Hva GDPR krever av et informasjonskapselbanner

GDPR og ePrivacy-direktivet fastlegger fem ufravikelige regler for informasjonskapselsamtykke:

• Fritt gitt: Å avvise informasjonskapsler må være like enkelt som å akseptere dem.
• Spesifikt: Samtykke må innhentes separat for hvert formål.
• Informert: Brukere må vite hva de samtykker til før de samtykker.
• Utvetydig: Forhåndsavkryssede bokser og fortsatt surfing teller ikke.
• Tilbakekallelig: Brukere må kunne trekke samtykke tilbake når som helst.

Eksempel 1: "Kun aksepter"-banneret (Ikke-overensstemmende)

Slik ser det ut

En liten linje med "Vi bruker informasjonskapsler for å forbedre opplevelsen din" og én "OK"-knapp. Ingen avvisningsalternativ, ingen innstillinger.

Hvorfor det feiler

Intet reelt valg, ingen informasjon om informasjonskapsler, ingen måte å avvise. CNIL bøtela Google EUR 150 millioner og Facebook EUR 60 millioner i 2022 for nøyaktig dette mønsteret.

Dom: Ulovlig etter GDPR.

Eksempel 2: Aksepter alle + liten "Administrer innstillinger"-lenke (Ikke-overensstemmende)

Slik ser det ut

En fremtredende "Aksepter alle"-knapp med en liten grå "Administrer innstillinger"-lenke. Ingen "Avvis alle"-knapp.

Hvorfor det feiler

Visuelt hierarki skyver brukere mot å akseptere. Avvisning krever to klikk mens aksept krever ett. Flere datatilsyn har avgjort at dette ikke er fritt gitt samtykke.

Dom: Ikke-overensstemmende. Avvis må være like tilgjengelig som Aksepter.

Eksempel 3: Like store Aksepter og Avvis-knapper (Overensstemmende)

Slik ser det ut

To like store knapper: "Aksepter alle" og "Avvis alle". Under dem, en "Administrer innstillinger"-lenke. Kort forklaring av informasjonskapselformål.

Hvorfor det fungerer

Ekte fritt valg, begge alternativene like fremtredende, ett klikk hver. Dette er mønsteret CNIL eksplisitt anbefalte.

Dom: Overensstemmende. Grunnlinjen enhver nettside bør oppfylle.

Eksempel 4: Informasjonskapselveggen (Ikke-overensstemmende)

Slik ser det ut

Fullskjermsoverlay som blokkerer alt innhold. Eneste alternativ er "Aksepter informasjonskapsler".

Hvorfor det feiler

GDPR artikkel 7(4) — samtykke er ikke fritt gitt hvis tilgang til tjenesten er betinget. Det nederlandske datatilsynet konkluderte med at informasjonskapselvegger generelt ikke er tillatt.

Dom: Ikke-overensstemmende i de fleste EU-jurisdiksjoner.

Eksempel 5: Forhåndsavkryssede bokser (Ikke-overensstemmende)

Slik ser det ut

Detaljert banner som viser informasjonskapselkategorier med avkrysningsbokser — men alle er forhåndsavkrysset.

Hvorfor det feiler

EU-domstolens Planet49-avgjørelse (2019) avgjorde dette definitivt: forhåndsavkryssede bokser utgjør ikke gyldig samtykke. Samtykke krever en klar bekreftende handling.

Dom: Eksplisitt ulovlig ifølge EU-domstolens rettspraksis.

Eksempel 6: Den lagdelte tilnærmingen (Overensstemmende — Beste praksis)

Slik ser det ut

Første lag: kompakt banner med Aksepter alle, Avvis alle og Tilpass-knapper. Andre lag: detaljert innstillingssenter med individuelle kategoribytter og leverandørliste. Tredje lag: fullstendig informasjonskapselpolicy.

Hvorfor det fungerer

Balanserer informasjon med brukervennlighet. Første lag gir valg, andre detaljer, tredje full åpenhet. Eksplisitt anbefalt av EDPB.

Dom: Beste praksis. Gullstandarden for overholdelse.

Eksempel 7: Villedende knapptekster (Ikke-overensstemmende)

Slik ser det ut

"Jeg godtar" versus "Jeg godtar ikke å avvise ikke-essensielle informasjonskapsler". Eller: "Aksepter anbefalte innstillinger" versus "Bruk begrenset versjon".

Hvorfor det feiler

GDPR fortale 42 krever klart, enkelt språk. Doble negasjoner, antydede konsekvenser og manipulerende tekster er ikke-overensstemmende.

Dom: Ikke-overensstemmende. Bruk klare, nøytrale tekster.

Eksempel 8: Det korrekt utførte overensstemmende banneret

Slik ser det ut

En ren bunnlinje med: klar overskrift, kort forklaring, tre likt stilede knapper (Aksepter alle, Avvis alle, Administrer innstillinger) og en lenke til informasjonskapselpolicyen. Administrer innstillinger åpner et innstillingssenter med individuelle brytere, leverandørliste og Lagre-knapp.

Hvorfor det fungerer

Oppfyller alt: fritt valg, symmetriske knapper, lagdelt informasjon, enkelt språk, ingen forhåndsavkryssede bokser, enkel tilbaketrekking via innstillingsikon for informasjonskapsler.

Dom: Fullt overensstemmende.

Reelle bøter for dårlige bannere

• Google (Frankrike, 2022): EUR 150 millioner — avvisningsalternativet var vanskeligere å finne enn aksept.
• Facebook (Frankrike, 2022): EUR 60 millioner — samme asymmetriproblem.
• Microsoft (Frankrike, 2022): EUR 60 millioner — reklameinformasjonskapsler satt uten gyldig samtykke.
• TikTok (Frankrike, 2023): EUR 5 millioner — avvisning av informasjonskapsler krevde flere trinn enn aksept.

Sjekkliste for overholdelse

• Er det en synlig "Avvis alle"-knapp på første lag?
• Er Aksepter og Avvis like fremtredende?
• Er alle avkrysningsbokser uavkrysset som standard?
• Vises banneret før ikke-essensielle informasjonskapsler settes?
• Kan brukere få tilgang til detaljerte kategorikontroller?
• Logges samtykke med tidsstempel?
• Kan brukere endre samtykke når som helst?
• Er banneret på brukerens språk?
• Forhindrer klikk på Avvis faktisk ikke-essensielle informasjonskapsler?

Hvordan FlexyConsent håndterer dette ut av boksen

FlexyConsent er en Google-sertifisert CMP med IAB TCF 2.3-støtte. Den dekker alle overholdelseskrav:

• Like store Aksepter og Avvis-knapper på første lag
• Innebygd lagdelt tilnærming (første lag for valg, andre for detaljerte kontroller)
• Ingen forhåndsavkryssede bokser — alle valgfrie kategorier uavkrysset som standard
• Google Consent Mode V2 integrert ut av boksen
• 43 språk med automatisk gjenkjenning
• Geomålretting for regionsspesifikke bannere
• Samtykkelogging og dokumentasjon for revisjoner
• Planer fra EUR 0/måned

Sett opp et overensstemmende banner på under fem minutter på panel.flexyconsent.com.