Skip to main content

Cookie-lover etter land: En guide for EU og EØS

Selv om ePrivacy-direktivet og GDPR gir et felles rammeverk på tvers av EU, har hvert medlemsland innført ePrivacy-direktivet i nasjonal lovgivning med sine egne nyanser. Håndhevingsnivå, tolkning av unntak og størrelsen på bøtene varierer betydelig fra land til land. Denne guiden dekker de viktigste særtrekkene ved cookie-lovgivningen i tolv store europeiske markeder.

Hurtigreferansetabell

Land Myndighet Nasjonal lov Håndhevingsnivå Bemerkelsesverdig
Tyskland Delstatlige tilsyn + BfDI TTDSG (2021) Høyt Desentralisert håndheving; PIMS-rammeverk
Frankrike CNIL Loi Informatique et Libertés Svært høyt Rekordbøter; detaljerte cookie-retningslinjer
Italia Garante Personvernloven (D.Lgs. 196/2003) Høyt Omfattende cookie-retningslinjer fra 2021
Spania AEPD LSSI-CE + LOPDGDD Moderat Historie med debatt om analyseunntak
Nederland AP Telecommunicatiewet Høyt Strengt forbud mot cookie-vegger
Belgia APD/GBA ePrivacy-loven (2012) Moderat IAB Europe TCF-avgjørelse
Østerrike DSB TKG 2021 Moderat–høyt Tidlige Google Analytics-avgjørelser
Danmark Datatilsynet Cookiebekendtgørelsen Moderat Økende håndheving siden 2022
Sverige IMY LEK (2003:389) Moderat–høyt Store bøter i 2023–2024
Irland DPC SI 336/2011 Moderat Knutepunkt for Big Tech; kritisert for håndhevingstempo
Polen UODO Telekommunikasjonsloven Moderat Økende håndhevingsaktivitet
Norge Datatilsynet Ekomloven Moderat EØS-medlem; følger EDPB-veiledning nøye

Tyskland

Håndhevingsmyndighet: Forbundsdatatilsynet (BfDI) på føderalt nivå, i tillegg til 16 delstatlige datatilsynsmyndigheter (Landesdatenschutzbehörden).

Nasjonal lov: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), som trådte i kraft 1. desember 2021, samlet Tysklands cookie-regler. § 25 TTDSG innfører artikkel 5(3) i ePrivacy-direktivet, og krever samtykke for lagring av eller tilgang til informasjon på sluttbrukeres enheter med mindre lagringen er strengt nødvendig.

Sentrale krav: TTDSG klargjorde at samtykke for cookies må oppfylle GDPR-standarden. Tysklands høyeste domstol (BGH) hadde allerede bekreftet dette i implementeringen av Planet49-avgjørelsen (mai 2020), der forhåndsavkryssede bokser ble ansett som utilstrekkelige. TTDSG innførte også bestemmelser om anerkjente Personal Information Management Systems (PIMS), som ville la brukere administrere samtykkepreferanser sentralt fremfor på hvert enkelt nettsted – selv om forskrifter for gjennomføring av PIMS har vært trege å få på plass.

Håndheving: Tysklands desentraliserte håndhevingsstruktur betyr at håndhevingen av cookie-etterlevelse varierer fra delstat til delstat. Tilsynene i Berlin, Hamburg og Baden-Württemberg har vært blant de mest aktive. Konferansen for datatilsynsmyndighetene (DSK) utgir med jevne mellomrom felles standpunkter om kravene til cookie-samtykke.

Bemerkelsesverdige tiltak: Flere undersøkelser av cookie-bannere som brukte mørke mønstre («dark patterns»), særlig «nudging»-design der aksepter-knappen var visuelt fremtredende mens avvisningsalternativet ble tonet ned. Bøtene har generelt vært lavere enn i Frankrike, men håndhevingsaktiviteten har økt jevnt siden TTDSG trådte i kraft.

Frankrike

Håndhevingsmyndighet: Commission Nationale de l'Informatique et des Libertés (CNIL).

Nasjonal lov: Loi Informatique et Libertés (lov nr. 78-17), endret for å gjennomføre ePrivacy-direktivet. CNIL utga omfattende cookie-retningslinjer i september 2020 med en overgangsperiode som utløp 31. mars 2021.

Sentrale krav: Frankrike er det strengeste store EU-markedet når det gjelder cookie-etterlevelse. CNILs retningslinjer krever: samtykke før noen ikke-nødvendig cookie settes; et avvisningsalternativ på bannerets første nivå som er like enkelt å bruke som aksepter-alternativet; ingen cookie-vegger (med begrensede unntak stadfestet av Conseil d'État); detaljert informasjon om hvert enkelt cookie-formål.

Unntak for målgruppemåling: CNIL gir et begrenset unntak for målgruppemålingscookies som oppfyller strenge vilkår: verktøyet må være konfigurert til bare å produsere anonyme statistiske data, cookiene må være begrenset til utgiverens nettsted, cookiens levetid må ikke overstige 13 måneder, og dataene må ikke kombineres med annen behandling. Verktøy som Matomo (med spesifikk konfigurasjon) og AT Internet har blitt anerkjent under dette unntaket. Google Analytics kvalifiserer ikke.

Bemerkelsesverdige bøter: Frankrike har ilagt de største cookie-relaterte bøtene i Europa. Google LLC ble ilagt en bot på 150 millioner euro i desember 2021 for å gjøre det vanskeligere å avvise enn å akseptere cookies. Facebook ble ilagt en bot på 60 millioner euro i samme sak. Microsoft ble ilagt en bot på 60 millioner euro i desember 2022. TikTok ble ilagt en bot på 5 millioner euro i desember 2022. Criteo ble ilagt en bot på 40 millioner euro i juni 2023. Totalt har CNIL ilagt over 400 millioner euro i cookie-spesifikke bøter.

Italia

Håndhevingsmyndighet: Garante per la protezione dei dati personali (Garante).

Nasjonal lov: Personvernloven (Decreto Legislativo 196/2003), endret for å samsvare med GDPR. Garante utga omfattende cookie-retningslinjer 10. juni 2021, med etterlevelse påkrevd innen 10. januar 2022.

Sentrale krav: Garantes retningslinjer fra 2021 er blant de mest detaljerte i Europa. De krever: et førstenivåbanner med en aksepter-knapp og en tydelig plassert avvisningsknapp (merket med en «X» eller «Fortsett uten å akseptere»); et andre nivå tilgjengelig fra det første banneret med detaljerte kontroller for cookie-kategorier; scrolling utgjør uttrykkelig ikke samtykke; cookie-samtykke må innhentes på nytt etter maksimalt 6 måneder.

Bemerkelsesverdig: Garante innførte konseptet med å kreve en spesifikk «lukk»-knapp på cookie-bannere fremfor å la fortsatt surfing fungere som avvisning. Retningslinjene tok også opp spørsmålet om cookie-analyse, med krav om samtykke for all tredjepartsanalyse og et begrenset unntak kun for førsteparts analyseverktøy med korrekt anonymiserte data.

Spania

Håndhevingsmyndighet: Agencia Española de Protección de Datos (AEPD).

Nasjonal lov: Ley de Servicios de la Sociedad de la Información (LSSI-CE) og Ley Orgánica de Protección de Datos (LOPDGDD).

Sentrale krav: Spania hadde i utgangspunktet en mildere tilnærming til cookie-etterlevelse, der AEPDs cookie-veiledning fra 2013 antydet at visse analysecookies kunne brukes på grunnlag av berettiget interesse. AEPD har imidlertid gradvis tilpasset seg den strengere europeiske konsensusen etter EDPBs veiledning og Planet49-avgjørelsen. Gjeldende AEPD-veiledning krever forhåndssamtykke for analyse- og markedsføringscookies.

Bemerkelsesverdige tiltak: AEPD ila Vueling Airlines en bot på 30 000 euro i 2020 for et cookie-banner som bare ga et aksepter-alternativ uten mulighet til å avvise cookies. CaixaBank ble ilagt en bot på 6 millioner euro i 2021, delvis knyttet til databehandlingspraksis forbundet med cookie-basert sporing. Nylig har AEPD fokusert på cookie-vegger og mørke mønstre i samtykkegrensesnitt.

Nederland

Håndhevingsmyndighet: Autoriteit Persoonsgegevens (AP).

Nasjonal lov: Telecommunicatiewet (telekommunikasjonsloven), artikkel 11.7a.

Sentrale krav: Nederland har inntatt et av de strengeste standpunktene mot cookie-vegger i Europa. AP har tydelig slått fast at det ikke er gyldig samtykke å gjøre tilgang til et nettsted betinget av at man aksepterer cookies, fordi samtykke ikke er «frivillig gitt» dersom alternativet er å miste tilgangen til tjenesten. AP krever også uttrykkelig samtykke før noen sporingscookies settes, og har vært kritisk til samtykkeadministrasjonsplattformer som bruker manipulerende design.

Bemerkelsesverdige tiltak: AP har undersøkt en rekke nettsteder for manglende cookie-etterlevelse og har utgitt veiledning spesifikt rettet mot mørke mønstre i cookie-bannere. Myndigheten deltok også i koordinerte gjennomganger av offentlige nettsteder for cookie-etterlevelse. I 2024 økte AP håndhevingsaktiviteten mot mindre organisasjoner, som et signal om at forventningene til cookie-etterlevelse gjelder uavhengig av selskapets størrelse.

Belgia

Håndhevingsmyndighet: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Nasjonal lov: Lov av 13. juni 2005 om elektronisk kommunikasjon, endret ved lov av 10. juli 2012.

Sentrale krav: Belgia følger de standardiserte kravene i ePrivacy-direktivet. Det belgiske datatilsynet ble globalt betydningsfullt innen cookie-regulering da det i februar 2022 avsa avgjørelse om IAB Europes Transparency and Consent Framework (TCF), der det ble fastslått at TCFs samtykkestreng utgjorde personopplysninger og at IAB Europe var behandlingsansvarlig i fellesskap. Denne avgjørelsen, delvis opprettholdt av EU-domstolen i mars 2024, har konsekvenser for alle nettsteder som bruker TCF for administrasjon av cookie-samtykke.

Bemerkelsesverdig: IAB TCF-avgjørelsen sendte sjokkbølger gjennom nettreklamebransjen, ettersom TCF er det mest brukte samtykkerammeverket for programmatisk annonsering i Europa. Selv om IAB Europe har gjennomført endringer for å imøtekomme datatilsynets bekymringer, fremhevet saken risikoen ved å stole på bransjeutformede samtykkerammeverk som kanskje ikke fullt ut oppfyller GDPR-kravene.

Østerrike

Håndhevingsmyndighet: Datenschutzbehörde (DSB).

Nasjonal lov: Telekommunikationsgesetz 2021 (TKG 2021), § 165.

Sentrale krav: Østerrikes cookie-regler følger det standardiserte rammeverket i ePrivacy-direktivet. Det østerrikske DSB fikk internasjonal oppmerksomhet i januar 2022 da det ble det første europeiske datatilsynet som fastslo at bruken av Google Analytics brøt med GDPR, spesifikt med hensyn til overføringer av personopplysninger til USA etter Schrems II-avgjørelsen. Selv om dette først og fremst var et spørsmål om dataoverføring, hadde det direkte konsekvenser for cookie-etterlevelse, ettersom Google Analytics-cookies ble ansett å utgjøre personopplysninger overført til et tredjeland uten tilstrekkelige garantier.

Bemerkelsesverdig: Google Analytics-avgjørelsen utløste en kaskade av lignende avgjørelser over hele Europa (Frankrike, Italia og andre fulgte etter) og fremskyndet utviklingen av personvernbevarende analysealternativer. DSB har fortsatt å være aktiv innen cookie- og sporingsteknologispørsmål.

Danmark

Håndhevingsmyndighet: Datatilsynet.

Nasjonal lov: Cookiebekendtgørelsen (bekjentgjørelse om informasjon og samtykke som kreves for lagring av eller tilgang til informasjon på sluttbrukerens terminalutstyr), som gjennomfører bestemmelsene i ePrivacy-direktivet.

Sentrale krav: Danmark krever samtykke for alle cookies bortsett fra de som er strengt nødvendige for en tjeneste brukeren uttrykkelig har bedt om. Datatilsynet har utgitt veiledning som bekrefter at analysecookies krever samtykke, og at fortsatt surfing ikke utgjør gyldig samtykke. Dansk veiledning har i økende grad tilpasset seg de strengere standpunktene fra CNIL og EDPB.

Bemerkelsesverdige tiltak: Datatilsynet har økt sin cookie-håndhevingsaktivitet siden 2022, og har undersøkt nettsteder i både offentlig og privat sektor. I 2023 fattet myndigheten vedtak mot flere danske nettsteder for utilstrekkelige mekanismer for cookie-samtykke, inkludert saker der avvisningsalternativet ikke var tilstrekkelig synlig. Datatilsynet har også tatt opp bruken av Google Analytics og Metas sporingspiksler på danske nettsteder, og har pålagt flere organisasjoner å slutte å bruke disse verktøyene uten riktig samtykke og garantier for dataoverføring.

Sverige

Håndhevingsmyndighet: Integritetsskyddsmyndigheten (IMY).

Nasjonal lov: Lag om elektronisk kommunikation (LEK, 2003:389).

Sentrale krav: Sverige har gått fra relativt lav cookie-håndheving til betydelige tiltak de siste årene. IMY ila sine første store cookie-relaterte bøter i 2023, rettet mot fire selskaper (inkludert Tele2, CDON, Dagens Industri og Coop) med til sammen over 100 millioner svenske kroner (omtrent 9 millioner euro) for å bruke Google Analytics og dele personopplysninger med Google uten gyldig samtykke eller tilstrekkelige garantier for dataoverføring.

Bemerkelsesverdig: Håndhevingstiltakene i 2023 signaliserte et betydelig skifte i Sveriges tilnærming. IMY samarbeidet med andre nordiske datatilsyn og fulgte presedensene fastsatt av det østerrikske DSB og franske CNIL når det gjelder Google Analytics. Bøtene var blant de største utstedt av noe nordisk datatilsyn og slo fast at svensk håndheving nå er på nivå med de strengeste europeiske myndighetene.

Irland

Håndhevingsmyndighet: Data Protection Commission (DPC).

Nasjonal lov: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Sentrale krav: Irland følger det standardiserte rammeverket i ePrivacy-direktivet. Imidlertid har DPCs rolle som ledende tilsynsmyndighet for mange store teknologiselskaper med hovedkontor i Irland (inkludert Meta, Google, Apple, Microsoft og TikTok) gitt det uforholdsmessig stor betydning i europeisk personvern. DPC har utgitt veiledning om cookie-etterlevelse og gjennomført revisjoner av nettsteder i både offentlig og privat sektor.

Bemerkelsesverdig: DPC har møtt kritikk fra andre europeiske datatilsyn og Europaparlamentet for det oppfattede tempoet i håndhevingen mot Big Tech. Likevel har DPC utstedt betydelige GDPR-bøter, inkludert en bot på 1,2 milliarder euro mot Meta i 2023 for dataoverføringer. Når det gjelder cookies spesifikt, gjennomførte DPC gjennomganger av nettsteder i 2020 og 2021, og ga etterlevelsesanbefalinger til en rekke organisasjoner. Direkte cookie-spesifikke bøter fra DPC har vært relativt beskjedne sammenlignet med CNIL.

Polen

Håndhevingsmyndighet: Urząd Ochrony Danych Osobowych (UODO).

Nasjonal lov: Telekommunikasjonsloven (Prawo telekomunikacyjne), artikkel 173.

Sentrale krav: Polen krever samtykke for cookies i tråd med ePrivacy-direktivet. UODO har utgitt veiledning som bekrefter at forhåndsavkryssede bokser og fortsatt surfing ikke utgjør gyldig samtykke. Polsk lov inneholder spesifikke bestemmelser om informasjonen som må gis til brukere om cookies, inkludert formål, identiteten til den behandlingsansvarlige og instruksjoner for administrering av cookie-innstillinger.

Bemerkelsesverdig: Polens håndhevingsaktivitet på cookies har økt, med UODO som undersøker klager om cookie-bannere som ikke er i samsvar med regelverket, og som samarbeider med telekommunikasjonsmyndigheten. UODO har deltatt i EU-omfattende koordinerte håndhevingsgjennomganger og har tilpasset sin veiledning til EDPBs anbefalinger.

Norge

Håndhevingsmyndighet: Datatilsynet (det norske datatilsynet – atskilt fra den danske myndigheten med samme navn).

Nasjonal lov: Ekomloven (lov om elektronisk kommunikasjon).

Sentrale krav: Selv om Norge ikke er medlem av EU, er landet medlem av Det europeiske økonomiske samarbeidsområdet (EØS) og har innlemmet GDPR og ePrivacy-direktivet i nasjonal lovgivning gjennom EØS-avtalen. Det norske Datatilsynet følger EDPB-veiledning nøye og har vært aktivt innen cookie-håndheving.

Bemerkelsesverdige tiltak: Det norske Datatilsynet ila Grindr en bot på 5 millioner euro i desember 2021 (senere økt til 6,5 millioner euro etter klage) for å dele brukerdata med annonsepartnere uten gyldig samtykke. Selv om dette først og fremst var en samtykkesak knyttet til datadeling snarere enn cookies spesifikt, etablerte den viktige presedenser for samtykkekrav i sporingsteknologier. Myndigheten har også undersøkt bruken av Google Analytics og andre sporingsverktøy på norske nettsteder.

Viktige lærdommer

Til tross for variasjonene i nasjonal gjennomføring og håndheving, er flere prinsipper gjennomgående på tvers av alle EU- og EØS-land:

  • Samtykke er påkrevd før noen ikke-nødvendig cookie settes. Ingen europeiske land aksepterer en ren opt-out-modell for cookies.
  • Samtykke må oppfylle GDPR-standarden: frivillig gitt, spesifikt, informert, utvetydig og demonstrert gjennom en klar bekreftende handling.
  • Avvisning må være like enkelt som å akseptere. Selv om den konkrete gjennomføringen kan variere (egen knapp, X for å lukke osv.), er prinsippet om at det ikke skal være vanskeligere å avvise cookies enn å akseptere dem, universelt.
  • Håndhevingen øker overalt. Land som tidligere var milde, utsteder nå bøter og formelle vedtak. Det finnes ingen «trygg» europeisk jurisdiksjon for manglende etterlevelse.
  • Koordinert håndheving vokser. Datatilsynene samarbeider i økende grad gjennom EDPB og gjennomfører koordinerte gjennomganger, noe som betyr at manglende etterlevelse i ett land sannsynligvis vil tiltrekke seg oppmerksomhet i andre.

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis