ePrivacy-direktivet
Direktiv om integritet och elektronisk kommunikation
Översikt
ePrivacy-direktivet (ePD), ofta kallat "cookie-lagen," kompletterar GDPR genom att tillhandahålla specifika regler för integritet i elektronisk kommunikation. Det täcker konfidentialitet i kommunikation, användning av spårningstekniker och direktmarknadsföring.[1]
Som ett direktiv varierar implementeringen mellan medlemsstaterna. Det föreslagna ePrivacy-förordningen drogs officiellt tillbaka i februari 2025, vilket innebär att direktivet förblir gällande lag.
Relation till GDPR
- ePD är lex specialis: Har företräde framför GDPR för elektronisk kommunikation
- GDPR-principer gäller: Samtycke enligt ePD måste uppfylla GDPR-standarder
- Kombinerad tillsyn: Båda regelverken tillämpas av dataskyddsmyndigheter
Viktiga krav
Samtycke för cookies (Artikel 5(3))[2]
Samtycke krävs innan information placeras eller nås på en användares enhet:
| Cookietyp | Samtycke krävs? |
|---|---|
| Strikt nödvändiga | Nej (undantagna) |
| Preferens/funktionalitet | Ja |
| Analys/statistik | Ja (vissa jurisdiktioner tillåter undantag) |
| Reklam | Ja |
| Tredjepartsspårning | Ja |
Samtyckeskrav
Giltigt samtycke måste vara:
- Förekommande: Inhämtat innan cookies sätts
- Frivilligt: Verkligt val utan nackdelar vid avslag
- Specifikt: Tydligt om ändamål och typer av cookies
- Informerat: Användare förstår vilken data som samlas in
- Entydigt: Tydlig bekräftande handling krävs
- Återkalleligt: Användare kan enkelt ändra inställningar
Bästa praxis för cookie-banner
| Gör | Gör inte |
|---|---|
| Erbjud detaljerade val | Förkryssa samtyckesrutor |
| Gör "Avvisa alla" lika framträdande | Dölj avvisning bakom flera klick |
| Spara bevis på samtycke | Sätt cookies före samtycke |
| Möjliggör enkel återkallelse | Gör återkallelse svårare än samtycke |
| Tydligt, enkelt språk | Teknisk jargong |
Konfidentialitet i kommunikation (Artikel 5)
- Förbud mot avlyssning och övervakning
- Teknisk lagring nödvändig för överföring är tillåten
- Innehåll och metadata skyddas lika
Direktmarknadsföring (Artikel 13)
| Typ | Krav |
|---|---|
| E-post/SMS-marknadsföring | Förhands-samtycke krävs |
| Befintliga kunder | Mjuk förhands-samtycke för liknande produkter (med enkel avanmälan) |
| B2B-marknadsföring | Regler varierar mellan medlemsstater |
Oönskad kommunikation
- Avsändarens identitet får inte döljas
- Giltig avregistreringsmekanism krävs
- Nationella "ring inte"-register måste respekteras
Föreslagna ändringar i Digital Omnibus (2025)
Europeiska kommissionen har föreslagit att förenkla cookieregler genom "Digital Omnibus"-paketet:[3]
- Flytta vissa ePD-bestämmelser till GDPR
- Utöka undantag för analys- och säkerhetscookies
- Möjliggöra centraliserade samtyckessignaler för att minska "samtyckeströtthet"
Observera: Dessa förslag är ännu inte antagna. Nuvarande ePD-krav gäller fortfarande.
Exempel på tillsyn
| Myndighet | Enhet | Böter | Anledning |
|---|---|---|---|
| CNIL (Frankrike) | 150 miljoner € | Brott mot cookie-samtycke | |
| CNIL (Frankrike) | 60 miljoner € | Svårighet att avvisa cookies | |
| ICO (Storbritannien) | Flera | Varningar | Dolda avvisningsknappar |
| AEPD (Spanien) | Olika | 10 000–100 000 € | Otillbörlig insamling av samtycke |
Utvecklarchecklista för implementering
Cookie-samtyckesbanner
- Inhämta samtycke innan icke-nödvändiga cookies sätts
- Erbjud detaljerad kategorikontroll
- Gör "Avvisa alla" lika tillgängligt
- Spara och tidsstämpla samtyckesposter
- Tillåt enkel återkallelse av samtycke
- Blockera tredjepartsskript tills samtycke ges
Tekniska krav
- Granska alla cookies och spårningstekniker
- Kategorisera efter ändamål och nödvändighet
- Dokumentera cookiers ändamål och lagringstid
- Säkerställ att skript respekterar samtyckessignaler
- Implementera samtyckessynkronisering för underdomäner