematisk behandling av EU-data är inte längre om tillsynsmyndigheten en dag kommer att titta. Frågan är om saneringen är slutförd innan — eller efter — den tittar.

Källor (primärdokument)

• Irländska Data Protection Commission, pressmeddelande av den 24 oktober 2024 — "Irish Data Protection Commission fines LinkedIn Ireland €310 million" — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Irländska Data Protection Commission, beslutssida — "Inquiry into LinkedIn Ireland Unlimited Company - October 2024" — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Irländska Data Protection Commission, slutligt beslut (PDF), 22 oktober 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Irländska Data Protection Commission, register över sanktionsavgifter med överklagandestatus — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, officiellt svar av den 24 oktober 2024 — "Our Response to the Irish Data Protection Commission's Decision" — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, "Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission", 24 oktober 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, "LinkedIn claims data watchdog's €310m fine is 'penal' sanction", 16 december 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, "High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision" — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• Irländska High Court, LinkedIn Ireland Unlimited Company mot Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Förordning (EU) 2016/679 (GDPR) — artiklarna 5, 6, 13, 14, 35, 58, 60, 83 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• EU-domstolen, mål C-604/22, IAB Europe mot Gegevensbeschermingsautoriteit, dom av den 7 mars 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• EU-domstolen, mål C-252/21, Meta Platforms Inc. m.fl. mot Bundeskartellamt, dom av den 4 juli 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — kampanjsidan "Personnal Data" — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — meddelande om de ursprungliga GAFAM-klagomålen (28 maj 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Europeiska dataskyddsstyrelsen, Yttrande 08/2024 om giltigt samtycke i kontexten av "consent-or-pay"-modeller (antaget 17 april 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en
• Integritetsskyddsmyndigheten (IMY) — beslut mot Bonnier News AB, 26 juni 2023, sanktionsavgift 13 miljoner kronor för olovlig profilering enligt artikel 6.1 GDPR — https://www.imy.se/nyheter/
• Integritetsskyddsmyndigheten (IMY) — sammanställning av sanktionsavgifter och beslut — https://www.imy.se/en/about-us/swedish-authority-for-privacy-protections-assignment/sa-arbetar-vi-med-tillsyn/fines-and-warnings/

Läs vidare

LinkedIn-beslutet är en nod i ett tätt sammankopplat kluster av EU-regulatoriska skeden. Följande artiklar täcker de besläktade ämnena — börja med det som ligger närmast er nuvarande fråga.

• Dark patterns och cookie-samtycke 2026 — LinkedIns UX-fel i samtycket har samma arkitektur som driver fram cookiebanner-tillsyn. Fördjupningen i regelriktiga samtyckesflöden. (/blog/dark-patterns-cookies-2026)
• GDPR artikel 22 möter AI-akten: automatiserade beslut 2026 — beteendebaserad annonsering är automatiserad profilering, och från den 2 augusti 2026 lägger AI-akten ett andra efterlevnadsregime ovanpå. Här bildas nästa stora tillsynsvåg. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• AI-inventeringsdeadline 2 augusti 2026 — den som bedriver målgruppsstyrning, scoring eller personalisering behöver ett AI-register före AI-aktens tillämpning. Så bygger man ett. (/blog/ai-inventory-deadline-august-2026)
• Status för NIS2-implementering i hela EU 2026 — tillsynen mot Big Tech blir rubrik; NIS2 är nästa våg som når mellanstora bolag och SMF i alla 27 medlemsländer. (/blog/nis2-transposition-status-eu-2026)
• GDPR + NIS2 + AI-akten: den integrerade efterlevnadsstacken — att driva tre silade program kostar mer än att driva ett integrerat. Strategisk arkitektur här. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)