ePrivacy-direktivet: EU:s cookielagstiftning förklarad
När man talar om "EU:s cookielag" syftar man vanligtvis på ePrivacy-direktivet — närmare bestämt artikel 5.3. Även om GDPR får merparten av uppmärksamheten är det ePrivacy-direktivet som direkt reglerar användningen av cookies och liknande spårningstekniker. Att förstå detta direktiv, dess förhållande till GDPR och den kommande ePrivacy-förordningen är avgörande för alla som ansvarar för cookieregelefterlevnad på en europeisk webbplats.
Vad är ePrivacy-direktivet?
ePrivacy-direktivet (officiellt direktiv 2002/58/EG) antogs den 12 juli 2002 som en del av EU:s ramverk för integritet inom telekommunikation. Det var ursprungligen inriktat på integritet i elektronisk kommunikation — och omfattade områden som konfidentialitet i kommunikation, trafikdata, spam och nummerpresentation.
År 2009 ändrades direktivet väsentligt genom direktiv 2009/136/EG (ofta kallat "medborgarrättsdirektivet"). Denna ändring införde det samtyckeskrav för cookies som vi känner till i dag och ersatte den tidigare opt-out-modellen med en opt-in-modell. Före 2009 behövde webbplatser endast informera användarna om cookies och ge dem rätt att neka. Efter 2009 blev förhandssamtycke obligatoriskt för alla icke-nödvändiga cookies.
Till skillnad från GDPR, som är en förordning (direkt tillämplig i alla medlemsstater), är ePrivacy-direktivet ett direktiv (varje medlemsstat måste införliva det i nationell lagstiftning). Det innebär att de specifika cookiereglerna varierar från land till land, även om de underliggande kraven är desamma.
Artikel 5.3: Regeln om cookiesamtycke
Artikel 5.3 i ePrivacy-direktivet är den bestämmelse som direkt reglerar cookies. I sin ändrade lydelse anges följande:
"Medlemsstaterna ska säkerställa att lagring av information eller tillgång till redan lagrad information i en abonnents eller användares terminalutrustning endast tillåts på villkor att den berörda abonnenten eller användaren har gett sitt samtycke efter att ha fått tydlig och fullständig information i enlighet med [dataskyddsdirektivet, nu GDPR], bland annat om ändamålen med behandlingen."
Denna bestämmelse fastställer flera centrala krav:
- Tillämpningsområde: Den omfattar all lagring av information på en användares enhet, eller tillgång till information som lagrats på en användares enhet. Detta inkluderar cookies, men även local storage, IndexedDB, enhetsfingeravtryck, spårningspixlar och all annan teknik som läser från eller skriver till användarens enhet.
- Förhandssamtycke: Samtycke måste inhämtas innan informationen lagras eller åtkomst sker — inte efteråt.
- Informerat samtycke: Användaren måste få tydlig och fullständig information om ändamålen med lagringen eller åtkomsten.
- Samtyckesstandard: Hänvisningen till GDPR (ursprungligen dataskyddsdirektivet) innebär att GDPR:s definition och villkor för samtycke gäller. Samtycket måste vara frivilligt, specifikt, informerat och otvetydigt.
Undantaget för "strikt nödvändiga"
Artikel 5.3 innehåller ett viktigt undantag i sin andra mening:
"Detta ska inte förhindra teknisk lagring eller åtkomst som endast sker i syfte att utföra överföring av en kommunikation via ett elektroniskt kommunikationsnät, eller som är absolut nödvändig för att leverantören av en informationssamhällets tjänst som användaren eller abonnenten uttryckligen har begärt ska kunna tillhandahålla tjänsten."
Detta undantag omfattar två kategorier av cookies som inte kräver samtycke:
- Cookies som är nödvändiga för att överföra en kommunikation (t.ex. cookies för lastbalansering).
- Cookies som är strikt nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen har begärt (t.ex. cookies för kundvagn, cookies för autentiseringssessioner, cookies för användarinställningar i en tjänst som användaren aktivt använder).
Föregångaren till Europeiska dataskyddsstyrelsen, artikel 29-arbetsgruppen, gav detaljerad vägledning om vilka cookies som räknas som strikt nödvändiga i yttrande 04/2012. Exempel inkluderar:
- Undantagna (inget samtycke krävs): Sessionscookies för användarinmatning (formulär i flera steg), autentiseringscookies, kundvagnscookies, säkerhetscookies (CSRF-tokens), sessionscookies för multimediaspelare, cookies för lastbalansering, cookies för gränssnittsanpassning (språkinställning) för den aktuella sessionen.
- Ej undantagna (samtycke krävs): Analyscookies (inklusive Google Analytics), annonseringscookies, cookies för delning/spårning i sociala medier, permanenta inställningscookies som varar längre än sessionen, alla spårningscookies från tredje part.
Den avgörande skillnaden är mellan cookies som tjänar användarens uttryckliga begäran och cookies som tjänar webbplatsoperatörens intressen. En cookie för språkinställning som sätts eftersom användaren klickade på en språkväljare är strikt nödvändig. En analyscookie som sätts för att hjälpa webbplatsoperatören att förstå trafiken är det inte — även om operatören anser att den är viktig.
Hur ePrivacy och GDPR samverkar
Förhållandet mellan ePrivacy-direktivet och GDPR är ett förhållande mellan lex specialis (specifik lag) och lex generalis (allmän lag). ePrivacy-direktivet är den specifika lag som reglerar integritet i elektronisk kommunikation, medan GDPR är det allmänna dataskyddsramverket.
I praktiken innebär detta:
- ePrivacy-direktivet reglerar om du får placera en cookie på en användares enhet. Det kräver samtycke för icke-nödvändiga cookies, oavsett om cookien innehåller personuppgifter eller inte.
- GDPR reglerar vad som utgör giltigt samtycke och hur du får behandla eventuella personuppgifter som samlas in via cookies. Det tillhandahåller också ramverket för tillsyn, inklusive rätten att lämna in klagomål till dataskyddsmyndigheter och det omfattande bötessystemet.
Detta innebär att även en cookie som inte innehåller personuppgifter (till exempel en slumpmässigt genererad analysidentifierare utan koppling till några andra uppgifter) fortfarande kräver samtycke enligt ePrivacy-direktivet, eftersom artikel 5.3 gäller all lagring på användarens enhet — inte bara lagring av personuppgifter.
Omvänt gäller att om du behandlar personuppgifter via cookies måste du följa hela GDPR-ramverket: rättslig grund, transparens, den registrerades rättigheter, konsekvensbedömningar avseende dataskydd och alla andra skyldigheter.
Nationella implementeringar
Eftersom ePrivacy-direktivet är ett direktiv och inte en förordning har varje EU-medlemsstat införlivat det i nationell lagstiftning med vissa variationer. Även om grundkravet — samtycke innan icke-nödvändiga cookies — är konsekvent i alla medlemsstater, finns det märkbara skillnader när det gäller:
- Tillsynens intensitet: Frankrike (CNIL) och Italien (Garante) har varit mest aktiva inom cookietillsyn, medan andra länder har fokuserat sina resurser på annat.
- Specifika undantag: Vissa länder har antagit något bredare eller snävare tolkningar av undantaget för "strikt nödvändiga".
- Analyscookies: Vissa dataskyddsmyndigheter har undersökt om korrekt konfigurerade, integritetsbevarande analysverktyg (t.ex. anonymiserad analys utan spårning mellan webbplatser) skulle kunna omfattas av en grund baserad på berättigat intresse. Den franska CNIL:s undantag för verktyg för publikmätning under vissa villkor är det mest anmärkningsvärda exemplet, även om det fortfarande är omtvistat.
- Cookieväggar: Lagligheten av cookieväggar (att kräva samtycke för att få tillgång till en webbplats) varierar mellan jurisdiktioner. Den nederländska dataskyddsmyndigheten och EDPB har intagit en strikt hållning mot dem, medan franska Conseil d'État ansåg att de var tillåtna under vissa villkor.
Den föreslagna ePrivacy-förordningen
Europeiska kommissionen offentliggjorde ett förslag till en ePrivacy-förordning i januari 2017, avsedd att ersätta ePrivacy-direktivet och anpassa cookiereglerna till GDPR. Mer än nio år senare är förordningen fortfarande under förhandling, vilket gör den till en av de längst pågående lagstiftningsprocesserna i EU:s historia.
Viktiga förändringar i den föreslagna förordningen
Även om den slutliga texten ännu inte är överenskommen har förslaget och efterföljande ståndpunkter från rådet antytt flera betydande förändringar:
- Direkt tillämplighet: Som en förordning snarare än ett direktiv skulle ePrivacy-förordningen gälla enhetligt i alla medlemsstater och därmed eliminera den nuvarande fragmenteringen.
- Webbläsarbaserat samtycke: Tidiga förslag innehöll bestämmelser om att användare skulle kunna ställa in sina cookiepreferenser på webbläsarnivå i stället för att svara på enskilda cookiebanners på varje webbplats. Detta skulle förenkla användarupplevelsen avsevärt, även om de tekniska och politiska utmaningarna är betydande.
- Utökat tillämpningsområde: Förordningen skulle utvidgas till att omfatta så kallade over-the-top-tjänster (OTT) för kommunikation som WhatsApp och Skype, vilka inte omfattas av det nuvarande direktivet.
- Tydligare undantag: Förordningen syftar till att klargöra vilka typer av cookies som är undantagna från samtycke, och kan komma att bredda undantaget till att omfatta vissa typer av publikmätning.
- Regler för metadata: Nya bestämmelser som reglerar behandlingen av kommunikationsmetadata (platsdata, anslutningstider) utöver vad det nuvarande direktivet omfattar.
- Harmoniserad tillsyn: Förordningen skulle etablera en enhetlig tillsynsmekanism, sannolikt utformad efter GDPR:s princip om en enda kontaktpunkt (one-stop-shop).
Aktuell status och tidslinje
I början av 2026 befinner sig ePrivacy-förordningen fortfarande i trepartsförhandlingar (trilog) mellan Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen. Framstegen har varit långsamma på grund av grundläggande meningsskiljaktigheter på flera punkter, inklusive mekanismen för webbläsarbaserat samtycke, omfattningen av undantaget för "strikt nödvändiga" och reglerna för behandling av metadata.
Det mest realistiska scenariot är att förordningen inte kommer att slutföras förrän tidigast 2027, med en ytterligare övergångsperiod på 12–24 månader innan den träder i kraft. Webbplatsoperatörer bör fortsätta att följa det nuvarande ePrivacy-direktivet så som det har införlivats i deras nationella lagstiftning, kompletterat med GDPR:s samtyckesramverk.
Praktiska konsekvenser för webbplatsägare
Oavsett den regulatoriska osäkerheten kring den kommande ePrivacy-förordningen är de nuvarande reglerna tydliga och tillämpas aktivt. Webbplatsägare bör:
- Betrakta det nuvarande regelverket som utgångspunkt. Samtyckeskravet för icke-nödvändiga cookies är etablerad lag i hela EU. Vänta inte på ePrivacy-förordningen för att uppnå regelefterlevnad.
- Blockera icke-nödvändiga cookies innan samtycke. Detta är den tekniskt mest utmanande aspekten av regelefterlevnad, men den är icke förhandlingsbar. Din mekanism för cookiesamtycke måste förhindra att skript sätter cookies innan användaren aktivt har gett sitt samtycke.
- Tillämpa GDPR:s samtyckesstandard. När ePrivacy-direktivet säger "samtycke" avses GDPR-samtycke: frivilligt, specifikt, informerat, otvetydigt och uttryckt genom en tydlig aktiv handling.
- Dokumentera dina strikt nödvändiga cookies. Upprätthåll ett tydligt register över vilka cookies du anser vara strikt nödvändiga och varför. Var beredd att motivera denna klassificering om den ifrågasätts av en dataskyddsmyndighet.
- Bevaka nationell utveckling. Eftersom ePrivacy-direktivet implementeras olika i varje land bör du hålla dig informerad om vägledning och tillsynsverksamhet från dataskyddsmyndigheterna i de länder där dina användare finns.
- Förbered dig för ePrivacy-förordningen. Även om tidslinjen är oviss är riktningen tydlig: mer harmoniserade regler, potentiellt bredare samtyckesmekanismer och fortsatt betoning på användarnas integritet. Att bygga ett robust system för samtyckeshantering redan nu gör övergången smidigare när den väl kommer.
ePrivacy-direktivet kan vara över två decennier gammalt, men det förblir hörnstenen i cookielagstiftningen i Europa. I kombination med GDPR:s samtyckesramverk och de nationella dataskyddsmyndigheternas aktiva tillsynsprogram skapar det en regulatorisk miljö där cookieregelefterlevnad inte är valfritt — det är en juridisk skyldighet med verkliga ekonomiska konsekvenser vid bristande efterlevnad.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis