Opt-in vs. opt-out: Att förstå de två samtyckesmodellerna
Världen har två fundamentalt olika sätt att hantera cookiesamtycke. Europeiska unionen kräver opt-in: inga cookies förrän användaren säger ja. USA (i de flesta delstater) tillåter opt-out: cookies placeras som standard, och användaren kan säga nej. Att förstå dessa två modeller — deras rättsliga grund, deras konsekvenser och var respektive modell gäller — är avgörande för alla webbplatser med en global publik.
Opt-in-modellen
Enligt opt-in-modellen får icke-nödvändiga cookies inte placeras förrän användaren har gett ett uttryckligt, aktivt samtycke. Ingen åtgärd från användaren betyder inga cookies. Detta är den modell som krävs enligt EU:s ePrivacy-direktiv (artikel 5.3), tolkat genom GDPR:s definition av samtycke (artikel 4.11).
Så fungerar opt-in i praktiken
- Användaren besöker webbplatsen för första gången.
- Endast strikt nödvändiga cookies är aktiva. Cookies för analys, marknadsföring och inställningar blockeras.
- En samtyckesmekanism visas, som presenterar cookiekategorier och ber användaren att göra ett val.
- Användaren väljer aktivt vilka kategorier som ska godkännas (eller klickar på "Acceptera alla" eller "Avvisa alla").
- Endast de skript som motsvarar godkända kategorier laddas.
- Om användaren inte gör något placeras inga icke-nödvändiga cookies. Samtyckesmekanismen förblir synlig (eller tillgänglig) tills användaren gör ett val.
Rättslig grund
Kravet på opt-in har sitt ursprung i två källor:
- ePrivacy-direktivet artikel 5.3: Kräver "samtycke" innan information lagras på en användares enhet.
- GDPR artikel 4.11: Definierar samtycke som något som kräver en "tydlig bekräftande handling" — vilket utesluter passivitet, förkryssade rutor och underförstått medgivande.
- EU-domstolens Planet49-dom (C-673/17): Bekräftade att aktivt samtycke krävs och att förkryssade rutor inte utgör giltigt samtycke.
Var opt-in gäller
Samtliga medlemsstater i EU/EES (27 EU-länder plus Norge, Island och Liechtenstein), samt Storbritannien (som behöll ePrivacy-reglerna efter Brexit via Privacy and Electronic Communications Regulations, eller PECR).
Konsekvenser för webbplatsägare
- Räkna med betydande avvisningsgrad. Branschdata tyder på att 30–50 % av europeiska besökare avvisar icke-nödvändiga cookies när de ges ett verkligt val.
- Analysdata kommer att vara ofullständig. Du får bara data från användare som samtyckt. Detta är inte ett fel — det är det avsedda resultatet av regelverket.
- Skriptladdning måste vara villkorad. Du behöver en teknisk mekanism som blockerar skript tills samtycke registrerats. Detta kan inte göras enbart med en banner — det kräver faktisk skripthantering.
Opt-out-modellen
Enligt opt-out-modellen kan cookies placeras som standard. Användaren har rätt att avböja eller välja bort, men om inget görs är spårning tillåten. Detta är den modell som används i USA och flera andra jurisdiktioner.
Så fungerar opt-out i praktiken
- Användaren besöker webbplatsen.
- Alla cookies — inklusive cookies för analys och marknadsföring — placeras omedelbart.
- En avisering informerar användaren om att cookies används och erbjuder ett sätt att välja bort dem.
- Om användaren inte gör något förblir cookies aktiva.
- Om användaren väljer bort cookies respekteras deras preferenser framöver (och i vissa jurisdiktioner kan tidigare insamlad data behöva raderas).
Rättslig grund
Opt-out-modellen återfinns i:
- CCPA/CPRA (Kalifornien): Kaliforniska konsumenter har rätt att välja bort "försäljning" eller "delning" av personuppgifter. Cookies som används för beteendebaserad annonsering över olika sammanhang utgör "delning" enligt CPRA. Skyldigheten är att tillhandahålla en opt-out-mekanism (ofta via en länk med texten "Do Not Sell or Share My Personal Information"), inte att inhämta samtycke i förväg.
- CAN-SPAM Act och FTC:s vägledning: Det amerikanska federala synsättet på spårning online har historiskt sett byggt på information och val snarare än aktivt samtycke.
- Olika amerikanska delstatslagar: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) med flera följer varianter av opt-out-modellen för riktad annonsering och datahandel.
Var opt-out gäller
USA (med variationer mellan delstater), Kanada (PIPEDA — även om detta kan ändras med föreslagna reformer), Australien (enligt Privacy Act — även denna under översyn) och flera andra jurisdiktioner utanför EU/EES.
Konsekvenser för webbplatsägare
- Mer datainsamling som standard. Eftersom cookies placeras om inte användaren invänder blir analys- och annonsdata mer fullständig.
- Måste tillhandahålla en tydlig opt-out-mekanism. Enligt CCPA/CPRA innebär detta en länk med texten "Do Not Sell or Share My Personal Information" som är lätt att hitta och använda.
- Måste respektera Global Privacy Control (GPC). Kalifornisk lag kräver att företag behandlar GPC-signalen från webbläsaren som en giltig opt-out-begäran.
Detaljerad jämförelse
| Aspekt | Opt-in (EU/GDPR) | Opt-out (USA/CCPA) |
|---|---|---|
| Standardläge | Cookies blockerade tills samtycke ges | Cookies aktiva som standard |
| Åtgärd som krävs av användaren | Måste agera för att tillåta cookies | Måste agera för att stoppa cookies |
| Tystnad / passivitet | Betyder inget samtycke (inga cookies) | Betyder antaget samtycke (cookies aktiva) |
| Samtyckesmekanism | Detaljerat val per kategori | Opt-out-länk eller reglage |
| Förkryssade rutor | Inte tillåtet (Planet49-domen) | Tillåtet (opt-out-modellen) |
| Påverkan på analys | 30–50 % dataförlust från uteblivet samtycke | Minimal dataförlust (få väljer bort) |
| Återkallande | Lika enkelt som att ge samtycke (GDPR art. 7.3) | Måste tillhandahållas, inget krav på lika enkelhet |
| Barn | Föräldrasamtycke under 13–16 år (varierar) | COPPA gäller för barn under 13 år |
| Central reglering | ePrivacy-direktivet + GDPR | CCPA/CPRA + delstatslagar |
| Maximala böter | 20 miljoner EUR eller 4 % av global omsättning | 7 500 USD per avsiktlig överträdelse (CCPA) |
Kan du använda olika modeller för olika regioner?
Ja, och många globala webbplatser gör det. Detta tillvägagångssätt kallas geografiskt riktad samtyckeshantering. Webbplatsen identifierar besökarens plats (vanligtvis via IP-geolokalisering) och presenterar lämplig samtyckesmodell:
- Besökare i EU/EES/Storbritannien: Opt-in-modell med detaljerat samtycke.
- Besökare i Kalifornien: Opt-out-modell med länk "Do Not Sell or Share".
- Övriga besökare i USA: Endast avisering (beroende på tillämplig delstatslag).
- Övriga jurisdiktioner: Baserat på tillämplig lokal lagstiftning.
Utmaningar med geografisk inriktning
- IP-geolokalisering är inte perfekt. VPN-användare kan placeras fel. Mobilanvändare kan röra sig mellan jurisdiktioner.
- Underhållsbörda. Du behöver följa regulatoriska utvecklingar i varje jurisdiktion du betjänar och uppdatera dina samtyckesflöden därefter.
- Testkomplexitet. Du måste verifiera att varje regional variant fungerar korrekt — olika banners, olika standardlägen, olika beteende för skriptblockering.
- GDPR gäller extraterritoriellt. Om du riktar dig till användare i EU (artikel 3.2) gäller GDPR oavsett var ditt företag är beläget. "Att rikta sig till" innefattar att erbjuda varor eller tjänster till EU-invånare eller att övervaka deras beteende.
Bästa praxis: Utgå från opt-in
Om det känns övermäktigt att hantera flera samtyckesmodeller finns det en enklare väg: utgå från opt-in-modellen globalt.
Här är varför detta fungerar:
- Efterlevnad överallt. Opt-in-modellen uppfyller de striktaste kraven. Om du följer GDPR:s samtyckeskrav överträffar du automatiskt kraven i CCPA, LGPD och de flesta andra regelverk.
- Enkelhet. En samtyckesmekanism, en implementering, en uppsättning tester. Ingen geografisk identifiering, inga regionala varianter, inga specialfall.
- Framtidssäkring. Den globala trenden går mot striktare samtyckeskrav. Föreslagna reformer i USA, Kanada, Australien och Indien pekar alla mot mer uttryckligt samtycke. Att bygga för opt-in redan nu innebär att du inte behöver bygga om senare.
- Användarförtroende. Användare världen över reagerar positivt på transparenta och respektfulla samtyckesrutiner. Att erbjuda ett verkligt val — även där lagen inte strikt kräver det — bygger förtroende och varumärkestrovärdighet.
- Datakvalitet. Data med samtycke är renare, mer försvarbar och mer värdefull än data som samlats in genom rättslig oklarhet.
Avvägningen är verklig: du kommer att samla in mindre data globalt. Men den data du samlar in kommer att vara juridiskt hållbar, etiskt ren och alltmer värdefull i takt med att tredjepartsdata blir mindre tillgänglig.
Framväxande utvecklingar
Samtyckeslandskapet är inte statiskt. Flera utvecklingar är värda att bevaka:
- ePrivacy-förordningen. EU har sedan 2017 arbetat med en ersättning för ePrivacy-direktivet. När den antas blir den en direkt tillämplig förordning (likt GDPR) snarare än ett direktiv som kräver nationell införlivning. Samtyckesreglerna för cookies förväntas förbli liknande eller striktare än det nuvarande regelverket.
- Global Privacy Control (GPC). Denna signal på webbläsarnivå kommunicerar automatiskt en användares integritetspreferenser. Kalifornisk lag kräver redan att GPC respekteras. Colorado och Connecticut gör likaså. Detta kan komma att bli en standardmekanism för att kommunicera opt-out-preferenser.
- "Samtyck eller betala"-modeller. EDPB:s yttrande från 2024 om "consent or pay" (särskilt i samband med Metas tillvägagångssätt) formar hur tillsynsmyndigheter ser på förhållandet mellan samtycke och tillgång till tjänster.
- Samtycke på webbläsarnivå. Vissa förslag skulle flytta samtyckeshanteringen från enskilda webbplatser till själva webbläsaren, där användare ställer in sina preferenser en gång istället för på varje webbplats. Detta skulle i grunden förändra hur samtycke fungerar i praktiken.
Passiro hjälper dig att implementera rätt samtyckesmodell för din publik, med automatisk identifiering och kategorisering av alla cookies på din webbplats — oavsett om du väljer opt-in, opt-out eller ett geografiskt riktat tillvägagångssätt.
I vårt avslutande avsnitt tittar vi på bästa praxis för samtycke — den praktiska, handfasta vägledningen för att implementera samtycke som är både regelefterlevande och användarvänligt.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis