Cookie-lagar per land: En guide till EU och EES
Även om ePrivacy-direktivet och GDPR utgör ett gemensamt ramverk inom hela Europeiska unionen, har varje medlemsstat införlivat ePrivacy-direktivet i sin nationella lagstiftning med sina egna nyanser. Tillsynens intensitet, tolkningen av undantag och bötesbeloppens storlek varierar avsevärt från land till land. Den här guiden går igenom de viktigaste specifika reglerna kring cookie-lagstiftning för tolv större europeiska marknader.
Snabbreferenstabell
| Land | Tillsynsmyndighet | Nationell lag | Tillsynsnivå | Anmärkningsvärt |
|---|---|---|---|---|
| Tyskland | Delstatliga dataskyddsmyndigheter + BfDI | TTDSG (2021) | Hög | Decentraliserad tillsyn; PIMS-ramverk |
| Frankrike | CNIL | Loi Informatique et Libertés | Mycket hög | Rekordböter; detaljerade cookie-riktlinjer |
| Italien | Garante | Privacy Code (D.Lgs. 196/2003) | Hög | Omfattande cookie-riktlinjer från 2021 |
| Spanien | AEPD | LSSI-CE + LOPDGDD | Måttlig | Historik av debatt om analysundantag |
| Nederländerna | AP | Telecommunicatiewet | Hög | Strikt förbud mot cookie-väggar |
| Belgien | APD/GBA | ePrivacy Act (2012) | Måttlig | Beslut om IAB Europe TCF |
| Österrike | DSB | TKG 2021 | Måttlig–hög | Tidiga beslut om Google Analytics |
| Danmark | Datatilsynet | Cookiebekendtgørelsen | Måttlig | Ökande tillsyn sedan 2022 |
| Sverige | IMY | LEK (2003:389) | Måttlig–hög | Stora böter 2023–2024 |
| Irland | DPC | SI 336/2011 | Måttlig | Nav för Big Tech; granskad för sitt tillsynstempo |
| Polen | UODO | Telekommunikationslag | Måttlig | Växande tillsynsverksamhet |
| Norge | Datatilsynet | Ekomloven | Måttlig | EES-medlem; följer EDPB:s vägledning noga |
Tyskland
Tillsynsmyndighet: Federala dataskyddsombudet (BfDI) på federal nivå, samt 16 delstatliga dataskyddsmyndigheter (Landesdatenschutzbehörden).
Nationell lag: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), som trädde i kraft den 1 december 2021, samlade Tysklands cookie-regler. Paragraf 25 i TTDSG införlivar artikel 5.3 i ePrivacy-direktivet och kräver samtycke för att lagra eller få tillgång till information på slutanvändarnas enheter, om inte lagringen är absolut nödvändig.
Viktiga krav: TTDSG förtydligade att samtycke till cookies måste uppfylla GDPR-standarden. Tysklands högsta domstol (BGH) hade redan bekräftat detta i tillämpningen av Planet49-domen (maj 2020) och slog fast att förkryssade rutor inte är tillräckliga. TTDSG införde även bestämmelser om godkända Personal Information Management Systems (PIMS), som skulle göra det möjligt för användare att hantera sina samtyckesinställningar centralt i stället för på varje enskild webbplats – även om genomförandeföreskrifterna för PIMS har dröjt.
Tillsyn: Tysklands decentraliserade tillsynsstruktur innebär att tillsynen av cookie-efterlevnad varierar mellan delstaterna. Dataskyddsmyndigheterna i Berlin, Hamburg och Baden-Württemberg har hört till de mest aktiva. Konferensen för dataskyddsmyndigheter (DSK) utfärdar då och då gemensamma ståndpunkter om kraven på cookie-samtycke.
Anmärkningsvärda åtgärder: Flera utredningar av cookie-banners som använt mörka mönster, särskilt "nudging"-design där accept-knappen var visuellt framträdande medan avvisningsalternativet tonades ner. Böterna har generellt varit lägre än i Frankrike, men tillsynsverksamheten har ökat stadigt sedan TTDSG trädde i kraft.
Frankrike
Tillsynsmyndighet: Commission Nationale de l'Informatique et des Libertés (CNIL).
Nationell lag: Loi Informatique et Libertés (lag nr 78-17), ändrad för att genomföra ePrivacy-direktivet. CNIL utfärdade omfattande cookie-riktlinjer i september 2020 med en övergångsperiod för efterlevnad som löpte ut den 31 mars 2021.
Viktiga krav: Frankrike är den striktaste stora EU-marknaden när det gäller cookie-efterlevnad. CNIL:s riktlinjer kräver: samtycke innan någon icke-nödvändig cookie sätts; ett avvisningsalternativ på bannerns första lager som är lika enkelt att använda som accept-alternativet; inga cookie-väggar (med begränsade undantag som fastställts av Conseil d'État); detaljerad information om varje cookies ändamål.
Undantag för publikmätning: CNIL medger ett begränsat undantag för cookies för publikmätning som uppfyller strikta villkor: verktyget måste vara konfigurerat för att endast producera anonym statistik, cookies måste begränsas till utgivarens webbplats, cookiens livslängd får inte överstiga 13 månader, och uppgifterna får inte kombineras med annan behandling. Verktyg som Matomo (med särskild konfiguration) och AT Internet har erkänts under detta undantag. Google Analytics uppfyller inte kraven.
Anmärkningsvärda böter: Frankrike har utfärdat de största cookie-relaterade böterna i Europa. Google LLC bötfälldes med 150 miljoner euro i december 2021 för att ha gjort det svårare att avvisa än att acceptera cookies. Facebook bötfälldes med 60 miljoner euro i samma åtgärd. Microsoft bötfälldes med 60 miljoner euro i december 2022. TikTok bötfälldes med 5 miljoner euro i december 2022. Criteo bötfälldes med 40 miljoner euro i juni 2023. Totalt har CNIL utdömt över 400 miljoner euro i cookie-specifika böter.
Italien
Tillsynsmyndighet: Garante per la protezione dei dati personali (Garante).
Nationell lag: Privacy Code (Decreto Legislativo 196/2003), ändrad för att stämma överens med GDPR. Garante utfärdade omfattande cookie-riktlinjer den 10 juni 2021, med krav på efterlevnad senast den 10 januari 2022.
Viktiga krav: Garantes riktlinjer från 2021 hör till de mest detaljerade i Europa. De kräver: en banner i första lagret med en accept-knapp och en tydligt visad avvisningsknapp (markerad med ett "X" eller "Fortsätt utan att acceptera"); ett andra lager som är tillgängligt från den första bannern med detaljerade kontroller för olika cookie-kategorier; scrollning utgör uttryckligen inte samtycke; cookie-samtycke måste inhämtas på nytt efter högst 6 månader.
Anmärkningsvärt: Garante införde principen att kräva en specifik "stäng"-knapp på cookie-banners, i stället för att låta fortsatt surfning fungera som ett avvisande. Riktlinjerna behandlade även frågan om cookies för analys och krävde samtycke för all tredjepartsanalys, med ett begränsat undantag endast för förstapartsanalysverktyg med korrekt anonymiserade uppgifter.
Spanien
Tillsynsmyndighet: Agencia Española de Protección de Datos (AEPD).
Nationell lag: Ley de Servicios de la Sociedad de la Información (LSSI-CE) och Ley Orgánica de Protección de Datos (LOPDGDD).
Viktiga krav: Spanien intog inledningsvis ett mer tillåtande förhållningssätt till cookie-efterlevnad, och AEPD:s cookie-guide från 2013 antydde att vissa analyscookies skulle kunna användas med berättigat intresse som grund. AEPD har dock successivt anpassat sig till den striktare europeiska samsynen efter EDPB:s vägledning och Planet49-domen. Nuvarande AEPD-vägledning kräver förhandssamtycke för analys- och marknadsföringscookies.
Anmärkningsvärda åtgärder: AEPD bötfällde Vueling Airlines med 30 000 euro 2020 för en cookie-banner som endast erbjöd ett accept-alternativ utan möjlighet att avvisa cookies. CaixaBank bötfälldes med 6 miljoner euro 2021, delvis kopplat till databehandlingsrutiner förknippade med cookie-baserad spårning. På senare tid har AEPD fokuserat på cookie-väggar och mörka mönster i samtyckesgränssnitt.
Nederländerna
Tillsynsmyndighet: Autoriteit Persoonsgegevens (AP).
Nationell lag: Telecommunicatiewet (telekommunikationslagen), artikel 11.7a.
Viktiga krav: Nederländerna har intagit en av de striktaste positionerna mot cookie-väggar i Europa. AP har tydligt slagit fast att det inte är giltigt samtycke att villkora åtkomsten till en webbplats med att cookies accepteras, eftersom samtycket inte är "frivilligt" om alternativet är att förlora tillgången till tjänsten. AP kräver även uttryckligt samtycke innan några spårningscookies sätts och har varit kritisk mot samtyckeshanteringsplattformar som använder manipulativ design.
Anmärkningsvärda åtgärder: AP har utrett ett stort antal webbplatser för bristande cookie-efterlevnad och har utfärdat vägledning som specifikt riktar sig mot mörka mönster i cookie-banners. Myndigheten deltog även i samordnade granskningar av offentliga webbplatser för cookie-efterlevnad. Under 2024 ökade AP sin tillsynsverksamhet mot mindre organisationer, vilket signalerade att kraven på cookie-efterlevnad gäller oavsett företagets storlek.
