GDPR och cookies: En komplett guide till efterlevnad
Dataskyddsförordningen (GDPR) förändrade hur webbplatser hanterar cookies när den trädde i kraft den 25 maj 2018. Även om ePrivacy-direktivet är den primära EU-lagstiftningen som reglerar cookies, gäller GDPR närhelst cookies behandlar personuppgifter — vilket i praktiken innebär nästan alltid. Att förstå hur GDPR tillämpas på cookies är avgörande för alla webbplatser som är verksamma inom eller riktar sig till användare i Europeiska ekonomiska samarbetsområdet.
Hur GDPR tillämpas på cookies
GDPR nämner inte cookies vid namn. Istället reglerar den behandlingen av personuppgifter, som i artikel 4.1 definieras som varje upplysning som avser en identifierad eller identifierbar fysisk person. Skäl 30 i GDPR anger uttryckligen att online-identifierare — inklusive cookie-identifierare — kan användas för att skapa profiler av fysiska personer och identifiera dem. Detta innebär att varje cookie som innehåller eller är kopplad till en unik identifierare utgör personuppgifter enligt GDPR.
I praktiken omfattar detta nästan alla cookies utöver de mest grundläggande funktionella. Analyscookies som tilldelar ett unikt besökar-ID, annonscookies som spårar surfbeteende och till och med sessionscookies kopplade till ett användarkonto behandlar alla personuppgifter och omfattas därför av GDPR:s krav.
Artikel 6: Rättslig grund för behandling
Enligt artikel 6 i GDPR kräver varje behandling av personuppgifter en rättslig grund. För cookie-relaterad behandling åberopas oftast två grunder:
- Samtycke (artikel 6.1 a): Den registrerade har lämnat sitt samtycke till behandling för ett eller flera specifika ändamål. Detta är den primära rättsliga grunden för de flesta cookie-behandlingar, särskilt för analys-, marknadsförings- och annonscookies.
- Berättigat intresse (artikel 6.1 f): Behandlingen är nödvändig för den personuppgiftsansvariges berättigade intressen, förutsatt att dessa intressen inte väger tyngre än den registrerades rättigheter och friheter.
Grunden berättigat intresse har varit föremål för betydande debatt i cookie-sammanhang. Vissa webbplatsoperatörer har hävdat att analysspårning tjänar ett berättigat intresse. Flera dataskyddsmyndigheter har dock avvisat detta argument för cookies som inte är strikt nödvändiga. Franska CNIL, österrikiska DSB och Europeiska dataskyddsstyrelsen (EDPB) har alla intagit ståndpunkten att samtycke krävs för analyscookies, och att berättigat intresse inte kan utgöra rättslig grund för att placera icke-nödvändiga cookies på en användares enhet.
EDPB:s riktlinjer 05/2020 om samtycke slår otvetydigt fast: "Att scrolla eller fortsätta att surfa på en webbplats utgör inte giltigt samtycke." Tiden för underförstått samtycke till cookies är förbi.
Artikel 7: Villkor för giltigt samtycke
Artikel 7 fastställer de villkor som samtycket måste uppfylla. För att cookie-samtycke ska vara giltigt enligt GDPR måste det vara:
- Frivilligt: Användaren måste ha ett verkligt val. Samtycket är inte frivilligt om användaren inte kan vägra eller återkalla samtycke utan att drabbas negativt. Cookieväggar som blockerar åtkomst till en webbplats om inte alla cookies accepteras har bedömts som icke-förenliga av flera dataskyddsmyndigheter, även om det rättsliga läget varierar mellan jurisdiktioner.
- Specifikt: Samtycke måste lämnas för varje enskilt ändamål. Ett enda "Acceptera alla" utan möjlighet att samtycka till specifika kategorier uppfyller inte detta krav.
- Informerat: Användaren måste tydligt informeras om vad de samtycker till. Detta innebär att identifiera cookies, deras ändamål, de uppgifter som samlas in och eventuella tredje parter som är inblandade.
- Otvetydigt: Samtycke måste lämnas genom en tydlig bekräftande handling. Förkryssade rutor, tystnad eller passivitet utgör inte giltigt samtycke.
Artikel 7.3 tillför ett kritiskt krav: att återkalla samtycke måste vara lika enkelt som att lämna det. Om en användare kan acceptera cookies med ett enda klick måste de kunna återkalla det samtycket med samma enkelhet. En cookiebanner som gör "Acceptera" framträdande men gömmer avvisningsalternativet på en inställningssida flera klick bort uppfyller inte kravet.
Artikel 4.11: Definitionen av samtycke
Artikel 4.11 definierar samtycke som "varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne."
Denna definition förstärks av skäl 32, som anger:
"Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne. Detta kan inbegripa att en ruta kryssas i vid besök på en webbplats. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke."
Den banbrytande Planet49-domen från Europeiska unionens domstol (EU-domstolen) i oktober 2019 (mål C-673/17) bekräftade denna tolkning och slog fast att förkryssade rutor inte utgör giltigt samtycke för cookies.
Transparenskrav: Artiklarna 12–14
Artiklarna 12 till 14 kräver att personuppgiftsansvariga tillhandahåller information om databehandling på ett kortfattat, transparent, begripligt och lättillgängligt sätt, med ett klart och tydligt språk. För cookies innebär detta:
- Din cookiepolicy måste skrivas på ett språk som vanliga användare kan förstå — inte juridisk jargong.
- Information måste tillhandahållas vid tidpunkten för datainsamlingen (dvs. innan cookies placeras).
- Användare måste informeras om den personuppgiftsansvariges identitet, ändamålen med behandlingen, kategorierna av uppgifter, eventuella mottagare, lagringstider och sina rättigheter.
- Om cookies delas med tredje parter (som Google Analytics, Facebook Pixel eller annonsnätverk) måste dessa tredje parter identifieras.
Artikel 17: Rätten till radering
Artikel 17 ger de registrerade rätt att få sina personuppgifter raderade. I cookie-sammanhang innebär detta att om en användare begär radering av sina uppgifter måste alla personuppgifter som samlats in via cookies raderas. Detta inkluderar analysprofiler, annonsidentifierare och alla andra uppgifter kopplade till cookie-identifierare.
För webbplatsoperatörer som använder tredjeparts analys- eller annonstjänster kan detta vara särskilt utmanande, eftersom uppgifterna kan innehas av tredje part. Dina personuppgiftsbiträdesavtal med tredjeparts cookie-leverantörer bör innehålla bestämmelser för hantering av raderingsbegäranden.
GDPR kontra ePrivacy: Vilken gäller när?
Förhållandet mellan GDPR och ePrivacy-direktivet kan vara förvirrande. Så här samverkar de:
- ePrivacy-direktivet (artikel 5.3) reglerar handlingen att lagra eller få åtkomst till information på en användares enhet. Det kräver samtycke för alla cookies utom de som är strikt nödvändiga. Detta är lex specialis (specifik lag) för cookies.
- GDPR reglerar den efterföljande behandlingen av alla personuppgifter som samlas in via cookies. Den tillhandahåller ramverket för vad som utgör giltigt samtycke, de registrerades rättigheter och de personuppgiftsansvarigas skyldigheter.
I praktiska termer: ePrivacy-direktivet talar om för dig att du behöver samtycke för att placera en cookie. GDPR talar om för dig hur giltigt samtycke ser ut, vad du får göra med uppgifterna och vilka rättigheter användare har gällande dessa uppgifter. Båda gäller samtidigt.
Dataskyddsmyndigheter och tillsyn
Varje EU-medlemsstat har en dataskyddsmyndighet (DPA) som ansvarar för att upprätthålla både GDPR och nationella implementeringar av ePrivacy-direktivet. Dessa myndigheter har befogenhet att utreda klagomål, genomföra revisioner och utfärda böter på upp till 4 % av den globala årsomsättningen eller 20 miljoner euro, beroende på vilket som är högst.
Tillsynen relaterad till cookies har accelererat dramatiskt sedan 2020. Dataskyddsmyndigheter i hela Europa har gått från vägledning och varningar till betydande böter, vilket gör cookie-efterlevnad till en reell affärsrisk snarare än ett teoretiskt bekymmer.
Stora cookie-relaterade GDPR-böter
Följande tillsynsåtgärder visar de verkliga ekonomiska konsekvenserna av bristande cookie-efterlevnad:
| Företag | Bötesbelopp | Myndighet | År | Huvudsaklig fråga |
|---|---|---|---|---|
| Amazon Europe | 746 miljoner euro | CNPD (Luxemburg) | 2021 | Icke-förenlig annonsspårning och samtyckesmekanismer |
| Google LLC | 150 miljoner euro | CNIL (Frankrike) | 2022 | Att avvisa cookies var inte lika enkelt som att acceptera dem |
| Facebook (Meta) | 60 miljoner euro | CNIL (Frankrike) | 2022 | Ingen enkel mekanism för att neka cookies |
| Microsoft (Bing) | 60 miljoner euro | CNIL (Frankrike) | 2022 | Cookies placerade utan samtycke, ingen enkel avvisningsmekanism |
| TikTok | 5 miljoner euro | CNIL (Frankrike) | 2023 | Att neka cookies krävde fler klick än att acceptera |
| Criteo | 40 miljoner euro | CNIL (Frankrike) | 2023 | Underlåtenhet att inhämta giltigt samtycke för spårningscookies |
| Vueling Airlines | 30 000 euro | AEPD (Spanien) | 2020 | Ingen möjlighet att neka cookies, endast "acceptera" |
Dessa böter är inte begränsade till stora företag. Små och medelstora företag har också drabbats av tillsynsåtgärder, särskilt i Frankrike, Italien och Tyskland. Enbart CNIL utfärdade över 100 formella förelägganden till webbplatser av alla storlekar gällande cookie-efterlevnad under 2021.
Praktisk checklista för GDPR-efterlevnad av cookies
Använd denna checklista för att verifiera att din webbplats uppfyller GDPR-kraven för cookies:
- Identifiera alla cookies som din webbplats placerar, inklusive de som placeras av tredjepartsskript som analys, annonsering och sociala medier-widgetar.
- Klassificera varje cookie som strikt nödvändig, funktionell, analys eller marknadsföring/annonsering.
- Implementera förhandssamtycke för alla icke-nödvändiga cookies. Inga analys- eller marknadsföringscookies bör aktiveras innan användaren har lämnat samtycke.
- Presentera samtyckesval på ett rättvist sätt. Alternativet att neka cookies måste vara lika framträdande och tillgängligt som alternativet att acceptera dem.
- Erbjud granulärt samtycke. Användare måste kunna samtycka till specifika kategorier av cookies snarare än att tvingas till ett allt-eller-inget-val.
- Använd inte förkryssade rutor. Alla valfria cookie-kategorier måste vara okryssade som standard.
- Tillhandahåll tydlig information om varje cookies ändamål, de uppgifter den samlar in, vem som har åtkomst till uppgifterna och hur länge cookien består.
- Identifiera tredje parter. Namnge de tredjepartstjänster som placerar cookies på din webbplats (Google Analytics, Facebook Pixel, HubSpot osv.).
- Gör återkallelse enkel. Tillhandahåll ett bestående, lättillgängligt sätt för användare att ändra sina cookie-inställningar efter det första samtycket. En länk i sidfoten eller en flytande ikon är vanliga tillvägagångssätt.
- Lagra samtyckesregister. För en logg över när varje användare lämnade samtycke, vad de samtyckte till och vilken version av cookiepolicyn som gällde vid den tidpunkten.
- Respektera samtyckesval tekniskt. Säkerställ att ett nekat samtycke faktiskt förhindrar att motsvarande cookies placeras. Detta kräver att skript blockeras innan samtycke, inte bara att cookies raderas i efterhand.
- Upprätthåll en cookiepolicy som är aktuell, korrekt och skriven på ett tydligt språk. Uppdatera den varje gång du lägger till nya cookies eller tredjepartstjänster.
- Hantera begäranden från registrerade. Ha en process för att svara på raderingsbegäranden som inkluderar uppgifter insamlade via cookies.
- Skanna regelbundet. Kör automatiska cookie-skanningar minst en gång i månaden och efter varje driftsättning för att fånga upp nya cookies som introduceras av uppdaterade skript eller plugin-program.
Cookie-efterlevnad enligt GDPR är inte en engångsföreteelse. Den kräver löpande uppmärksamhet i takt med att din webbplats utvecklas, nya skript läggs till och regulatorisk vägledning uppdateras. De organisationer som behandlar det som en kontinuerlig process snarare än en avbockningsövning är de som undviker tillsynsåtgärder — och bygger förtroende hos sina användare på köpet.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis