Aktuellt
Artikel
2025.06.18

Vägledning rörande cookies i beslut från Integritetsskyddsmyndigheten

Under 2021 beslutade Europeiska dataskyddsstyrelsen (EDPB) att sätta samman en särskild arbetsgrupp i syfte att dela information och ”best practices” avseende cookiebanners. Arbetsgruppen inrättades som en konsekvens av organisationen NOYBs (None Of Your Business) klagomål på utformningen av cookiebanners på hundratals webbsidor. Arbetsgruppen bestod av 18 tillsynsmyndigheter från EU och EES som fick i uppdrag att tillsammans analysera de cookiebanners som var föremål för klagomålen. Som en del av arbetsgruppens arbete togs en rapport fram som går att läsa mer om i vår tidigare artikel: Detta ska du tänka på när du utformar din cookiebanner.

Som ett resultat av klagomålen inledde Integritetsskyddsmyndigheten (”IMY”) också ett antal tillsynsärenden. Klagomålen har framför allt rört designen av cookiebanners, placering av cookies och den efterföljande behandlingen av personuppgifter när cookies har blivit placerade på individers webbläsare eller enhet. Tillsynsärendena gäller gränsöverskridande behandling av personuppgifter och IMY har därför samarbetat med berörda tillsynsmyndigheter i andra länder. Den 30 april 2025 publicerade IMY beslut i tre tillsynsärenden och riktade i samtliga beslut kritik mot företagens cookiebanners.

I det följande ger vi några reflektioner kring IMY:s beslut.

Krav på utformningen av cookiebannern

Enligt lagen om elektronisk kommunikation (2022:482) (”LEK”) uppställs ett krav på samtycke för att samla in uppgifter via cookies. I LEK anges att innebörden av ”samtycke” är densamma som i GDPR. För att vara giltigt krävs därför att samtycket är en frivillig, specifik, informerad och otvetydig viljeyttring.

För att ett samtycke till cookies ska vara giltigt behöver en bedömning göras i varje enskilt fall. Bedömningen ska bland annat inkludera cookiebannerns design och om den förhindrar eller möjliggör att lämna ett informerat och frivilligt samtycke. Om kontrast och färg i en cookiebanner är uppenbart vilseledande för den registrerade kan det medföra att det inte är möjligt att lämna ett informerat och frivilligt samtycke. Till exempel ska neka och godkänna cookies utformas likvärdigt för att undvika att vara vilseledande.

I ett av IMY:s beslut hade bolaget som är föremål för beslutet använt sig av en cookiebanner med vit bakgrund som i det första lagret presenterade två alternativ för webbplatsbesökare ”Godkänn alla cookies” eller ”Välj dina cookies”, som var i två olika färger. För alternativet att inte godkänna kakor (d.v.s. ”Välj dina cookies”) användes en länk och för att godkänna kakor användes en knapp. Länken var grå/svart text och knappen för att godkänna var grön med vit text. Alternativet att inte godkänna kakor (d.v.s. länken) uppfattades inte lika framträdande som en grön knapp mot vit bakgrund vilket resulterade i kritik.

Laglig grund för att vidarebehandla personuppgifter som samlats in via cookies

För att behandling av personuppgifter ska vara laglig krävs bland annat att det finns en laglig grund för att behandla personuppgifterna. I ett av besluten hade personuppgifter samlats in via cookies och vidarebehandlats med berättigat intresse (intresseavvägning) som laglig grund. I beslutet resonerar IMY särskilt kring möjligheten att stödja behandlingen på intresseavvägning jämfört med samtycke enligt GDPR.

IMY framhäver i beslutet att kravet på samtycke enligt LEK medför ett särskilt starkt integritetsskydd och innebär i praktiken att registrerade själva kan välja och kontrollera hur personuppgifterna används. Om intresseavvägning tillämpas i stället för samtycke för vidarebehandlingen av personuppgifterna riskerar det enligt IMY att utgöra en risk för att det särskilda integritetsskyddet som följer av samtycke enligt LEK urholkas. Av denna anledning måste det särskilda integritetsskyddet som samtycke är tänkt att medföra tas i beaktande vid genomförandet av en intresseavvägning. I det aktuella beslutet kunde bolaget i fråga inte visa att personuppgiftsbehandlingen kunde stödjas på berättigat intresse varför bolaget brutit mot kravet på att ha en laglig grund för personuppgiftsbehandlingen.

I ett tidigare tillsynsbeslut från 2023 har IMY också anfört att utrymmet för att med stöd av intresseavvägning i GDPR, vidarebehandla uppgifter som samlats in med stöd av samtycke enligt LEK är mycket begränsat. I enlighet med vägledning från EDPB är utgångspunkten att personuppgifter som samlas in via cookies och som vidarebehandlas för ett annat ändamål, endast får ske om den personuppgiftsansvarige begär ytterligare samtycke eller har stöd i unionsrätten eller en medlemsstats lagstiftning.

Återkalla samtycke till cookies ska vara lika lätt som att lämna samtycke

Som ovan konstaterats är definitionen av samtycke enligt LEK densamma som samtycke enligt GDPR. I GDPR uppställs krav på att det ska vara lika lätt att återkalla ett samtycke som att ge ett samtycke. Bedömningen av om det är lika enkelt att återkalla som att lämna ska göras i det enskilda fallet utifrån det aktuella förfarandet som används för att lämna samtycket. Det innebär att det inte är tillåtet att enskilda ska behöva vidta fler åtgärder eller genomgå en mer omfattande process för att återkalla ett lämnat samtycke. Om ett samtycke exempelvis kan lämnas genom ett enda knapptryck i en cookiebanner kan det vara otillåtet att kräva av en som vill återkalla sitt samtycke att behöva leta upp en särskild sida där cookieinställningar kan administreras och behöva klicka ur olika kategorier av cookies. I sådana fall behövs det betydligt fler knapptryck för att återkalla sitt samtycke jämfört med att lämna det.

Det ska också vara lätt att hitta var på en webbplats det är möjligt att återkalla sitt samtycke. I besluten framhåller IMY dock att det inte finns några krav i GDPR på att det är någon specifik teknisk lösning som ska användas för att uppfylla kravet på att samtycket när som helst ska kunna återkallas. Ett alternativ är att ha en permanent hovrande ikon för återkallande som är synlig på alla sidor och delar av en webbplats. På så sätt blir det lika enkelt att återkalla samtycket som det är att lämna det genom val i cookiebannern.

Information om att återkalla samtycke ska ges på ett klart och tydligt sätt

För att ett samtycke ska anses vara informerat anger IMY att en personuppgiftsansvarig måste lämna information om möjligheten att återkalla samtycket. Informationen ska lämnas innan samtycket ges och av informationen ska det framgå klart och tydligt att det finns en rätt att återkalla samtycket. Det är därför inte tillräckligt att endast ge information om möjligheten att administrera sina valmöjligheter för cookies eller att uppdatera inställningar avseende cookies, utan det ska uttryckligen redogöras för rätten att återkalla samtycket.

Läs samtliga tillsynsbeslut i dess helhet på IMY:s hemsida: IMY riktar kritik mot företags kakbanners.

Vi på Cederquist är väl insatta i frågor rörande cookies och andra dataskyddsfrågor. Ni är varmt välkomna att höra av er om ni har några frågor.

Relevant Läsning

Kontakt

Agnes Norrby

Associate

agnes.norrby@cederquist.se
+46 8 522 065 56
+46 739 60 65 56

Info

Antonia Carlsson

Senior Associate

antonia.carlsson@cederquist.se
+46 8 522 066 35
+46 739 60 66 35

Info

Henrik Lindstrand

Partner

henrik.lindstrand@cederquist.se
+46 8 522 066 43
+46 739 60 66 43

Info

Johanna Linder

Partner

johanna.linder@cederquist.se
+46 8 522 066 31
+46 739 60 66 31

Info

Hittar du inte vad du letar efter?

bg