Belgien
Tillsynsmyndighet: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Nationell lag: Lag av den 13 juni 2005 om elektronisk kommunikation, ändrad genom lag av den 10 juli 2012.
Viktiga krav: Belgien följer de vanliga kraven i ePrivacy-direktivet. Den belgiska dataskyddsmyndigheten fick global betydelse för cookie-regleringen när den i februari 2022 fattade beslut om IAB Europes Transparency and Consent Framework (TCF) och konstaterade att TCF:s samtyckessträng utgjorde personuppgifter och att IAB Europe var gemensamt personuppgiftsansvarig. Detta beslut, som delvis bekräftades av EU-domstolen i mars 2024, får konsekvenser för varje webbplats som använder TCF för hantering av cookie-samtycke.
Anmärkningsvärt: TCF-beslutet skickade chockvågor genom onlineannonsbranschen, eftersom TCF är det mest använda samtyckesramverket för programmatisk annonsering i Europa. Även om IAB Europe har genomfört ändringar för att bemöta dataskyddsmyndighetens invändningar, belyste fallet riskerna med att förlita sig på branschutformade samtyckesramverk som kanske inte helt uppfyller GDPR:s krav.
Österrike
Tillsynsmyndighet: Datenschutzbehörde (DSB).
Nationell lag: Telekommunikationsgesetz 2021 (TKG 2021), paragraf 165.
Viktiga krav: Österrikes cookie-regler följer det vanliga ramverket i ePrivacy-direktivet. Den österrikiska DSB fick internationell uppmärksamhet i januari 2022 när den blev den första europeiska dataskyddsmyndigheten att slå fast att användningen av Google Analytics bröt mot GDPR, särskilt när det gällde överföringar av personuppgifter till USA efter Schrems II-domen. Även om det främst handlade om en fråga om dataöverföring, hade det direkta konsekvenser för cookie-efterlevnaden, eftersom Google Analytics-cookies bedömdes utgöra personuppgifter som överfördes till tredjeland utan tillräckliga skyddsåtgärder.
Anmärkningsvärt: Google Analytics-beslutet utlöste en rad liknande beslut i hela Europa (Frankrike, Italien med flera följde efter) och påskyndade utvecklingen av integritetsvänliga alternativ för analys. DSB har fortsatt att vara aktiv i frågor om cookies och spårningsteknik.
Danmark
Tillsynsmyndighet: Datatilsynet.
Nationell lag: Cookiebekendtgørelsen (bekendtgørelse om information och samtycke som krävs för lagring av eller åtkomst till information i slutanvändarnas terminalutrustning), som genomför bestämmelserna i ePrivacy-direktivet.
Viktiga krav: Danmark kräver samtycke för alla cookies utom de som är absolut nödvändiga för en tjänst som användaren uttryckligen har begärt. Datatilsynet har utfärdat vägledning som bekräftar att analyscookies kräver samtycke och att fortsatt surfning inte utgör giltigt samtycke. Dansk vägledning har i allt högre grad anpassats till de striktare positioner som CNIL och EDPB intagit.
Anmärkningsvärda åtgärder: Datatilsynet har ökat sin cookie-tillsyn sedan 2022 och utrett webbplatser inom både offentlig och privat sektor. Under 2023 fattade myndigheten beslut mot flera danska webbplatser för bristfälliga mekanismer för cookie-samtycke, inklusive fall där avvisningsalternativet inte var tillräckligt synligt. Datatilsynet har även behandlat användningen av Google Analytics och Metas spårningspixlar på danska webbplatser och beordrat flera organisationer att sluta använda dessa verktyg utan korrekt samtycke och skyddsåtgärder för dataöverföring.
Sverige
Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY).
Nationell lag: Lag om elektronisk kommunikation (LEK, 2003:389).
Viktiga krav: Sverige har på senare år gått från relativt begränsad cookie-tillsyn till kraftfulla åtgärder. IMY utfärdade sina första större cookie-relaterade böter 2023 och riktade sig mot fyra företag (däribland Tele2, CDON, Dagens Industri och Coop) för sammanlagt över 100 miljoner kronor (cirka 9 miljoner euro) för användning av Google Analytics och delning av personuppgifter med Google utan giltigt samtycke eller tillräckliga skyddsåtgärder för dataöverföring.
Anmärkningsvärt: Tillsynsåtgärderna 2023 signalerade en stor förändring i Sveriges förhållningssätt. IMY samordnade sig med andra nordiska dataskyddsmyndigheter och följde de prejudikat som den österrikiska DSB och franska CNIL etablerat om Google Analytics. Böterna hörde till de största som utfärdats av någon nordisk dataskyddsmyndighet och slog fast att svensk tillsyn nu är i nivå med de striktaste europeiska myndigheterna.
Irland
Tillsynsmyndighet: Data Protection Commission (DPC).
Nationell lag: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Viktiga krav: Irland följer det vanliga ramverket i ePrivacy-direktivet. DPC:s roll som ledande tillsynsmyndighet för många stora teknikföretag med säte i Irland (däribland Meta, Google, Apple, Microsoft och TikTok) har dock gett den en oproportionerligt stor betydelse för europeiskt dataskydd. DPC har utfärdat vägledning om cookie-efterlevnad och genomfört granskningar av webbplatser inom både offentlig och privat sektor.
Anmärkningsvärt: DPC har fått kritik från andra europeiska dataskyddsmyndigheter och Europaparlamentet för sitt upplevda tempo i tillsynen mot Big Tech. DPC har dock utfärdat betydande GDPR-böter, däribland böter på 1,2 miljarder euro mot Meta 2023 för dataöverföringar. När det specifikt gäller cookies genomförde DPC webbplatsgranskningar 2020 och 2021 och lämnade efterlevnadsrekommendationer till ett stort antal organisationer. Direkta cookie-specifika böter från DPC har varit relativt blygsamma jämfört med CNIL.
Polen
Tillsynsmyndighet: Urząd Ochrony Danych Osobowych (UODO).
Nationell lag: Telekommunikationslag (Prawo telekomunikacyjne), artikel 173.
Viktiga krav: Polen kräver samtycke för cookies i enlighet med ePrivacy-direktivet. UODO har utfärdat vägledning som bekräftar att förkryssade rutor och fortsatt surfning inte utgör giltigt samtycke. Polsk lag innehåller särskilda bestämmelser om vilken information som måste ges till användarna om cookies, inklusive ändamål, den personuppgiftsansvariges identitet och instruktioner för att hantera cookie-inställningar.
Anmärkningsvärt: Polens tillsynsverksamhet kring cookies har ökat, och UODO utreder klagomål om cookie-banners som inte uppfyller kraven och samarbetar med telekomtillsynsmyndigheten. UODO har deltagit i EU-övergripande samordnade tillsynsgranskningar och anpassat sin vägledning till EDPB:s rekommendationer.
Norge
Tillsynsmyndighet: Datatilsynet (norska dataskyddsmyndigheten – skild från den danska myndigheten med samma namn).
Nationell lag: Ekomloven (lagen om elektronisk kommunikation).
Viktiga krav: Även om Norge inte är medlem i EU, är landet medlem i Europeiska ekonomiska samarbetsområdet (EES) och har införlivat GDPR och ePrivacy-direktivet i sin nationella lagstiftning genom EES-avtalet. Den norska Datatilsynet följer EDPB:s vägledning noga och har varit aktiv i cookie-tillsynen.
Anmärkningsvärda åtgärder: Den norska Datatilsynet utfärdade böter på 5 miljoner euro till Grindr i december 2021 (senare justerade till 6,5 miljoner euro efter överklagande) för att ha delat användardata med annonspartner utan giltigt samtycke. Även om det främst var ett samtyckesfall som rörde datadelning snarare än cookies specifikt, etablerade det viktiga prejudikat för samtyckeskrav inom spårningsteknik. Myndigheten har även utrett användningen av Google Analytics och andra spårningsverktyg på norska webbplatser.
Viktiga slutsatser
Trots skillnaderna i nationell tillämpning och tillsyn är flera principer genomgående i alla EU- och EES-länder:
- Samtycke krävs innan någon icke-nödvändig cookie sätts. Inget europeiskt land accepterar en ren opt-out-modell för cookies.
- Samtycke måste uppfylla GDPR-standarden: frivilligt, specifikt, informerat, otvetydigt och lämnat genom en tydlig aktiv handling.
- Att avvisa måste vara lika enkelt som att acceptera. Även om den specifika lösningen kan variera (separat knapp, X för att stänga osv.) är principen att det inte får vara svårare att avvisa cookies än att acceptera dem universell.
- Tillsynen ökar överallt. Länder som tidigare var tillåtande utfärdar nu böter och formella beslut. Det finns ingen "säker" europeisk jurisdiktion för bristande efterlevnad.
- Samordnad tillsyn växer. Dataskyddsmyndigheterna samarbetar allt mer genom EDPB och genomför samordnade granskningar, vilket innebär att bristande efterlevnad i ett land sannolikt drar till sig uppmärksamhet i andra.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis