Den rättsliga grunden

Skyldigheter kring cookiesamtycke härrör från GDPR (Regulation 2016/679) och ePrivacy Directive (2002/58/EC). ePrivacy Directive kräver samtycke innan information lagras på användarens enhet (Article 5(3)), medan GDPR definierar giltigt samtycke (Article 4(11), Article 7, Recital 32).

De 14 kraven

1. Förhandssamtycke

Icke-nödvändiga cookies får inte aktiveras innan användaren ger sitt samtycke. Article 5(3) i ePrivacy Directive är tydlig. CNIL bötfällde Google med EUR 150 miljoner (2022) för att ha laddat cookies före användarinteraktion.

2. Frivilligt givet samtycke

Samtycke får inte vara ett villkor för åtkomst (GDPR Article 4(11)). Cookiesamtycke får inte buntas med tjänstevillkor.

3. Detaljerat ändamålsval

Användare måste samtycka till varje ändamål oberoende — analys, annonsering, funktionell (GDPR Recital 43). En enda knapp "Acceptera alla" utan kategorival är otillräcklig.

4. Lika synlighet för Acceptera och Neka

Neka måste vara lika synligt som Acceptera. CNIL kräver en knapp "Neka alla" på första lagret med lika visuell vikt. Microsoft bötfälldes med EUR 60 miljoner (2022), delvis för att ha dolt nekaalternativet.

5. Inga förkryssade rutor

CJEU Planet49-avgörandet (C-673/17, 2019): förkryssade rutor utgör inte giltigt samtycke. Alla kategorier måste vara avaktiverade som standard.

6. Inga cookieväggar

Att blockera åtkomst till webbplatsen tills samtycke ges är i allmänhet inte efterlevande. EDPB och den nederländska DPA har bekräftat detta.

7. Tydligt, enkelt språk

GDPR Article 7(2) — samtyckesbegäran måste använda tydligt, enkelt språk. "Vi använder cookies för att förbättra din upplevelse" är otillräckligt.

8. Språkmatchning

GDPR Article 12(1) — information måste vara begriplig. Bannern bör matcha webbplatsens språk.

9. Länk till cookiepolicy

GDPR Articles 13-14 kräver uttömmande information. Bannern måste länka till en fullständig cookiepolicy som listar varje cookie.

10. Enkel återkallelse

GDPR Article 7(3) — återkallelse måste vara lika enkelt som att ge samtycke. En permanent widget eller sidfotslänk måste möjliggöra återöppning av samtyckegränssnittet.

11. Samtyckesjournalföring

GDPR Article 7(1) — du måste kunna visa att samtycke erhölls. Logga tidsstämplar, val och bannerversioner.

12. Tredjepartsupplysning

GDPR Article 13(1)(e) — uppge alla tredjepartsmottagare av data. Under TCF 2.3 måste leverantörslistan vara tillgänglig från samtyckegränssnittet.

13. Transparens kring datalagring

GDPR Article 13(2)(a) — uppge hur länge cookies kvarstår.

14. Mobilanpassning

Inget GDPR-undantag för mobil. Knappar måste vara tryckbara, text läsbar och gränssnittet funktionellt på alla skärmstorlekar.

Snabb revisionschecklista

• Inga icke-nödvändiga cookies aktiveras före samtycke
• Acceptera och Neka är lika synliga på första lagret
• Individuellt kategorival är tillgängligt
• Inga förvalde reglage för icke-nödvändiga kategorier
• Webbplatsen är tillgänglig även om användaren nekar allt
• Bannerspråket matchar innehållsspråket
• Tydligt, icke-tekniskt språk används
• Länk till fullständig cookiepolicy är synlig på bannern
• Cookiepolicyn listar varje cookie efter namn, ändamål och varaktighet
• En permanent widget möjliggör återöppning av samtyckegränssnittet
• Återkallelse av samtycke kräver samma antal klick som att ge det
• Samtyckesregister loggas med tidsstämplar
• Tredjepartsmottagare av data uppges
• Bannern är funktionell på mobila enheter
• Inga manipulativa färger, storlekar eller formuleringar

Automatisera detta: FlexyConsent hanterar alla krav direkt — Google-certifierad CMP med IAB TCF 2.3, Consent Mode V2, 43+ språk, planer från EUR 0/månad. Kom igång på panel.flexyconsent.com.