Vad GDPR kräver av en cookiebanner

GDPR och ePrivacy-direktivet fastställer fem icke-förhandlingsbara regler för cookiesamtycke:

• Fritt givet: Att neka cookies måste vara lika enkelt som att acceptera dem.
• Specifikt: Samtycke måste begäras separat för varje ändamål.
• Informerat: Användare måste veta vad de samtycker till innan de samtycker.
• Otvetydigt: Förkryssade rutor och fortsatt surfande räknas inte.
• Återkallbart: Användare måste kunna återkalla samtycke när som helst.

Exempel 1: Bannern "Bara acceptera" (Icke-överensstämmande)

Hur den ser ut

En liten rad med "Vi använder cookies för att förbättra din upplevelse" och en "OK"-knapp. Inget avvisningsalternativ, inga inställningar.

Varför den misslyckas

Inget genuint val, ingen information om cookies, inget sätt att neka. CNIL bötfällde Google med 150 miljoner EUR och Facebook med 60 miljoner EUR 2022 för exakt detta mönster.

Dom: Olagligt enligt GDPR.

Exempel 2: Acceptera alla + liten "Hantera inställningar"-länk (Icke-överensstämmande)

Hur den ser ut

En framträdande "Acceptera alla"-knapp med en liten grå "Hantera inställningar"-länk. Ingen "Neka alla"-knapp.

Varför den misslyckas

Visuell hierarki driver användare mot att acceptera. Att neka kräver två klick medan acceptera kräver ett. Flera dataskyddsmyndigheter har bedömt att detta inte är fritt givet samtycke.

Dom: Icke-överensstämmande. Neka måste vara lika tillgängligt som Acceptera.

Exempel 3: Lika stora Acceptera och Neka-knappar (Överensstämmande)

Hur den ser ut

Två lika stora knappar: "Acceptera alla" och "Neka alla". Under dem en "Hantera inställningar"-länk. Kort förklaring av cookieändamål.

Varför den fungerar

Genuint fritt val, båda alternativen lika framträdande, ett klick vardera. Detta är mönstret som CNIL uttryckligen rekommenderade.

Dom: Överensstämmande. Baslinjen varje webbplats bör uppfylla.

Exempel 4: Cookieväggen (Icke-överensstämmande)

Hur den ser ut

Helskärmsöverlagring som blockerar allt innehåll. Enda alternativet är "Acceptera cookies".

Varför den misslyckas

GDPR artikel 7(4) — samtycke är inte fritt om åtkomst till tjänsten är villkorad. Nederländernas dataskyddsmyndighet slog fast att cookieväggar generellt inte är tillåtna.

Dom: Icke-överensstämmande i de flesta EU-jurisdiktioner.

Exempel 5: Förkryssade rutor (Icke-överensstämmande)

Hur den ser ut

Detaljerad banner med cookiekategorier och kryssrutor — men alla är förkryssade.

Varför den misslyckas

EU-domstolens Planet49-dom (2019) avgjorde detta slutgiltigt: förkryssade rutor utgör inte giltigt samtycke. Samtycke kräver en tydlig bekräftande handling.

Dom: Uttryckligen olagligt enligt EU-domstolens rättspraxis.

Exempel 6: Det skiktade tillvägagångssättet (Överensstämmande — Bästa praxis)

Hur den ser ut

Första lagret: kompakt banner med Acceptera alla, Neka alla och Anpassa-knappar. Andra lagret: detaljerat inställningscenter med individuella kategoriväxlar och leverantörslista. Tredje lagret: fullständig cookiepolicy.

Varför den fungerar

Balanserar information med användbarhet. Första lagret ger val, andra detaljer, tredje full transparens. Uttryckligen rekommenderat av EDPB.

Dom: Bästa praxis. Guldstandarden för efterlevnad.

Exempel 7: Vilseledande knappetiketter (Icke-överensstämmande)

Hur den ser ut

"Jag godkänner" kontra "Jag godkänner inte att neka icke-nödvändiga cookies". Eller: "Acceptera rekommenderade inställningar" kontra "Använd begränsad version".

Varför den misslyckas

GDPR skäl 42 kräver tydligt, enkelt språk. Dubbla negationer, antydda konsekvenser och manipulerande etiketter är icke-överensstämmande.

Dom: Icke-överensstämmande. Använd tydliga, neutrala etiketter.

Exempel 8: Den korrekt utförda överensstämmande bannern

Hur den ser ut

En ren nedre rad med: tydlig rubrik, kort förklaring, tre likadant utformade knappar (Acceptera alla, Neka alla, Hantera inställningar) och en länk till cookiepolicyn. Hantera inställningar öppnar ett inställningscenter med individuella växlar, leverantörslista och Spara-knapp.

Varför den fungerar

Uppfyller allt: fritt val, symmetriska knappar, skiktad information, enkelt språk, inga förkryssade rutor, enkel återkallelse via cookieinställningsikon.

Dom: Fullt överensstämmande.

Verkliga böter för dåliga banners

• Google (Frankrike, 2022): 150 miljoner EUR — avvisningsalternativet var svårare att hitta än acceptera.
• Facebook (Frankrike, 2022): 60 miljoner EUR — samma asymmetriproblem.
• Microsoft (Frankrike, 2022): 60 miljoner EUR — annonscookies sattes utan giltigt samtycke.
• TikTok (Frankrike, 2023): 5 miljoner EUR — att neka cookies krävde fler steg än att acceptera.

Checklista för efterlevnad

• Finns en synlig "Neka alla"-knapp på första lagret?
• Är Acceptera och Neka lika framträdande?
• Är alla kryssrutor okryssade som standard?
• Visas bannern innan icke-nödvändiga cookies sätts?
• Kan användare nå detaljerade kategorikontroller?
• Loggas samtycke med tidsstämpel?
• Kan användare ändra samtycke när som helst?
• Är bannern på användarens språk?
• Förhindrar klick på Neka faktiskt icke-nödvändiga cookies?

Hur FlexyConsent hanterar detta direkt

FlexyConsent är en Google-certifierad CMP med IAB TCF 2.3-stöd. Den täcker varje efterlevnadskrav:

• Lika stora Acceptera och Neka-knappar på första lagret
• Inbyggt skiktat tillvägagångssätt (första lagret för val, andra för detaljerade kontroller)
• Inga förkryssade rutor — alla valfria kategorier okryssade som standard
• Google Consent Mode V2 integrerat direkt
• 43 språk med automatisk detektering
• Geografisk inriktning för regionspecifika banners
• Samtyckeloggning och bevis för revisioner
• Planer från 0 EUR/månad

Ställ in en överensstämmande banner på under fem minuter på panel.flexyconsent.com.