När krävs samtycke till cookies?
Grundregeln är enkel: samtycke krävs för alla cookies utom de som är strikt nödvändiga. Men detaljerna spelar roll. Att veta exakt när samtycke krävs och inte krävs förhindrar både överefterlevnad (att irritera användare med onödiga samtyckesförfrågningar) och bristande efterlevnad (att placera cookies utan rättslig grund).
Grundregeln
Artikel 5.3 i ePrivacy-direktivet fastställer utgångspunkten:
Medlemsstaterna ska säkerställa att lagring av information, eller tillgång till redan lagrad information, i en abonnents eller användares terminalutrustning endast är tillåten på villkor att den berörda abonnenten eller användaren har gett sitt samtycke efter att ha fått tydlig och fullständig information [...] om ändamålen med behandlingen.
Detta omfattar alla cookies, all lokal lagring, all lagring eller åtkomst på enhetsnivå. Om din webbplats skriver något till användarens enhet är samtycke standardkravet.
Undantaget för strikt nödvändiga cookies
Samma artikel anger det enda undantaget:
Detta ska inte förhindra någon teknisk lagring eller åtkomst som endast har till syfte att utföra en överföring av en kommunikation via ett elektroniskt kommunikationsnät, eller som är strikt nödvändig för att leverantören av en informationssamhällets tjänst som användaren eller abonnenten uttryckligen har begärt ska kunna tillhandahålla tjänsten.
Detta undantag har två delar:
- Teknisk överföring: Cookies som är tekniskt nödvändiga för att kommunikationen ska kunna äga rum. Detta är snävt – i praktiken begränsat till cookies för lastbalansering och liknande nödvändigheter på nätverksnivå.
- Strikt nödvändigt för tjänsten: Cookies som är väsentliga för en tjänst som användaren uttryckligen har begärt. Den avgörande formuleringen är "uttryckligen har begärt". Tjänsten måste vara något som användaren har efterfrågat, och cookien måste vara oumbärlig för att tillhandahålla den.
Cookies som är strikt nödvändiga (inget samtycke krävs)
- Cookies för sessionsautentisering. När en användare loggar in är sessionscookien som upprätthåller det inloggade tillståndet strikt nödvändig för den tjänst användaren begärde (åtkomst till sitt konto).
- Cookies för kundvagn. På en e-handelssajt är cookien som håller reda på varor i kundvagnen strikt nödvändig för den shoppingtjänst användaren använder.
- CSRF-skyddstokens. Dessa är strikt nödvändiga för att formulärinlämningar ska fungera säkert.
- Cookies för samtyckesinställningar. Cookien som lagrar användarens samtyckesval är strikt nödvändig – utan den kan du inte respektera deras integritetsval.
- Cookies kopplade till inmatning. Cookies som kommer ihåg formulärinmatning genom en flerstegsprocess (till exempel ett kassaformulär) där användaren har initierat processen.
- Cookies för lastbalansering. Tekniska cookies som dirigerar förfrågningar till rätt server. Dessa omfattas av "överförings"-delen av undantaget.
- Cookies för anpassning av användargränssnittet. När en användare uttryckligen väljer ett språk eller tema via en kontroll på sidan är cookien som lagrar det valet strikt nödvändig för den tjänst användaren begärde. Detta är dock beroende av sammanhanget – se nedan.
Cookies som INTE är strikt nödvändiga (samtycke krävs)
- Analyscookies. Att mäta webbtrafik gynnar webbplatsoperatören, inte användaren. Användaren begärde ingen trafikanalystjänst.
- Cookies för annonsering och retargeting. Dessa tjänar annonsörernas och webbplatsoperatörens intressen, aldrig användarens.
- Cookies för delning på sociala medier. Dessa sätts av tredjeparts sociala nätverk, inte för en tjänst som användaren begärt.
- Cookies för A/B-testning. Dessa tjänar operatörens optimeringsmål.
- Cookies för affiliatespårning. Dessa spårar vilken partner som hänvisade användaren och tjänar operatörens affärsintressen.
- Cookies för beständig inloggning ("kom ihåg mig"). EDPB har noterat att medan en sessionscookie för en pågående inloggning är nödvändig, går en beständig cookie som håller användaren inloggad mellan sessioner utöver vad som är strikt nödvändigt. Användaren kan logga in igen.
- Cookies för prestandaövervakning. Cookies som används för att övervaka sidladdningstider, felfrekvens och liknande tekniska mätvärden tjänar operatören, inte användaren.
Debatten om förstapartsanalys
Ett av de mest omtvistade områdena inom cookie-efterlevnad är huruvida förstaparts analyscookies får användas utan samtycke. Svaret varierar mellan jurisdiktioner och är under utveckling.
CNIL:s ståndpunkt (Frankrike)
Den franska CNIL har utfärdat specifik vägledning som anger att vissa cookies för publikmätning kan undantas från samtyckeskravet, förutsatt att:
- Syftet är strikt begränsat till att mäta publik (ingen spårning mellan webbplatser)
- Data inte delas med tredje part
- Cookies enbart är förstaparts
- Data endast används för att ta fram anonym statistik
- Cookies har begränsad livslängd (högst 13 månader)
- Användare informeras om deras användning
- Användare kan välja bort dem
Under dessa villkor anser CNIL att vissa verktyg (såsom Matomo konfigurerat i ett integritetsvänligt läge) kan omfattas av undantaget. Google Analytics kvalificerar sig inte, främst eftersom Google behandlar data i sin egen infrastruktur och kan använda den för egna ändamål.
Nederländska AP:s ståndpunkt (Nederländerna)
Den nederländska Autoriteit Persoonsgegevens har på liknande sätt angett att analyscookies med minimal integritetspåverkan får användas utan samtycke, men har fastställt villkor jämförbara med CNIL:s.
Andra jurisdiktioner
De flesta andra europeiska tillsynsmyndigheter har inte antagit något uttryckligt analysundantag. ICO (Storbritannien) har angett att analyscookies kräver samtycke. De tyska tillsynsmyndigheterna kräver generellt samtycke för alla icke-nödvändiga cookies. Spanska AEPD:s ståndpunkt ligger i linje med att kräva samtycke.
Praktisk rekommendation
Om du inte enbart är verksam i Frankrike eller Nederländerna och kan uppfylla alla CNIL:s/AP:s villkor är det säkraste tillvägagångssättet att behandla analyscookies som samtyckeskrävande. Om du förlitar dig på analysundantaget, dokumentera dina resonemang, säkerställ att du uppfyller varje villkor och följ regulatoriska utvecklingar – detta område är fortfarande under utveckling.
Samtyckesundantag efter cookiens syfte: ett beslutsflödesschema
Gå igenom dessa frågor för varje cookie på din webbplats:
- Är cookien tekniskt nödvändig för att kommunikationen ska kunna överföras? (t.ex. lastbalansering) Om ja: inget samtycke behövs. Om nej: fortsätt.
- Har användaren uttryckligen begärt en tjänst som kräver denna cookie? (t.ex. att logga in, lägga varor i kundvagnen) Om ja: fortsätt. Om nej: samtycke krävs.
- Skulle den begärda tjänsten sluta fungera utan just denna cookie? Om ja: inget samtycke behövs (strikt nödvändig). Om tjänsten skulle fungera men bli mindre bekväm: samtycke krävs.
- Är cookien förstaparts, begränsad till aggregerad analys, med data som inte delas med tredje part, och befinner du dig i en jurisdiktion med ett analysundantag? Om ja på allt: potentiellt undantagen, men dokumentera dina resonemang. Om nej på något: samtycke krävs.
- I alla andra fall: samtycke krävs.
Särskilda situationer
Cookieväggar
En cookievägg blockerar åtkomst till en webbplats om inte användaren accepterar cookies. EDPB:s ståndpunkt är att cookieväggar generellt hindrar att samtycke ges "frivilligt" och därför inte är förenliga med reglerna. Vissa tillsynsmyndigheter (särskilt nederländska AP, efter ett domstolsavgörande) har dock angett att cookieväggar kan vara godtagbara om ett genuint, likvärdigt alternativ erbjuds – till exempel en betald, cookiefri version av tjänsten. Detta är fortfarande ett omtvistat område.
Betalvägg kontra cookievägg
Vissa utgivare erbjuder en "samtyck eller betala"-modell: acceptera spårningscookies för gratis åtkomst, eller betala för en cookiefri upplevelse. EDPB utfärdade 2024 ett yttrande om denna praxis och konstaterade att den kan vara tillåten under vissa villkor, men uttryckte oro över att "betala"-alternativet måste vara genuint rimligt och inte sättas till ett pris utformat för att tvinga fram samtycke.
Barn
Enligt artikel 8 i GDPR kräver samtycke för informationssamhällets tjänster riktade till barn verifiering och, för barn under en viss ålder (som varierar från 13 till 16 beroende på medlemsstat), föräldrasamtycke. Om din webbplats riktar sig till barn är kraven på cookie-samtycke strängare.
Anställda och B2B-sammanhang
ePrivacy-direktivet gäller "abonnenten eller användaren" – inte bara konsumenter. Om din B2B SaaS-plattform använder icke-nödvändiga cookies krävs samtycke fortfarande från den enskilda användaren, även i ett affärssammanhang.
Vad händer utan giltigt samtycke
Om du placerar icke-nödvändiga cookies utan giltigt samtycke:
- Den data du samlar in kan vara olaglig enligt både ePrivacy-direktivet och GDPR.
- Du riskerar böter enligt GDPR på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket som är högst (artikel 83.5).
- Du kan åläggas att radera den olagligt insamlade datan.
- Din analys- och annonseringsdata kan bli komprometterad – om den rättsliga grunden för insamlingen är ogiltig kan datan inte användas lagligt.
- Efterföljande mottagare av datan (annonsnätverk, analysleverantörer) kan också bli ansvariga.
Detta är inga hypotetiska risker. CNIL bötfällde Google med 150 miljoner euro och Facebook med 60 miljoner euro specifikt för överträdelser av reglerna om cookie-samtycke. Mindre företag har fått böter på tiotusentals euro för liknande brister.
Passiro identifierar varje cookie på din webbplats och flaggar de som kräver samtycke, så att du kan vara säker på att din samtyckesmekanism omfattar rätt cookies – varken fler eller färre.
Låt oss härnäst jämföra de två grundläggande samtyckesmodellerna: opt-in kontra opt-out, och vilken som gäller var.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis