Cookies och spårningsverktyg är små datafiler och skript som samlar in information om besökare på webbsidor, och enligt svensk lag och GDPR får de flesta av dem inte aktiveras förrän användaren aktivt har samtyckt. Lagen om elektronisk kommunikation och GDPR ställer tydliga krav: ingen samtyckspliktig cookie får placeras innan användaren gjort ett aktivt val, och knapparna “Acceptera” och “Neka” ska vara lika enkla att använda. Det gäller verktyg som Google Analytics, Meta Pixel och andra tredjepartsskript som spårar användardata. Den här artikeln förklarar vad cookies är, vilka typer som kräver samtycke, hur en laglig cookiebanner ser ut och hur teknik som Google Consent Mode v2 hjälper dig att uppfylla kraven.
Cookies och spårning på webbsidor: vilka typer finns?
Cookies är en typ av webbplats spårningsmetod, men begreppet täcker flera tekniskt och juridiskt skilda kategorier. Att förstå skillnaden är avgörande för att veta vilka som kräver samtycke och vilka som inte gör det.
Nödvändiga cookies behövs för att webbplatsen ska fungera. De lagrar exempelvis inloggningsstatus, varukorgsinnehåll eller språkinställningar. Dessa cookies kräver inget samtycke eftersom de är strikt nödvändiga för tjänstens funktion.
Funktionella cookies förbättrar användarupplevelsen, till exempel genom att komma ihåg preferenser. De befinner sig i en gråzon: om de inte är absolut nödvändiga för tjänsten kräver de samtycke.
Analyscookies används av verktyg som Google Analytics för att mäta trafik och beteende. De identifierar inte användaren direkt men samlar in data om sidvisningar, klick och sessionslängd. Dessa kräver alltid samtycke.
Marknadsföringscookies är den kategori med strängast krav. Verktyg som Meta Pixel och Google Ads-taggar spårar användare över flera webbplatser för att visa riktad reklam. De sätter ofta cookies från tredje part och kräver uttryckligt samtycke.
| Cookietyp | Exempel | Kräver samtycke? |
|---|---|---|
| Nödvändig | Sessionscookie, inloggning | Nej |
| Funktionell | Språkval, formulärdata | Ofta ja |
| Analys | Google Analytics | Ja |
| Marknadsföring | Meta Pixel, Google Ads | Ja |
Distinktionen mellan nödvändiga och samtyckespliktiga cookies är inte bara akademisk. En webbplats som aktiverar Google Analytics eller Meta Pixel utan samtycke bryter mot lagen, oavsett hur tydlig cookiebannern ser ut i övrigt.
Hur fungerar samtycke enligt GDPR och lagen om elektronisk kommunikation?
Samtycke är giltigt bara om det uppfyller fyra grundläggande krav: det ska vara frivilligt, specifikt, informerat och otvetydigt. Att klicka bort en banner eller fortsätta surfa räknas inte som samtycke. Användaren måste aktivt bekräfta sitt val.
Lagen om elektronisk kommunikation och GDPR samverkar här. Lagen om elektronisk kommunikation reglerar själva placeringen av cookies, medan GDPR styr hur personuppgifter som samlas in via cookies får behandlas. Båda regelverken måste följas samtidigt.
En laglig cookiebanner uppfyller följande krav:
- Ingen spårningscookie laddas innan samtycke. Skript från Google Analytics, Meta Pixel och liknande verktyg måste vara blockerade tills användaren aktivt väljer att acceptera dem.
- Acceptera och neka är lika enkla val. En stor grön “Acceptera”-knapp kombinerad med en liten grå länk för att neka är inte ett jämställt val och strider mot GDPR artikel 7.
- Samtycke ges per ändamål. Användaren ska kunna acceptera analyscookies men neka marknadsföringscookies. Paketerade samtycken är inte tillåtna.
- Samtycke dokumenteras. Din organisation måste kunna bevisa när, hur och till vad användaren samtyckte. Det kräver ett samtyckesregister.
- Återkallelse är lika enkel som samtycke. Återkallelse får inte ha mer friktion än det ursprungliga samtycket. En länk i sidfoten räcker inte om samtycket gavs med ett klick på en tydlig knapp.
Vanliga lagbrott i svenska cookiebanners inkluderar förkryssade rutor för marknadsföringscookies, cookies som laddas direkt vid sidladdning innan bannern visas, och bannrar som saknar ett tydligt “Neka alla”-alternativ. IMY, Integritetsskyddsmyndigheten, har granskat svenska webbplatser och identifierat dessa fel upprepade gånger.
Proffstips: Testa din cookiebanner i inkognitoläge och öppna webbläsarens utvecklarverktyg under fliken “Nätverk” eller “Application”. Om du ser cookies från Google eller Meta innan du klickat på något i bannern är implementeringen felaktig och bryter mot lagen.
Att förstå de juridiska kraven på samtycke är ett bra utgångspunkt. För en djupare genomgång av hur samtycke fungerar i praktiken kan du läsa mer om samtycke enligt GDPR och vad det innebär för din verksamhet.
Hur fungerar Google Consent Mode v2 för att uppfylla samtyckeskraven?
Google Consent Mode v2 är Googles tekniska lösning för att hantera samtyckessignaler på webbplatser. Consent Mode låter Google-taggar anpassa sig efter användarens samtyckesstatus och blockerar cookies tills samtycke ges. När en användare nekar cookies möjliggör Consent Mode konverteringsmodellering, vilket innebär att Google statistiskt uppskattar konverteringar utan att spåra individen.
Consent Mode v2 introducerade två nya parametrar utöver de ursprungliga:
- analytics_storage: styr om Google Analytics får sätta mätcookies
- ad_storage: styr om annonscookies från Google Ads får aktiveras
- ad_user_data: reglerar om användardata skickas till Google för annonsändamål
- ad_personalization: styr om personanpassad annonsering är tillåten
Standardvärdet i Consent Mode v2 är “denied” för alla parametrar, vilket innebär att ingen spårning sker förrän en CMP (Consent Management Platform) skickar en godkännandesignal. Det är ett viktigt skydd, men det fungerar bara om konfigurationen är korrekt.
Skillnaden mellan basic mode och advanced mode
I basic mode blockeras alla Google-taggar helt tills samtycke ges. Ingen data skickas till Google alls. I advanced mode skickas anonymiserade pingsignaler till Google även utan samtycke, vilket möjliggör bättre konverteringsmodellering men ställer högre krav på att implementeringen är korrekt och att din integritetspolicy är transparent om detta.
Vanliga implementeringsmisstag
Felaktig konfigurering leder till att cookies ändå sätts innan samtycke, vilket bryter mot lagen trots att en cookiebanner visas. De vanligaste misstagen är:
- CMP:n är inte korrekt integrerad med Google Tag Manager, vilket gör att Consent Mode-signalerna aldrig når Google-taggarna
- Standardvärden är inte satta till “denied” i Google Tag Manager-konfigurationen
- Consent Mode aktiveras efter att taggar redan laddats, i stället för innan
För att verifiera korrekt funktion används webbläsarens utvecklarverktyg. Öppna fliken “Application” och kontrollera att inga Google-cookies (exempelvis "_gaeller_gcl_au`) finns lagrade innan du interagerat med bannern. Effektiv granskning kräver testning i inkognitoläge för att undvika att befintliga cookies påverkar resultatet.
Proffstips: Consent Mode v2 löser inte samtyckeslagligheten i sig. Det är ett tekniskt verktyg som hjälper till att respektera samtyckesbeslut, men Consent Mode och GDPR-efterlevnad kräver att din CMP och cookiebanner uppfyller alla juridiska krav om frivillighet och specifikt samtycke.
Vad gäller för “pay or consent”-modeller på svenska webbplatser?
En “pay or consent”-modell innebär att webbplatsen erbjuder användaren ett val: antingen betala för en reklamfri upplevelse eller samtycka till personanpassad reklam baserad på spårning av användardata. Modellen används av stora aktörer som Meta och flera europeiska medieföretag.
Konsumentverket bedömer att pay-or-consent-modeller inte är förbjudna i sig men att de ställer höga krav på tydlighet och korrekt samtyckeshantering. Följande krav gäller:
- Användaren måste förstå exakt vad de samtycker till om de väljer reklamalternativet. Vaga formuleringar som “personanpassad upplevelse” räcker inte.
- Priset för betalningsalternativet får inte vara så högt att det i praktiken tvingar användaren att samtycka. Det skulle göra samtycket ofrivilligt och därmed ogiltigt.
- Samtycket måste uppfylla alla GDPR-krav, inklusive möjlighet att återkalla det utan att förlora tillgång till tjänsten.
- Konsumentverket understryker att användare ska kunna göra informerade val och har rätt att anmäla otydliga upplägg.
Skillnaden mot ett vanligt samtycke är att en ekonomisk faktor tillkommer. Det skapar en potentiell intressekonflikt: om betalningsalternativet är dyrt eller svårt att hitta, kan det argumenteras att samtycket inte är genuint frivilligt. Europeiska dataskyddsstyrelsen (EDPB) har utfärdat riktlinjer om att alternativet till samtycke måste vara ett “genuint likvärdigt alternativ”. Det är ett krav som många svenska webbplatser ännu inte uppfyller fullt ut.
Viktiga slutsatser
Cookies och spårning på webbsidor kräver aktivt, specifikt och dokumenterat samtycke enligt GDPR och lagen om elektronisk kommunikation, och teknisk implementering via verktyg som Google Consent Mode v2 är nödvändig för att samtycket ska vara juridiskt giltigt.
| Punkt | Detaljer |
|---|---|
| Samtycke krävs innan spårning | Inga analys- eller marknadsföringscookies får laddas innan användaren aktivt accepterat. |
| Jämställda val i bannern | Neka-alternativet måste vara lika synligt och enkelt som Acceptera-knappen. |
| Consent Mode v2 krävs för Google | Korrekt CMP-integration med standardvärde “denied” är nödvändig för laglig Google-spårning. |
| Dokumentation är obligatorisk | Samtycke ska kunna bevisas och återkallelse ska vara lika enkel som att ge samtycke. |
| Pay-or-consent kräver transparens | Betalningsalternativet måste vara genuint och priset får inte tvinga fram samtycke. |
Vanliga misstag som kostar dig dyrt
av Jesper
Efter att ha arbetat med GDPR-efterlevnad och teknisk implementering av cookiehantering under flera år ser jag samma misstag upprepas. Det vanligaste är att organisationer tror att en synlig cookiebanner är tillräckligt. Den är det inte. Bannern är bara gränssnittet. Det verkliga problemet är vad som händer tekniskt under ytan.
Jag har granskat hundratals svenska webbplatser där Google Analytics eller Meta Pixel laddas direkt vid sidladdning, långt innan bannern ens hunnit visas. Det är ett direkt lagbrott, och det är inte ovanligt. Många organisationer missar att tekniskt blockera skript och cookies innan samtycke, vilket leder till ogiltiga samtycken och risker vid tillsyn.
Det andra stora misstaget är att göra “Neka”-alternativet svårt att hitta. En liten grålänk mot en stor grön knapp är inte ett fritt val. Det är manipulation, och IMY har börjat agera mot det.
Min rekommendation är enkel: testa din webbplats i inkognitoläge med utvecklarverktygen öppna innan du publicerar något. Kontrollera att inga icke-nödvändiga cookies laddas. Kontrollera att din CMP faktiskt kommunicerar med Google Tag Manager. Och se till att du kan bevisa varje samtycke med ett tidsstämpel och en logg. Det är inte krångligt om du har rätt system på plats, men det kräver att du tar det på allvar från start.
— Jesper
Så kan Trustview hjälpa dig med cookieefterlevnad
Att hålla koll på cookies, samtycken och teknisk implementering är tidskrävande utan rätt stöd. Trustview är en plattform för compliance-hantering som hjälper din organisation att strukturera arbetet med GDPR och lagen om elektronisk kommunikation i ett och samma system. Med Trustview kan du dokumentera samtycken, hantera samtyckesregister och följa upp att dina cookiebanners uppfyller gällande krav. Plattformen kombinerar juridisk expertis med praktiska arbetsflöden, vilket gör det enklare att hålla sig uppdaterad när reglerna förändras. Läs mer om hur du kan arbeta mot fullständig compliance och vad det faktiskt kräver i praktiken. Du kan också ta del av Trustviews steg-för-steg-guide för att bygga en strukturerad åtgärdsplan.
FAQ
Vad är cookies och hur fungerar de på webbsidor?
Cookies är små textfiler som en webbplats lagrar i din webbläsare för att komma ihåg information om dig, till exempel inloggningsstatus eller beteende på sidan. Spårningscookies från verktyg som Google Analytics och Meta Pixel samlar dessutom in data om ditt beteende för analys och annonsering.
Vilka cookies kräver samtycke enligt GDPR?
Alla cookies som inte är strikt nödvändiga för webbplatsens funktion kräver aktivt samtycke. Det gäller analyscookies som Google Analytics och marknadsföringscookies som Meta Pixel, men inte sessionscookies som hanterar inloggning eller varukorg.
Vad är ett giltigt samtycke för cookies?
Ett giltigt samtycke är frivilligt, specifikt, informerat och otvetydigt. Användaren måste aktivt bekräfta sitt val, och samtyckets giltighet kräver att återkallelse är lika enkel som att ge samtycke.
Vad är Google Consent Mode v2 och behöver jag det?
Google Consent Mode v2 är ett tekniskt ramverk som anpassar hur Google-taggar beter sig beroende på användarens samtyckesstatus. Om du använder Google Analytics eller Google Ads på en webbplats riktad mot EU-användare behöver du Consent Mode v2 korrekt konfigurerat för att följa GDPR.
Kan ett företag ta betalt för att jag vill neka cookies?
Ja, men med strikta krav. Konsumentverket bedömer att pay-or-consent-modeller är tillåtna om betalningsalternativet är genuint, priset inte tvingar fram samtycke och användaren förstår exakt vad de samtycker till. Otydliga upplägg kan anmälas till Konsumentverket.
Rekommendation
- ICO bötfäller Reddit: Viktiga insikter för dataskydd och regelefterlevnad gällande barns uppgifter – TrustView
- Framtidens compliance 2026: vad du behöver veta
- Så visar du att du följer GDPR, inte bara att du försöker
- Fransk DPA Bötfäller Free Mobile med 27 Miljoner Euro: En Viktig Lektion i GDPR-Efterlevnad och Cybersäkerhetsrisk – TrustView
