GDPR-verktyg

Kraftfullt & lättanvänt

Kom igång snabbt & enkelt

♥ Onboarding ingår

♥ Personlig uppföljning

♥ Dokumentmallar

Se hur verktyget kan hjälpa er

Utbildning

Investera i er själva

Utbildningsformat för alla behov

Klassrumsutbildning
Digital liveutbildning
E-learning med quiz!
Läs mer om våra utbildningar

Rådgivning

Spetskompetens & personligt

Lång erfarenhet, flexibla upplägg & enkel prissättning

Hjälp med GDPR-frågor

Dataskyddsombudstjänst

Incidenthantering

Läs mer om våra utbildningar

Webinarie

Nytt avsnitt varje månad!

Kolla in nästa webinarie

Blogg

Sök eller bläddra bland 100-tals kostnadsfria GDPR-artiklar om aktuella frågor!

Bläddra runt i vår blogg

GDPR-projektplan

Låt vår roadmap guida dig under din GDPR-resa – smart och detaljerad!

Gratis roadmap
Ordlista
Lagtext
Vanliga frågor
Artikel 30-register
Behandlingar

Vanliga frågor

Vanliga frågor

♥ Över 1000 nöjda kunder

♥ 4,5 av 5 i kundnöjdhet

♥ 9 av 10 fortsätter år efter år

♥ Bli en GDPR-hjälte du också!

Boka möte

Team

Mack
Medarbetare

Kundcase

Vi gör juridiken lätt för dig

Våra kunder berättar
Samarbetspartners
Historia
Behandlingar

Tillbaka till bloggens startsida

Hur ska en cookiebanner utformas?

Publicerad: 23 oktober 2024
Senast uppdaterad: 21 mars 2025

Person som arbetar vid dator och tänker på cookies, symboliserar temat för GDPR Hero-bloggen med fokus på cookies och efterlevnad av Digital Services Act.

Från den 17 februari 2024 tillämpas Digital Service Act (”DSA”) (sv: Förordningen om digitala tjänster) i EU och syftar till att stärka konsumentskyddet samt skapa en säkrare digital marknad. En viktig del av DSA handlar om hur organisationer som driver onlineplattformar får utforma sina cookiebanners – och det kan kräva förändringar i hur ni hanterar samtycken på er webbplats. 

 

I detta inlägg går vi igenom:
✅ Hur DSA samverkar med GDPR och ePrivacy-direktivet
✅ Vilka krav som ställs på cookiebanners
✅ Vad ni behöver göra för att säkerställa efterlevnad

Dags att se över er cookiebanner!

Om ni inte redan har gjort det, är det hög tid att granska hur ni samlar in samtycke för cookies på er webbplats. Detta är särskilt viktigt med tanke på:

Vad innebär DSA?

DSA bygger vidare på e-handelsdirektivet (från år 2000) men anpassar reglerna till dagens digitala verklighet. Den inför bland annat:

  • Stärkt skydd för konsumenters rättigheter online
  • Begränsningar av manipulerande design som påverkar användares beslut (dark patterns)
  • Ökad transparens och tydligare ansvarsramar för onlineplattformar
  • Främjande av innovation och konkurrenskraft inom den inre marknaden

DSA gäller för onlineplattformar, det vill säga digitala tjänster där användare kan ladda upp, dela eller sprida innehåll till allmänheten.

Exempel på onlineplattformar:

  • Sociala medier – Facebook, Instagram, TikTok
  • Online-marknadsplatser – Amazon, Blocket
  • Recensionssidor – Trustpilot, Google Reviews
  • Videosajter – YouTube, Vimeo
  • Forum & diskussionsplattformar – Reddit, Flashback

Kort om cookiebanners

En cookiebanner är en funktion på en webbplats som samlar in samtycken för de icke-nödvändiga cookies (läs mer om olika typer av cookies). Den är ofta utformad som en slags pop-up-ruta som:

✔️ Informerar besökaren om att cookies används
✔️ Beskriver hur och varför cookies placeras
✔️ Begär samtycke enligt lagkraven i ePrivacy-direktivet och GDPR

Vi ska nu gå igenom utformningen av cookiebanners (även kallat ”cookie-hanterare”, “cookie manager” eller “cookie-banderoll”) – utifrån DSA, ePrivacydirektivet och GDPR.

Platsen ska fungera och erbjuder alternativ att acceptera eller avvisa icke-nödvändiga cookies, såsom analyscookies och tredjepartscookies från Vimeo och YouTube.
Exempel från ico.org.uk (2024-10-23)

Hur påverkar DSA cookiebanners utseenden?

Förordningen om digitala tjänster föreskriver bland flera saker, ett förbud mot så kallade ”dark patterns”, vilka ofta används i cookiebanners där de med hjälp av psykologi och kunskap inom mänskligt beteende skapar en design som möjliggör att användaren fattar ogynnsamma beslut som besökaren annars inte hade tagit. Kort sagt är dark patterns en metodik för att knuffa besökaren i en vilseledande eller manipulativ riktning.

Många cookiebanners använder vilseledande design, så kallade ’dark patterns’, vilket gör det svårt för besökare att ge giltiga samtycken enligt GDPR. Syftet med en sådan design är att samla in så många samtycken till cookies som möjligt, vilket ofta görs genom att på olika sätt göra det svårare för användaren att neka/avböja användningen av cookies. Detta kan leda till att besökarens samtycke inte tolkas som giltigt. Ett samtycke enligt GDPR ska lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande (skäl 32 GDPR).

Exempel på dark patterns

Låt oss ge några exempel på dark patterns som ofta används i cookiebanners och förklara varför de inte utgör eller ligger till grund för ett giltigt samtycke. Förbudet mot dark patterns innebär att en cookiebanner som har något av följande inte är tillåten:

  • Ingen knapp för att neka cookies

Många cookiebanners har fortfarande bara en knapp att välja på: ”Acceptera”, ”Godkänn”, ”Tillåt” eller liknande formulering. Sådana banners ger inte besökaren möjlighet att neka användningen av cookies. En sådan design anses därför inte kunna vara grund för ett giltigt samtycke enligt GDPR, eftersom ett samtycke måste vara helt frivilligt. Det ska finnas möjlighet att inte samtycke eller att kryssa ner rutan.

Dessutom måste ”neka”-knappen finnas direkt på första lagret av bannern – användaren ska inte behöva klicka sig vidare för att hitta en sådan knapp.

Cookie-meddelande på informationssakerhet.se som informerar användare om att cookies används på webbplatsen och erbjuder alternativet att samtycka genom att klicka på 'Jag förstår'. Webbplatsens logotyp och navigeringsmeny visas tillsammans med information om informationssäkerhet.
Exempel från informationssakerhet.se (2023-11-30) [sidan är inte publicerad längre]

Cookie-meddelande på MSB webbplats som informerar användare om att nödvändiga cookies används för webbplatsens funktionalitet och ger alternativen att acceptera endast nödvändiga eller alla cookies. Webbplatsen handlar om informationssäkerhet, cybersäkerhet och säkra kommunikationer
Exempel där båda knappar finns, från msb.se (2024-10-15)

  • Förkryssade rutor

Ett samtycke ska vara specifikt. Därför måste cookiebanners ha funktionalitet så att användaren kan välja att samtycka till alla kategorier eller enskilda kategorier av cookies, om olika typer används. Det kan exempelvis vara kryssrutor. Dessa kryssrutor får inte vara förkryssade, utan användaren ska aktivt kryssa i rutan för att samtycket ska tolkas som frivilligt (läs vidare i EU-domstolens rättsfall C-673/17 Planet49).

Cookie-meddelande på JP Infonets webbplats som informerar användare om användningen av cookies och ger möjligheten att anpassa inställningar för olika typer av cookies, såsom nödvändiga cookies, funktionella cookies, statistikcookies och marknadsföringscookies. Användare kan acceptera alla cookies via en knappExempel från jpinfonet.se (2024-03-06)

  • Länk till inställningar i stället för en ”neka”-knapp

Ännu en vanlig funktion i banners är en knapp för ”inställningar”. Många cookiebanners inkluderar en sådan knapp i stället för en ”neka cookies”-knapp. När besökaren klickar på ”inställningar” kommer den till ett andra lager där de oftast kan neka cookies. På detta sätt tvingas besökaren klicka flera gånger för att kunna neka cookies. Besökare tenderar att välja den väg som kräver minst antal klick vilket leder till att besökare inte klickar på ”inställningar” och sedan ”neka”, utan i stället klickar på ”godkänn/okej” som finns direkt i första vyn av cookiebannern – för att det är det enklaste valet. Den designen medför därför att givna samtycken inte tolkas som giltiga.

Cookie-meddelande på Sydsvenskans webbplats som informerar användare om användning av cookies och liknande tekniker för att lagra och få tillgång till information på enheter. Användare kan acceptera genom att klicka 'Okej' eller justera sina inställningar via en knapp.
Exempel från sydsvenskan.se (2023-11-30)

  • Vilseledande färger och kontraster på knapparna

Även om färgdesign inte specifikt nämns i lagstiftningen som något otillåtet i sig, så används färger och kontraster ofta på ett vilseledande sätt i cookiebanners. Exempelvis kan en ”Godkänn”-knapp göras stor och färgglad medan en ”neka”-knapp kan göras liten och i en dov färg som syns sämre och som hjärnan naturligt inte tycker lika mycket om. Att använda sig av sådan vilseledande design kan utgöra en dark pattern och bör därför användas med stor försiktighet.

Cookiebanner på Willys webbplats som erbjuder användare alternativ att acceptera eller avvisa alla cookies. Användare kan också justera sina cookie-inställningar och läsa mer i webbplatsens cookie-policy."
Exempel från willys.se (2024-03-06)

Cookie-meddelande på Rustas webbplats som informerar användare om att de kan acceptera eller avvisa alla cookies. Användare har också möjlighet att justera cookie-inställningarna och läsa mer i webbplatsens cookie-policy.
Exempel på neutral färgsättning, från rusta.com (2024-10-23)

  • Använder berättigat intresse som grund för cookies

Vissa organisationer försöker felaktigt använda berättigat intresse som laglig grund för att placera cookies. Detta är ett annat exempel på så kallat ”dark pattern”. Det finns olika varianter, bland annat:

    • Cookies placeras utan samtycke. Även om besökaren inte samtyckt till cookies så placeras de cookies som hemsidesägaren bedömt vara av berättigat intresse. Detta innebär att cookiebannern kan ge sken av att nekande val respekteras, samtidigt som cookies ändå lagras utan giltigt samtycke.
    • Dubbel nekningsprocess. Besökaren måste neka cookies på två gånger, en gång för samtycke och en gång för berättigat intresse (alternativt invända mot det berättigade intresset, då det är förvalt som ”godkänt”). Vissa cookiebanners kräver dessutom att besökaren gör detta för varje enskild cookie eller leverantör, vilket kan innebära hundratals val – ett tydligt exempel på manipulerande design.

Det är viktigt att understryka att enligt ePrivacy-direktivet krävs samtycke för alla icke-nödvändiga cookies. Berättigat intresse är inte en tillåten grund för att placera cookies, vilket gör all användning av cookies utan samtycke olaglig.

Läs mer om berättigat intresse som laglig grund.

Cookie-inställningar på Momondo som visar behandlingsändamål och leverantörer. Användare kan godkänna alla, acceptera valda ändamål eller avvisa alla cookies. Alternativ för att invända mot berättigat intresse och specificerade lagringstider för information visas också.
Exempel på invändning mot berättigat intresse, från momondo.com (2024-03-06)

Cookie-meddelande på Expressens webbplats som informerar användare om hur deras data används för att mäta reklamkampanjers prestanda. Användare kan ge samtycke eller invända mot behandling baserad på berättigat intresse, med specifika alternativ för att neka eller godkänna för olika partners.
Exempel på cookies under legitimt intresse, från expressen.se (2024-10-23)

  • Definierar marknadsföringscookies som ”nödvändiga cookies”

Organisationer hävdar ibland felaktigt att vissa av deras cookies är nödvändiga för deras verksamhet. Nödvändiga cookies kräver inte samtycke enligt ePrivacydirektivet, men tolkningen av vad som utgör nödvändiga cookies är mycket strikt. Det inkluderar inte marknadsföringscookies. Verktyg såsom Google Analytics, Meta Pixel eller LinkedIn Insight Tag (och många fler) är inte nödvändiga för att en hemsida ska fungera. Nödvändiga cookies kallas ibland för ’obligatoriska cookies’.

Cookiebanner på Willys webbplats som erbjuder användare alternativ att acceptera eller avvisa alla cookies. Användare kan också justera sina cookie-inställningar och läsa mer i webbplatsens cookie-policy."

Exempel på felaktig information och bedömning av vad som utgör nödvändiga/obligatoriska cookies.

  • Ingen eller svårhanterad funktion för att ta tillbaka samtycke

För att ett samtycke ska vara giltigt, krävs att individen ska kunna återkalla det. Vissa hemsidor gör det svårt för besökare att ändra sina val av cookies eller ta tillbaka ett samtycke. Kanske finns det ingen funktion för det eller så är den placerad på en svåråtkomlig yta av hemsidan. Om det är tillräckligt svårt för besökaren att utföra en viss handling så kommer den sannolikt inte utföra den. För att ett samtycke ska vara giltigt krävs att det ska vara lika lätt att ta tillbaka som det var att lämna det. Därför behöver funktionen finnas lätt åtkomlig för besökarna. Även detta är en typ av dark pattern som förbjuds enligt den nya lagen.

Ikon för cookie-inställningar på en webbplats med en cirkel innehållande en cookie-ikon och en bock. Bredvid visas texten 'Mina inställningar för cookies' som en knapp för att anpassa cookie-preferenser.
Exempel på funktion för att ändra inställningar (återkalla samtycke) för cookies från gdprhero.se (2024-10-23)

Det finns även andra varianter av detta dark pattern. Om det krävs att besökaren återkallar samtycke för varje enskild cookie, så är det heller inte lika lätt som att lämna samtycke, vilket därför inte utgör giltigt samtycke ens från början. Exempelvis om en hemsidesbesökare som önskar återkalla sitt samtycke behöver ändra sitt val för varje enskild cookie/leverantör i stället för en funktion som återkallar samtycket i sin helhet eller åtminstone per kategori av cookies.

 

Vad behöver ni tänka på?

Först och främst är det viktigt att implementera en cookiebanner på er hemsida om ni inte redan har en. Därefter ska ni säkerställa att cookiebannern insamlar giltiga samtycken. Sammanfattningsvis behöver er cookiebanner framför allt:

  • Informera besökare om cookies
  • Samla in frivilliga samtycken (ja/nej) från era besökare
  • Vara specifik kring vilka kategorier av cookies ni efterfrågar samtycke för
  • Låta besökaren veta exakt vad han/hon samtycker till
  • Inte vilseleda besökaren till att samtycka (s.k. dark patterns)
  • Lagra bevis på samtycken (som dokumentation)

Här är det alltså flera regelverk som är parallellt tillämpliga och som behöver beaktas för att säkerställa en korrekt hantering av cookies.

Kontakta oss gärna för en cookie granskning så att din webbplats uppfyller alla krav under DSA, GDPR och ePrivacydirektivet.

Vidare läsning

Vad ni bör tänka på vid användning av cookies

Hur ni skriver en cookie policy

Skillnad på ”Jag samtycker” och ”Jag godkänner”

 

Julianne Ahlesten

info@gdprhero.se

046-2731717

Innehållet i denna blogg är avsett för allmän information och ska inte betraktas som juridisk rådgivning.

Har du frågor om dataskydd och compliance? 

Boka kostnadsfritt möte

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Prenumerera på bloggnotis
Vi behandlar endast din e-postadress för att skicka notiser. Integritetspolicy.
Loading...