Cookie-samtycke: Vad lagen faktiskt kräver
Cookie-samtycke är ett av de mest missförstådda kraven inom digital integritet. Många företag tror att de uppfyller reglerna bara för att de visar en cookie-banner. Men en banner är inte samtycke. Samtycke är ett specifikt juridiskt begrepp med exakta krav — och att inte uppfylla dessa krav kan innebära att hela din datainsamling är olaglig.
Den juridiska grunden
Cookie-samtycke vilar på två juridiska pelare:
ePrivacy-direktivet artikel 5.3 fastställer kravet: att lagra eller få tillgång till information på en användares enhet kräver användarens samtycke, om inte lagringen är strikt nödvändig för en tjänst som användaren uttryckligen har begärt. Detta är den regel som specifikt reglerar cookies.
GDPR artikel 4.11 definierar vad samtycke innebär: "den registrerades 'samtycke' varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne."
Dessa två bestämmelser fungerar tillsammans. ePrivacy-direktivet talar om när samtycke behövs (för icke-nödvändiga cookies). GDPR talar om hur giltigt samtycke ser ut. Båda måste vara uppfyllda.
De fem kraven på giltigt samtycke
Utifrån GDPR artikel 4.11, artikel 7 och EDPB:s riktlinjer 05/2020 om samtycke måste giltigt cookie-samtycke uppfylla fem kriterier:
1. Frivilligt
Användaren måste ha ett verkligt val. Samtycke är inte frivilligt om:
- Åtkomst är villkorad av samtycke. Om användaren inte kan använda webbplatsen utan att acceptera alla cookies (en "cookie-vägg") är samtycket inte frivilligt. EDPB har bekräftat denna ståndpunkt, även om vissa nationella dataskyddsmyndigheter tillåter begränsade cookie-väggar under vissa omständigheter — särskilt om ett verkligt alternativ finns (såsom en betald, cookie-fri version).
- Det finns en betydande maktobalans. I relationer mellan arbetsgivare och anställd eller myndighet och medborgare kanske samtycket inte är verkligt frivilligt. För de flesta webbplatser är detta mindre relevant, men det spelar roll för offentliga tjänster och intranätplattformar.
- Att neka är betydligt svårare än att acceptera. Om "Acceptera alla" är en framträdande knapp medan "Neka alla" kräver att man navigerar genom inställningar, är samtycket inte frivilligt. Både italienska Garante och franska CNIL har utfärdat specifik vägledning som kräver att det ska vara lika enkelt att neka cookies som att acceptera dem.
2. Specifikt
Samtycke måste lämnas separat för varje enskilt ändamål. Det är därför cookie-kategorier finns. En giltig samtyckesmekanism måste låta användare acceptera analyscookies samtidigt som de nekar marknadsföringscookies, eller tvärtom. Att bunta ihop alla cookies i ett enda "acceptera" eller "neka" uppfyller inte specificitetskravet — även om det är acceptabelt att erbjuda både "Acceptera alla" och "Neka alla" som genvägar vid sidan av kontroller per kategori.
3. Informerat
Innan användaren lämnar samtycke måste hen få veta:
- Vem som sätter cookies (webbplatsoperatören och eventuella tredje parter)
- Vad varje kategori av cookies gör
- Hur länge cookies varar
- Hur man återkallar samtycke
Denna information måste presenteras tydligt och på ett enkelt språk. En cookie-policy på 5 000 ord begravd bakom tre klick gör inte samtycket "informerat" i någon meningsfull bemärkelse. Det första lagret i din samtyckesmekanism bör innehålla tillräckligt med information för att användaren ska kunna fatta ett informerat beslut.
4. Otvetydigt
Samtycke kräver en entydig bekräftande handling. Användaren måste aktivt göra något för att uttrycka samtycke — klicka på en knapp, kryssa i en ruta, slå på en brytare.
Vad som INTE utgör otvetydigt samtycke:
- Förkryssade rutor. EU-domstolen slog definitivt fast i Planet49 (mål C-673/17, oktober 2019) att förkryssade rutor inte utgör giltigt samtycke. Detta gäller cookie-inställningar där kategorier är ikryssade som standard.
- Fortsatt surfande. "Genom att fortsätta använda denna webbplats samtycker du till cookies" är inte giltigt samtycke. Att bara skrolla eller klicka på en länk är inte en "otvetydig viljeyttring". Flera dataskyddsmyndigheter har bekräftat detta, och EDPB:s riktlinjer är tydliga på denna punkt.
- Webbläsarinställningar. Att förlita sig på användarens webbläsarinställningar som en form av samtycke har avvisats av tillsynsmyndigheter. Webbplatsoperatören måste inhämta samtycke direkt.
- Tystnad eller passivitet. Om användaren ignorerar bannern och fortsätter surfa är det inte samtycke. Inga cookies ska placeras förrän användaren har gjort ett aktivt val.
5. Föregående
Även om det inte listas som ett separat element i GDPR artikel 4.11, gör ePrivacy-direktivet klart att samtycke måste inhämtas innan cookies placeras. Detta är kravet som många webbplatser fortfarande misslyckas med att uppfylla. Skript som körs vid sidladdning — och sätter analys- och marknadsföringscookies innan användaren ens har sett samtyckesbannern — bryter mot detta grundläggande krav.
Rent tekniskt innebär detta att icke-nödvändiga skript måste blockeras tills samtycke ges. Att bara visa en banner medan cookies redan sätts uppfyller inte kravet på föregående samtycke.
Hur giltigt samtycke ser ut i praktiken
En regelefterlevande cookie-samtyckesimplementering:
- Blockerar alla icke-nödvändiga cookies innan användaren interagerar med samtyckesmekanismen.
- Presenterar ett tydligt första lager som förklarar de kategorier av cookies som används, med alternativ att acceptera eller neka varje kategori.
- Erbjuder "Acceptera alla" och "Neka alla" med samma grad av framträdande — samma storlek, samma visuella tyngd, samma antal klick som krävs.
- Använder inte mörka mönster — inga vilseledande knappfärger, inga dolda nekaalternativ, inget förvirrande språk, ingen knuffning mot att acceptera.
- Länkar till en detaljerad cookie-policy som listar varje cookie med namn, ändamål, varaktighet och leverantör.
- Registrerar samtycket med en tidsstämpel och de specifika kategorier som användaren accepterade eller nekade.
- Kör endast relevanta skript efter att samtycke getts för den specifika kategorin.
Samtyckets livscykel
Samtycke är inte en engångshändelse. Det har en livscykel som din implementering måste stödja:
Insamling
Första besöket: visa samtyckesmekanismen, blockera icke-nödvändiga cookies, invänta användarens handling.
Lagring
När samtycke ges, lagra användarens val i en strikt nödvändig cookie (inget samtycke behövs för denna cookie, eftersom den krävs för att respektera användarens integritetsval). Lagra också en serversidig registrering som bevis på samtycke.
Tillämpning
Vid efterföljande sidladdningar, läs samtyckescookien och kör endast de skript som matchar de kategorier användaren accepterat. Visa inte bannern igen — respektera det lagrade valet.
Återkallande
GDPR artikel 7.3 är tydlig: "Det ska vara lika enkelt att återkalla som att ge sitt samtycke." Din webbplats måste erbjuda ett beständigt, lättillgängligt sätt för användare att när som helst ändra sina cookie-inställningar. Ett vanligt tillvägagångssätt är en liten ikon eller länk i sidfoten som återöppnar gränssnittet för samtyckeshantering.
Förnyelse
Samtycke varar inte för evigt. CNIL rekommenderar att samtycke förnyas var 13:e månad. EDPB har inte fastställt någon specifik varaktighet men kräver att samtycket förblir giltigt och att användarens val fortfarande återspeglar deras faktiska önskemål. Bästa praxis är att fråga på nytt minst en gång om året eller när din användning av cookies förändras väsentligt.
Förändringar
Om du lägger till nya cookies, nya tredjepartstjänster eller nya ändamål kanske befintligt samtycke inte längre täcker dem. Användare bör tillfrågas på nytt om att lämna (eller undanhålla) samtycke för den nya behandlingen.
Samtyckesregistreringar och bevis
GDPR artikel 7.1 fastställer: "Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt." För cookie-samtycke innebär detta att du måste föra register över:
- När samtycket gavs (tidsstämpel)
- Vad användaren samtyckte till (vilka kategorier som accepterades, vilka som nekades)
- Hur samtycket samlades in (hur samtyckesmekanismen såg ut vid tillfället — en versionsidentifierare eller skärmdump)
- Vem som gav samtycke (vanligtvis en anonymiserad identifierare, inte användarens namn)
Om en tillsynsmyndighet ber dig bevisa att en specifik cookie placerades med giltigt samtycke är dessa register ditt försvar. Utan dem har du inga bevis för att din samtyckesmekanism fungerar — och bevisbördan ligger på dig, inte på tillsynsmyndigheten.
Vanliga samtyckesbrister
Baserat på tillsynsåtgärder över hela Europa är dessa de oftast bestraffade samtyckesbristerna:
- Cookies placerade före samtycke. Analys- och marknadsföringsskript som körs vid sidladdning, innan användaren interagerar med bannern.
- Inget nekaalternativ i det första lagret. Att kräva att användare klickar på "Inställningar" eller "Hantera preferenser" för att neka cookies, medan "Acceptera alla" är omedelbart tillgängligt.
- Förkryssade kategorier. Samtyckesbrytare som är påslagna som standard för analys och marknadsföring.
- Ingen möjlighet att återkalla samtycke. När bannern väl har stängts finns det inget sätt för användaren att ändra sitt val.
- Samtyckesvägg / cookie-vägg. Att blockera åtkomst till innehåll om inte alla cookies accepteras.
- Vilseledande design. Att använda grönt för "Acceptera" och grått för "Neka", göra acceptera-knappen större, eller använda förvirrande språk som "Fortsätt utan att acceptera" kontra "Acceptera och fortsätt".
Passiro skannar din webbplats cookie-samtyckesimplementering och kontrollerar dessa vanliga brister, vilket hjälper dig att identifiera och åtgärda efterlevnadsluckor innan en tillsynsmyndighet gör det.
Nästa: när exakt krävs samtycke? Svaret involverar några viktiga nyanser, inklusive undantaget för strikt nödvändiga cookies och den pågående debatten kring förstaparts-analys.
I det här avsnittet
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis