IMY:s cookiebanner-beslut: vad fem svenska företag gjorde fel

Mellan december 2024 och april 2025 utfärdade Integritetsskyddsmyndigheten formella reprimander mot fem svenska företag för överträdelser av reglerna om cookie-samtycke. ATG, Aftonbladet, SVT, Warner Music Sweden och Aller Media AB fick var sin reprimand enligt GDPR artikel 58(2)(b). Besluten publicerades den 30 april 2025. Samtliga fem ärenden härrörde från klagomål samordnade av noyb genom EDPB:s Cookie Banner Taskforce.

Vad IMY hittade för fel — företag för företag

Varje beslut riktade sig mot en distinkt överträdelse. IMY behandlade dem inte som en enda tillsynsåtgärd. Överträdelserna skilde sig åt i art.

• ATG (IMY-2023-16453, beslutat 19 december 2024): Acceptknappen var grön med vit text. Avvisningsalternativet var en grå textlänk med lägre kontrast. Att avvisa krävde navigering till en inställningspanel. Att återkalla samtycke var dolt i sidfoten, vilket gjorde det svårare än att ge samtycke. IMY åberopade GDPR artiklarna 6 och 7(3).
• Aller Media AB (IMY-2023-16452, beslutat 28 april 2025): Aller åberopade berättigat intresse enligt artikel 6(1)(f) för profilering och precis geodata via kakor på recept.se. IMY fann att Aller aldrig genomfört en intresseavvägning och inte kunde visa att ett berättigat intresse förelåg. CMP-leverantören hade rekommenderat dubbla rättsliga grunder (samtycke + berättigat intresse) och Aller följde rekommendationen utan egen rättslig bedömning. IMY åberopade GDPR artikel 6.
• Warner Music Sweden (IMY-2023-16448, beslutat 16 december 2024): Cookie-bannern informerade inte tydligt om rätten att återkalla samtycke. Trots att en inställningslänk fanns på sajten var återkallelseprocessen inte lika enkel som att ge samtycke. IMY åberopade GDPR artiklarna 6 och 7(3).
• Aftonbladet och SVT (beslutade december 2024): Cookie-banners gjorde det väsentligt enklare att acceptera kakor än att avvisa dem. Acceptknappen var visuellt framträdande medan avvisningsalternativet krävde ytterligare navigering. IMY utfärdade reprimander för bristande fritt samtycke.

Varför dessa beslut är viktiga

Besluten visar att IMY driver tillsyn mot tre distinkta samtyckeskrav samtidigt. ATG handlade om visuell design (färgkontrast och knapptyngd). Aller Media handlade om att välja fel rättslig grund. Warner Music handlade om bristande information om rätten att återkalla samtycke. Tidigare svensk tillsyn fokuserade på kakor som sattes innan samtycke gavs (Google Analytics-besluten 2023) eller otillåtna dataöverföringar (apotekspixelfallen 2024). Nu granskar IMY själva samtyckesfunktionen: hur du frågar, vilken rättslig grund du åberopar och om återkallelse verkligen är tillgänglig.

Besluten hänvisar till EDPB:s riktlinjer 05/2020 om samtycke och EDPB Cookie Banner Taskforce:ns slutsatser från 2023. Frivilligt samtycke innebär att användaren inte drabbas av nackdelar om hen nekar. Om din banner gör det lättare att acceptera än att avvisa är samtycket inte frivilligt givet.

Vad IMY kräver

1. Avvisa måste vara lika enkelt som att acceptera: samma lager, samma visuella vikt, samma antal klick. ATG-beslutet flaggade specifikt färgkontrastskillnaden mellan acceptera- och avvisaalternativen.
2. Åberopa inte berättigat intresse för kakbaserad spårning. Aller Media-beslutet klargör att artikel 6(1)(f) kräver en dokumenterad intresseavvägning. Att följa din CMP-leverantörs standardinställningar är inte en rättslig grund.
3. Informera användare tydligt om återkallelse. Warner Music-beslutet kräver att cookie-bannern själv informerar om att samtycke kan återkallas, och att återkallelsevägen är lika enkel som att ge samtycke.
4. Samtycke måste vara granulerat. Användare måste kunna välja per kategori, inte bara allt-eller-inget.
5. Avvisa måste faktiskt fungera. Att klicka avvisa ska stoppa alla icke-nödvändiga kakor omedelbart.

Den verkliga risken: böterna är det minsta

Samtliga fem företag fick reprimander, inte böter. IMY klassificerade överträdelserna som mindre enligt GDPR skäl 148, med hänvisning till förstagångsöverträdelser och delvis rättelse under utredningen. Men en reprimand är ett formellt konstaterande av överträdelse. Om dessa företag inte åtgärdar problemen kan IMY eskalera till administrativa sanktionsavgifter enligt GDPR artikel 83. För samtyckesöverträdelser innebär det upp till 4 % av den årliga globala omsättningen eller 20 miljoner euro.

En reprimand är dessutom offentlig. Dina kunder, konkurrenter och partners kan se den. För företag som hanterar konsumentdata kostar skadan på varumärket ofta mer än själva böterna.

Hur Vakteye upptäcker exakt dessa mönster

Vakteye-plattformen testar din samtyckesbanner mot kraven i IMY:s tillsynsbeslut. Här är vad vi kontrollerar:

• Analys av knappframträdande: Vi mäter den visuella vikten av acceptera- kontra avvisaknappen (storlek, färgkontrast, placering) — exakt frågan i ATG-beslutet.
• Validering av rättslig grund: Vi upptäcker banners som åberopar berättigat intresse för spårningskakor — Aller Media-överträdelsen.
• Klickvägsanalys: Vi räknar hur många klick som krävs för att avvisa jämfört med att acceptera, och verifierar att återkallelse är tillgänglig från första lagret.
• Verifiering efter avvisning: Efter att ha klickat avvisa kontrollerar vi om icke-nödvändiga kakor faktiskt blockerades.
• Zombiekaka-detektering: Vi rensar kakor efter avvisning och väntar. Vissa återuppstår inom sekunder.

Varje fynd kommer med forensisk bevisning: webbläsarsessionsinspelningar, HAR-filer, cookie-diffar och tidsstämplade skärmdumpar. Den typ av bevisning som håller i en IMY-granskning.

Vad du bör göra den här veckan

Öppna din webbplats i ett privat webbläsarfönster. Titta på din cookie-banner. Räkna klicken för att avvisa. Jämför avvisaknappen med acceptknappen. Kontrollera om ditt CMP använder berättigat intresse som reservrättslig grund för någon cookie-kategori. Sök efter en tydlig återkallelsemekanism. Om något av dessa kontrollsteg fallerar har du samma exponering som dessa fem företag hade.

Eller låt Vakteye göra det åt dig. Plattformen tar 90 sekunder och testar varje mönster som IMY flaggade i dessa beslut. För NIS2-sidan av samma kontroller, se vår guide till Cybersäkerhetslagen-revision (/insights/nis2-audit-sverige-cybersakerhetslagen-2025-1506).