Cookie- och integritetsregler: En global översikt
Cookie-efterlevnad styrs inte av en enda lag. Den formas av ett lapptäcke av nationella och regionala regler som skiljer sig avsevärt åt i omfattning, krav och tillsyn. För varje webbplats med en internationell publik – vilket, på det öppna internet, är i stort sett alla webbplatser – är det avgörande att förstå vilka lagar som gäller och hur de skiljer sig åt.
Den här guiden kartlägger det globala regelverket för cookies och spårning online, från EU:s samtyckesbaserade modell till USA:s modell med information och val samt framväxande ramverk på andra håll.
Det globala lapptäcket
Det finns ingen enda "cookie-lag". Istället befinner sig cookie-efterlevnad i skärningspunkten mellan integritetsregler, direktiv om elektronisk kommunikation och konsumentskyddslagar. Resultatet är ett komplext, ibland motsägelsefullt landskap där samma webbplats kan omfattas av olika regler beroende på var dess besökare befinner sig.
Två breda modeller har vuxit fram:
- EU-modellen (samtycke först): Icke-nödvändiga cookies får endast placeras efter att användaren har gett ett informerat, specifikt och frivilligt samtycke. Standardläget är ingen spårning. Användaren måste aktivt godkänna.
- USA-modellen (information och val): Företag måste redogöra för sin datainsamling och ge användare möjlighet att välja bort viss användning (särskilt försäljning eller delning av personuppgifter). Standardläget är spårning, med möjlighet för användaren att välja bort den.
De flesta nya integritetsregler runt om i världen närmar sig EU-modellen, om än med lokala variationer. Att förstå båda modellerna – och de specifika lagarna inom dem – är nödvändigt för varje webbplats som verkar över gränserna.
EU:s ramverk: ePrivacy-direktivet + GDPR
Europeiska unionens strategi för cookie-reglering bygger på två rättsliga instrument som samverkar:
ePrivacy-direktivet (2002/58/EG)
ePrivacy-direktivet – ofta kallat "cookie-direktivet" – är den primära EU-lagen som reglerar användningen av cookies och liknande spårningstekniker. Dess centrala bestämmelse, artikel 5.3, säger:
Medlemsstaterna ska säkerställa att lagring av information eller tillgång till redan lagrad information i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tydlig och fullständig information.
Det enda undantaget gäller cookies som är "strikt nödvändiga" för att tillhandahålla en tjänst som användaren uttryckligen har begärt – till exempel sessions-cookies för en varukorg eller inloggningsstatus.
Viktigt: ePrivacy-direktivet är ett direktiv, inte en förordning. Detta innebär att varje EU-medlemsstat har införlivat det i nationell lag med lokala variationer. Grundprincipen (samtycke krävs för icke-nödvändiga cookies) är enhetlig, men detaljerna i genomförandet skiljer sig åt. Till exempel:
- Frankrike (CNIL): Har utfärdat detaljerade cookie-riktlinjer, inklusive ett begränsat undantag för vissa verktyg för publikmätning som uppfyller strikta villkor (anonymisering, ingen spårning mellan webbplatser, begränsad lagring).
- Tyskland: Genomfört genom TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), som trädde i kraft i december 2021 och uttryckligen kodifierade samtyckeskravet.
- Italien (Garante): Publicerade detaljerade cookie-riktlinjer 2021 som kräver en avvisningsknapp på första nivån och förbjuder cookie-väggar.
- Nederländerna (AP): Har intagit en något mer tillåtande hållning till cookie-väggar och antytt att de kan vara acceptabla om användaren har ett genuint alternativt sätt att komma åt innehållet.
GDPR (förordning (EU) 2016/679)
Dataskyddsförordningen nämner inte cookies specifikt, men den reglerar behandlingen av personuppgifter – och cookies involverar ofta personuppgifter. GDPR är relevant för cookie-efterlevnad på flera sätt:
- Samtyckesstandard (artikel 4.11, artikel 7): GDPR definierar vad som utgör giltigt samtycke: frivilligt, specifikt, informerat, otvetydigt och lämnat genom en tydlig bekräftande handling. Denna standard gäller för cookie-samtycke som inhämtas enligt ePrivacy-direktivet.
- Transparens (artiklarna 12–14): När cookies behandlar personuppgifter gäller GDPR:s transparenskrav. Detta innebär att din cookie-policy måste ge specifik information om den databehandling som är inblandad.
- Rättslig grund (artikel 6): Behandling av personuppgifter genom cookies kräver en rättslig grund. För icke-nödvändiga cookies är den grunden samtycke. Vissa personuppgiftsansvariga försöker stödja sig på berättigat intresse (artikel 6.1 f), men dataskyddsmyndigheter har i allt högre grad avvisat berättigat intresse som grund för spårning för annonsering och analys.
- Registrerades rättigheter (artiklarna 15–22): Användare har rätt till åtkomst, rättelse, radering och portabilitet av sina uppgifter – inklusive uppgifter som samlats in genom cookies.
- Extraterritoriell räckvidd (artikel 3): GDPR gäller för varje organisation som behandlar personuppgifter om individer i EU, oavsett var organisationen är etablerad. Ett amerikanskt företag som riktar sig till EU-kunder måste följa den.
Den kommande ePrivacy-förordningen
Europeiska kommissionen föreslog en ePrivacy-förordning 2017 för att ersätta ePrivacy-direktivet, harmonisera reglerna mellan medlemsstaterna och uppdatera dem för modern teknik. I början av 2026 har förordningen ännu inte slutförts. Förhandlingarna har dragit ut på tiden, med oenighet kring undantag för berättigat intresse, bestämmelser om cookie-väggar och samtyckesmekanismer på webbläsarnivå.
När den så småningom antas kommer ePrivacy-förordningen att gälla direkt i alla medlemsstater (till skillnad från det nuvarande direktivet, som kräver nationellt införlivande). Fram till dess förblir det befintliga ePrivacy-direktivet och dess nationella genomföranden gällande rätt.
USA:s ramverk: Integritetslagar på delstatsnivå
USA har ingen federal cookie-lag och ingen federal heltäckande integritetslag (i början av 2026). Istället har integritetsregleringen vuxit fram på delstatsnivå, vilket skapar ett lapptäcke av krav.
Kalifornien: CCPA och CPRA
California Consumer Privacy Act (CCPA), som ändrats genom California Privacy Rights Act (CPRA), är den mest heltäckande integritetslagen på delstatsnivå i USA. Centrala bestämmelser som är relevanta för cookies:
- Rätt att välja bort försäljning/delning. Konsumenter har rätt att välja bort "försäljning" eller "delning" av sina personuppgifter. Enligt CPRA omfattar "delning" att dela data med tredje parter för beteendebaserad annonsering mellan kontexter – vilket är precis vad de flesta annonseringscookies gör.
- Inget föregående samtycke krävs. Till skillnad från EU-modellen kräver CCPA/CPRA inte föregående samtycke för cookies. Standardläget är att spårning är tillåten, och användare måste aktivt välja bort den.
- "Do Not Sell or Share"-länk. Företag måste tillhandahålla en tydligt synlig länk "Do Not Sell or Share My Personal Information" på sin webbplats.
- Global Privacy Control (GPC). Företag måste respektera webbläsarsignalen GPC som en giltig begäran om att välja bort. Om en användares webbläsare skickar en GPC-signal måste företaget behandla den som om användaren klickat på "Do Not Sell or Share".
- Information vid insamling. Företag måste redovisa, vid eller före insamlingstillfället, vilka kategorier av personuppgifter som samlas in och för vilka ändamål de kommer att användas.
Andra delstatslagar i USA
Efter Kaliforniens exempel har flera amerikanska delstater antagit heltäckande integritetslagar. I början av 2026 inkluderar delstater med aktiva integritetslagar:
| Delstat | Lag | Ikraftträdande | Cookie-relevanta funktioner |
|---|---|---|---|
| Virginia | VCDPA | Januari 2023 | Välja bort riktad annonsering, försäljning av data |
| Colorado | CPA | Juli 2023 | Välja bort riktad annonsering, försäljning av data; måste respektera universella opt-out-signaler |
| Connecticut | CTDPA | Juli 2023 | Välja bort riktad annonsering, försäljning av data; måste respektera universella opt-out-signaler |
| Utah | UCPA | December 2023 | Välja bort riktad annonsering, försäljning av data |
| Texas | TDPSA | Juli 2024 | Välja bort riktad annonsering, försäljning av data; måste respektera universella opt-out-signaler |
| Oregon | OCPA | Juli 2024 | Välja bort riktad annonsering, försäljning av data; måste respektera universella opt-out-signaler |
| Montana | MCDPA | Oktober 2024 | Välja bort riktad annonsering, försäljning av data; måste respektera universella opt-out-signaler |
Ytterligare delstater har antagit lagar med ikraftträdanden under 2025 och 2026. Trenden är tydlig: integritetsreglering på delstatsnivå expanderar, och de flesta nya lagar inkluderar opt-out-rättigheter för riktad annonsering som direkt påverkar cookie-praxis.
Andra viktiga regelverk
Storbritannien: UK GDPR och PECR
Efter brexit behöll Storbritannien GDPR som "UK GDPR" och fortsätter att upprätthålla Privacy and Electronic Communications Regulations (PECR), som genomför ePrivacy-direktivet. Kraven för cookies är i huvudsak identiska med EU:s: föregående samtycke krävs för icke-nödvändiga cookies, med ett snävt undantag för strikt nödvändiga cookies. Information Commissioner's Office (ICO) upprätthåller dessa regler och har publicerat detaljerad cookie-vägledning.
Brasilien: LGPD
Brasiliens Lei Geral de Proteção de Dados (LGPD), som gäller sedan 2020, är starkt inspirerad av GDPR. Den kräver en rättslig grund för behandling av personuppgifter, inklusive data som samlas in genom cookies. Även om LGPD inte har någon direkt motsvarighet till ePrivacy-direktivets cookie-specifika bestämmelse måste samtycke eller berättigat intresse fastställas för cookie-baserad databehandling. ANPD (den nationella dataskyddsmyndigheten) utfärdar gradvis vägledning om cookies och samtycke.
Kanada: PIPEDA och Bill C-27
Kanadas Personal Information Protection and Electronic Documents Act (PIPEDA) kräver "meningsfullt samtycke" för insamling, användning och utlämnande av personuppgifter. För cookies som samlar in personuppgifter måste organisationer inhämta samtycke och ge tydlig information om sin praxis. Bill C-27, den föreslagna Consumer Privacy Protection Act, skulle modernisera Kanadas ramverk med starkare samtyckeskrav, men dess antagande har försenats.
Japan: APPI
Japans Act on the Protection of Personal Information (APPI), som ändrades 2022, införde begreppet "personligt hänförbar information" som i vissa sammanhang kan inkludera cookie-identifierare. När cookie-data kombineras med annan information för att identifiera en individ gäller samtyckeskrav.
Sydkorea: PIPA
Sydkoreas Personal Information Protection Act (PIPA), som ändrades 2023, kräver samtycke för insamling och användning av personuppgifter, vilket kan inkludera cookie-data när det identifierar eller kan identifiera en individ.
Konvergenstrend
Trots det nuvarande lapptäcket framträder en tydlig trend: de flesta nya integritetslagar följer EU-modellen med samtycke först och en reglering som stärker användarna. Även amerikanska delstatslagar, som visserligen tekniskt bygger på opt-out snarare än opt-in, rör sig mot strängare krav med universella opt-out-signaler (GPC), principer om dataminimering och utvidgade definitioner av "personuppgifter" som fångar upp cookie-identifierare.
I praktiken innebär denna konvergens att webbplatser som implementerar cookie-efterlevnad på EU-nivå (föregående samtycke, tydligt godkänn/avvisa, granulära kategorier, transparenta policyer) är väl positionerade för efterlevnad i de flesta andra jurisdiktioner. EU-standarden är den högsta gemensamma nämnaren.
Riskbedömning: Vilka lagar gäller för din webbplats?
Den centrala frågan för varje webbplatsoperatör är: vilka lagar gäller för mig? Svaret beror på två faktorer:
- Var din organisation är etablerad. Du omfattas av integritetslagarna i de jurisdiktioner där din organisation har en etablering (kontor, dotterbolag, filial).
- Var dina användare befinner sig. Enligt GDPR:s extraterritoriella räckvidd (artikel 3.2) omfattas du av EU:s integritetslagstiftning om du erbjuder varor eller tjänster till individer i EU, eller om du övervakar beteendet hos individer i EU. Liknande extraterritoriella bestämmelser finns i UK GDPR, Brasiliens LGPD och andra lagar.
I praktiken bör du, om din webbplats är tillgänglig för användare i EU – och du har någon EU-trafik, vilket i stort sett alla webbplatser har – följa ePrivacy-direktivet och GDPR. Om du har amerikansk trafik bör du hantera CCPA/CPRA (Kalifornien) och andra tillämpliga delstatslagar.
En pragmatisk metod:
- Implementera samtycke enligt EU-standard för alla besökare från EU/EES/Storbritannien (föregående opt-in-samtycke för icke-nödvändiga cookies).
- Implementera opt-out-mekanismer för amerikanska besökare (Do Not Sell/Share-länk, GPC-stöd).
- Utgå från den högre standarden om geografisk detektering är opraktisk. Samtycke på EU-nivå uppfyller i stort sett alla jurisdiktioner.
Extraterritoriell räckvidd
En av de mest betydande aspekterna av modern integritetsreglering är dess extraterritoriella räckvidd. GDPR (artikel 3.2) gäller för organisationer utanför EU som:
- Erbjuder varor eller tjänster till individer i EU (även om de är gratis – en webbplats som är tillgänglig i EU och riktar sig till EU-användare uppfyller kriteriet), eller
- Övervakar beteendet hos individer i EU (spårning för analys och annonsering utgör övervakning).
Detta innebär att ett amerikanskt företag som kör Google Analytics på en webbplats som får EU-trafik tekniskt sett omfattas av GDPR och ePrivacy-direktivets cookie-krav. Tillsyn mot organisationer utanför EU har historiskt varit begränsad men ökar, särskilt för stora företag. Den praktiska risken för mindre organisationer beror på synlighet och klagomålsvolym, men den rättsliga skyldigheten finns oavsett storlek.
Tillsynslandskapet
Tillsynen över cookie-efterlevnad har intensifierats dramatiskt sedan 2020. Centrala trender:
Vem utövar tillsyn
Inom EU utövar nationella dataskyddsmyndigheter (DPA:er) tillsyn över både ePrivacy-direktivet och GDPR. Bland de mest aktiva tillsynsmyndigheterna finns CNIL (Frankrike), Garante (Italien), Datatilsynet (Danmark och Norge), BfDI (Tyskland på federal nivå) och APD (Belgien). EDPB samordnar gränsöverskridande tillsyn.
I USA utövar Kaliforniens justitieminister och California Privacy Protection Agency tillsyn över CCPA/CPRA. Delstaternas justitieministrar utövar tillsyn över övriga delstatslagar.
Hur de utövar tillsyn
- Klagomålsdrivna utredningar. Den mesta tillsynen börjar med ett användarklagomål till en DPA. Klagomålet utlöser en utredning av webbplatsens cookie-praxis.
- Svepundersökningar. DPA:er genomför periodvis sektorsövergripande svep där de skannar hundratals webbplatser för cookie-efterlevnad. CNIL, italienska Garante och danska Datatilsynet har alla genomfört uppmärksammade svep.
- NGO-klagomål. Integritetsorganisationer som noyb (ledd av Max Schrems) har lämnat in massklagomål mot hundratals webbplatser, vilket skapat en betydande tillsynsvolym. Enbart noybs klagomål om cookie-banners har lett till dussintals tillsynsåtgärder över hela EU.
Sanktioner
GDPR-böter för cookie-överträdelser kan uppgå till 20 miljoner euro eller 4 % av den årliga globala omsättningen, beroende på vilket som är högst. I praktiken har böter för cookie-överträdelser sträckt sig från varningar (för små organisationer med mindre överträdelser) till 150 miljoner euro (Google, CNIL, 2022). Trenden går mot högre böter och tätare tillsyn.
Utöver böter medför bristande efterlevnad ryktesrisker, skadat konsumentförtroende och den operativa kostnaden för akuta åtgärder under ett myndighetsföreläggande.
Passiro hjälper dig att navigera i denna reglermässiga komplexitet med automatiserad efterlevnad som anpassar sig till de lagar som gäller för dina besökare. Läs hur Passiro förenklar cookie-efterlevnad över olika jurisdiktioner.
I det här avsnittet
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis