Resurser och ordlista för cookie-efterlevnad
Cookie-efterlevnad omfattar ett specialiserat vokabulär hämtat från EU-lagstiftning, dataskyddslagstiftning och webbteknik. Den här ordlistan definierar de centrala begrepp du kommer att stöta på, följt av en utvald samling officiella resurser och auktoritativa referenser för vidare studier.
Ordlista över centrala begrepp
A–C
CMP (Consent Management Platform): Ett programvaruverktyg eller en tjänst som hanterar insamling, lagring och tillämpning av användarsamtycke för cookies och andra spårningstekniker. En CMP tillhandahåller vanligtvis cookie-banderollens gränssnitt, lagrar samtyckesregister och styr vilka skript som får köras baserat på användarens val. Exempel inkluderar Cookiebot, OneTrust, Usercentrics och open source-lösningar som Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Den franska dataskyddsmyndigheten. CNIL har varit den mest aktiva europeiska tillsynsmyndigheten när det gäller cookie-tillsyn, med de största cookie-relaterade bötesbeloppen och de mest detaljerade riktlinjerna för cookie-efterlevnad. Dess tolkningar och tillsynsåtgärder sätter ofta den standard som andra dataskyddsmyndigheter följer.
Samtycke: Enligt GDPR en frivillig, specifik, informerad och otvetydig viljeyttring från den registrerade, uttryckt genom en tydlig bekräftande handling. För cookies innebär detta att användaren aktivt måste välja att tillåta icke-nödvändiga cookies genom en medveten handling, till exempel genom att klicka på en "Acceptera"-knapp. Tystnad, förkryssade rutor, passivitet och fortsatt surfning utgör inte giltigt samtycke.
Cookie: En liten textfil som placeras på en användares enhet av en webbplats. Cookies används för en rad olika ändamål, från att upprätthålla inloggningssessioner (strikt nödvändiga) till att spåra surfbeteende över webben (annonsering). Tekniskt sett är en cookie ett namn-värde-par med tillhörande metadata inklusive domän, sökväg, utgångsdatum och säkerhetsflaggor.
Cookie-banderoll: Det gränssnittselement (vanligtvis en list, modal eller popup) som visas när en användare besöker en webbplats för första gången, informerar dem om webbplatsens användning av cookies och begär deras samtycke. En efterlevnadskompatibel cookie-banderoll ger tydlig information, erbjuder verkliga val (acceptera, avvisa, anpassa) och sätter inte icke-nödvändiga cookies förrän användaren svarat.
Cookie-policy: Ett dokument (vanligtvis en dedikerad webbsida eller ett avsnitt i integritetspolicyn) som ger detaljerad information om alla cookies som används på en webbplats, inklusive deras namn, ändamål, typer, varaktighet och de tredjepartsleverantörer som sätter dem. Cookie-policyn uppfyller GDPR:s transparenskrav och ePrivacy-direktivets krav på "tydlig och omfattande information".
Cookie-vägg: En mekanism som blockerar åtkomst till webbplatsinnehåll om inte användaren samtycker till alla cookies. Cookie-väggar är omdiskuterade och deras laglighet varierar mellan jurisdiktioner. EDPB har uttalat att cookie-väggar undergräver kravet på "frivilligt" giltigt samtycke, eftersom användaren ställs inför ett val av typen "ta det eller lämna det". Vissa nationella dataskyddsmyndigheter (särskilt franska Conseil d'Etat) har tillåtit cookie-väggar under begränsade villkor där användaren har ett verkligt alternativt sätt att komma åt innehållet.
D–E
Mörka mönster (dark patterns): Ett designval i gränssnittet som manipulerar användare till att fatta beslut de annars inte skulle ha fattat. I cookie-sammanhang inkluderar mörka mönster: att göra "Acceptera"-knappen visuellt dominant medan "Avvisa"-alternativet döljs, att använda förvirrande språk, att kräva fler klick för att avvisa än för att acceptera, samt att tillämpa skuldbeläggande taktiker. EDPB publicerade specifika riktlinjer om mörka mönster i dataskyddsgränssnitt i februari 2023.
Personuppgiftsansvarig: Den enhet som bestämmer ändamålen och medlen för behandlingen av personuppgifter. För cookies som sätts av en webbplats är webbplatsoperatören vanligtvis personuppgiftsansvarig. För tredjepartscookies kan det finnas ett gemensamt personuppgiftsansvar mellan webbplatsoperatören och tredje part, beroende på i vilken grad var och en påverkar ändamålen och medlen för datainsamlingen.
Personuppgiftsbiträde: En enhet som behandlar personuppgifter för den personuppgiftsansvariges räkning, enligt den ansvariges instruktioner. En hostingleverantör eller en CMP-leverantör som enbart agerar enligt webbplatsoperatörens instruktioner skulle vara ett personuppgiftsbiträde. Distinktionen har betydelse eftersom de ansvariga bär det primära ansvaret för efterlevnad, medan biträden måste följa den ansvariges instruktioner och villkoren i ett personuppgiftsbiträdesavtal.
Registrerad: En fysisk person vars personuppgifter behandlas. I cookie-sammanhang är de registrerade webbplatsbesökarna vars data samlas in genom cookies. Registrerade har rättigheter enligt GDPR, inklusive rätten till tillgång, rättelse, radering, begränsning av behandling, dataportabilitet samt rätten att göra invändningar.
Dataskyddsmyndighet (DPA): Den oberoende offentliga myndighet som ansvarar för att övervaka och upprätthålla dataskyddslagstiftningen i varje EU-medlemsstat. Dataskyddsmyndigheter har befogenhet att utreda klagomål, genomföra revisioner, utfärda vägledning och utdöma böter. Varje medlemsstat har minst en dataskyddsmyndighet (Tyskland har flera, en per delstat plus den federala BfDI). Exempel: CNIL (Frankrike), Garante (Italien), ICO (Storbritannien), Datatilsynet (Danmark/Norge).
Dataskyddsombud (DPO): En person som utses av en personuppgiftsansvarig eller ett personuppgiftsbiträde för att övervaka GDPR-efterlevnaden. GDPR kräver att vissa organisationer utser ett dataskyddsombud, inklusive myndigheter och organisationer vars kärnverksamhet innebär storskalig övervakning av registrerade. Även om det inte är direkt kopplat till cookies, övervakar dataskyddsombudet vanligtvis organisationens program för cookie-efterlevnad.
EDPB (Europeiska dataskyddsstyrelsen): Det oberoende EU-organ som säkerställer en enhetlig tillämpning av GDPR och främjar samarbete mellan nationella dataskyddsmyndigheter. EDPB (som ersatte artikel 29-arbetsgruppen) utfärdar riktlinjer, rekommendationer och bindande beslut. Dess riktlinjer om samtycke (riktlinjer 05/2020) och om mörka mönster är centrala referenser för cookie-efterlevnad.
ePrivacy-direktivet (direktiv 2002/58/EG): EU-direktivet som reglerar integritet inom elektronisk kommunikation, inklusive användningen av cookies. Artikel 5.3 är den primära rättsliga grunden för kravet på cookie-samtycke. Som direktiv måste det införlivas i nationell lagstiftning av varje medlemsstat, vilket leder till variationer i genomförandet. Det är tänkt att ersättas av ePrivacy-förordningen, som fortfarande är under förhandling.
F–G
Förstapartscookie: En cookie som sätts av den domän användaren besöker. Om en användare exempelvis besöker example.com och example.com sätter en cookie är det en förstapartscookie. Förstapartscookies används vanligtvis för nödvändiga funktioner (sessioner, inställningar) och förstapartsanalys. De anses generellt vara mindre inkräktande än tredjepartscookies eftersom de inte kan spåra användare över olika webbplatser.
GDPR (dataskyddsförordningen): Förordning (EU) 2016/679, EU:s heltäckande dataskyddslagstiftning som gäller sedan den 25 maj 2018. GDPR utgör den rättsliga ramen för vad som utgör giltigt samtycke (tillämpat på cookies genom ePrivacy-direktivets hänvisning), de registrerades rättigheter, skyldigheterna för personuppgiftsansvariga och biträden, samt tillsynssystemet inklusive böter på upp till 4 % av den globala årsomsättningen eller 20 miljoner euro.
GPC (Global Privacy Control): En signal på webbläsarnivå som kommunicerar en användares önskan att avstå från försäljning eller delning av sina personuppgifter. Till skillnad från den äldre Do Not Track-signalen (DNT) har GPC rättsligt stöd enligt CCPA/CPRA och flera andra amerikanska delstatliga integritetslagar. När en användare aktiverar GPC i sin webbläsare måste webbplatser som omfattas av dessa lagar behandla det som en giltig invändning. GPC erkänns också i allt högre grad i Europa, även om det ännu inte är lagstadgat enligt EU-rätten.
Google Consent Mode: En funktion i Googles tagg-infrastruktur som justerar beteendet hos Googles taggar (Analytics, Ads m.fl.) baserat på den samtyckesstatus som kommuniceras av webbplatsens CMP. Consent Mode v2, som krävs för annonspersonalisering inom EES sedan mars 2024, inför parametrarna ad_user_data och ad_personalization vid sidan av de befintliga ad_storage och analytics_storage. När samtycke nekas justerar Googles taggar sitt beteende för att undvika att sätta cookies, även om de fortfarande kan skicka begränsade, cookielösa signaler beroende på konfiguration.
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Ett branschutvecklat ramverk för att hantera samtycke inom det digitala annonseringsekosystemet. TCF erbjuder ett standardiserat sätt för CMP:er, annonsörer och publicister att kommunicera samtyckessignaler genom hela leveranskedjan för adtech. Version 2.2 är den aktuella standarden. TCF har mött rättsliga utmaningar, särskilt den belgiska dataskyddsmyndighetens beslut 2022 om att IAB Europes behandling av TC-strängen utgjorde behandling av personuppgifter. Ramverket används fortfarande i stor utsträckning men dess rättsliga status fortsätter att utvecklas.
Berättigat intresse: En av de sex rättsliga grunderna för behandling av personuppgifter enligt GDPR artikel 6.1 f. Berättigat intresse kräver en avvägning mellan den ansvariges intressen och den registrerades rättigheter och friheter. För cookies är användningen av berättigat intresse som rättslig grund starkt omtvistad. Den rådande europeiska tillsynsuppfattningen är att samtycke (inte berättigat intresse) är den lämpliga grunden för icke-nödvändiga cookies, eftersom ePrivacy-direktivet specifikt kräver samtycke för lagring på användarens enhet.
O–P
Opt-in: En samtyckesmodell där behandling av personuppgifter (eller sättande av cookies) inte sker om inte användaren aktivt vidtar en handling för att tillåta det. EU:s cookie-modell är opt-in: inga icke-nödvändiga cookies förrän användaren samtycker. Opt-in ger ett starkare integritetsskydd men kräver en samtyckesmekanism innan någon spårning påbörjas.
Opt-out: En samtyckesmodell där behandling av personuppgifter (eller sättande av cookies) sker som standard, och användaren måste vidta en handling för att stoppa det. Den amerikanska cookie-modellen (enligt CCPA och liknande delstatslagar) är generellt opt-out: spårning sker om inte användaren invänder. Opt-out lägger handlingsbördan på användaren snarare än på webbplatsoperatören.
Beständig cookie: En cookie som stannar kvar på användarens enhet under en bestämd tidsperiod efter att webbläsaren stängts. Beständiga cookies används för att komma ihåg inställningar, upprätthålla inloggningssessioner mellan besök och spåra beteende över tid. De har ett fastställt utgångsdatum och stannar kvar tills dess eller tills användaren raderar dem. Varaktigheten för beständiga cookies bör stå i proportion till deras ändamål.
Personuppgifter: Enligt GDPR all information som rör en identifierad eller identifierbar fysisk person. Detta inkluderar uppenbara identifierare (namn, e-post) och mindre uppenbara sådana (IP-adresser, cookie-identifierare, enhetsfingeravtryck). Skäl 30 i GDPR anger uttryckligen att onlineidentifierare såsom cookie-identifierare kan utgöra personuppgifter. I praktiken kvalificerar sig nästan alla cookies som unikt identifierar en webbläsare eller användare som personuppgifter.
Föregående samtycke: Samtycke som inhämtas innan den handling det tillåter äger rum. För cookies innebär föregående samtycke att man inhämtar användarens godkännande innan några icke-nödvändiga cookies sätts på deras enhet. Detta är ett grundläggande krav i artikel 5.3 i ePrivacy-direktivet. Att först sätta cookies och sedan be om samtycke, eller att radera cookies retroaktivt om samtycke nekas, uppfyller inte kravet på föregående samtycke.
S–T
Sessionscookie: En cookie som endast existerar under användarens webbläsarsession och raderas när webbläsaren stängs. Sessionscookies används ofta för att upprätthålla inloggningsstatus, innehåll i kundvagn och andra tillfälliga data. Många sessionscookies kvalificerar sig som strikt nödvändiga och är därför undantagna från samtyckeskravet, även om detta beror på deras specifika ändamål.
Strikt nödvändig cookie: En cookie som är väsentlig för att webbplatsen ska fungera och för att tillhandahålla en tjänst som användaren uttryckligen begärt. Strikt nödvändiga cookies är undantagna från samtyckeskravet enligt artikel 5.3 i ePrivacy-direktivet. Exempel inkluderar autentiseringscookies, säkerhetscookies (CSRF-tokens), lastbalanseringscookies och cookies för gränssnittsinställningar som är väsentliga för tjänsten. Analyscookies, annonseringscookies och sociala medier-cookies är inte strikt nödvändiga, oavsett hur användbara webbplatsoperatören anser dem vara.
Tredjepartscookie: En cookie som sätts av en annan domän än den användaren besöker. Om en användare exempelvis besöker example.com och en cookie sätts av facebook.com (via en Facebook Pixel inbäddad på example.com), är Facebook-cookien en tredjepartscookie. Tredjepartscookies används främst för spårning mellan webbplatser och riktad annonsering. Stora webbläsare begränsar eller avvecklar tredjepartscookies: Safari och Firefox blockerar dem redan som standard, och Chrome har aviserat planer på att fasa ut dem (även om tidsplanen har flyttats flera gånger).
Spårningspixel: En liten, osynlig bild (vanligtvis 1x1 pixel) inbäddad på en webbsida eller i ett e-postmeddelande som rapporterar tillbaka till en server när den laddas. Även om den tekniskt sett inte är en cookie är spårningspixlar en närbesläktad spårningsteknik som ofta fungerar tillsammans med cookies för att spåra användarbeteende. De omfattas av samma samtyckeskrav som cookies enligt ePrivacy-direktivet, eftersom de innebär åtkomst till information på användarens enhet (HTTP-begäran överför användarens IP-adress, webbläsarinformation och eventuella tillhörande cookies).
Officiella resurser
EU-lagstiftning och vägledning
- Fullständig GDPR-text — Förordning (EU) 2016/679 på EUR-Lex
- Fullständig text till ePrivacy-direktivet — Direktiv 2002/58/EG på EUR-Lex
- Ändring av ePrivacy-direktivet (2009) — Direktiv 2009/136/EG
- EDPB:s riktlinjer — Samtliga riktlinjer, inklusive riktlinjer 05/2020 om samtycke
- EDPB:s offentliga samråd — Inklusive riktlinjerna om mörka mönster
Nationella dataskyddsmyndigheters cookie-vägledning
- CNIL:s cookie-riktlinjer (Frankrike) — Den mest detaljerade nationella cookie-vägledningen, inklusive kriterierna för undantag för publikmätning
- Garantes cookie-riktlinjer (Italien) — Omfattande riktlinjer från 2021 med specifika krav på banderoller
- ICO:s cookie-vägledning (Storbritannien) — Detaljerad praktisk vägledning som fortfarande är högst relevant för EU-efterlevnad trots brexit
- Datatilsynet (Danmark) — Den danska dataskyddsmyndighetens vägledning och beslut
- BfDI (Tyskland) — Federala dataskyddsombudet
Google Consent Mode
- Dokumentation för Google Consent Mode — Officiell implementeringsguide
- Krav för Google Consent Mode v2 — EES-krav för Google Ads
- Konfiguration av avancerat Consent Mode — Tekniska implementeringsdetaljer
IAB Transparency and Consent Framework
- Översikt över IAB Europe TCF — Ramverksdokumentation och leverantörslista
- Specifikationer för TCF 2.2 — Teknisk specifikation för CMP-implementerare
Amerikanska integritetslagar
- Kaliforniens justitieministers CCPA-sida — Officiella CCPA/CPRA-resurser
- California Privacy Protection Agency — CPRA-regler och tillsyn
- Global Privacy Control (GPC) — Specifikation och webbläsarstöd
Rättspraxis från EU-domstolen
- Planet49 (mål C-673/17) — Förkryssade rutor utgör inte giltigt samtycke
- IAB Europe TCF (mål C-604/22) — TC-strängen utgör personuppgifter
Vidare läsning
- W3C Tracking Preference Expression (DNT) — Bakgrund om Do Not Track och dess efterföljande tekniker
- RFC 6265: HTTP State Management Mechanism — Den tekniska specifikationen för cookies
- MDN: Använda HTTP-cookies — Omfattande utvecklarreferens
- SameSite-cookies förklarade — Förstå SameSite-attributet och dess påverkan på tredjepartscookies
- Google Privacy Sandbox — Googles initiativ för att ersätta tredjepartscookies med integritetsbevarande alternativ
Verktyg för cookie-efterlevnad
Att upprätthålla cookie-efterlevnad kräver rätt verktyg. Passiro erbjuder automatiserad cookie-skanning som genomsöker hela din webbplats med en riktig webbläsarmotor, identifierar alla cookies och spårningstekniker, kategoriserar dem med hjälp av en kontinuerligt uppdaterad databas och övervakar förändringar med schemalagda skanningar och aviseringar. I kombination med Passiros plattform för samtyckeshantering ger detta dig en komplett och alltid aktuell överblick över din webbplats status för cookie-efterlevnad.
Läs mer om Passiros skanningsfunktioner eller kör en gratis skanning av din webbplats för att se vilka cookies din webbplats sätter idag.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis