Tillbaka till insikter
COMPLIANCE

IMY:s cookie-tillslag: Vad ATG, Aller Media och Warner Music betyder för dig

Vakteye TeamMar 15, 20265 min läsning

Tre svenska företag vaknade till formella beslut från Integritetsskyddsmyndigheten i april 2025. ATG, Aller Media AB och Warner Music Sweden fick alla reprimander för samma sak: deras cookie-banners var utformade för att lura användare att acceptera spårning. IMY:s cookie-banner-tillsyn hade anlänt.

IMY fann att utformningen av samtyckesfunktionerna hos alla tre företagen styrde användarna mot att acceptera kakor snarare än att avvisa dem, vilket inte uppfyller kravet på frivilligt samtycke.

Baserat på IMY:s beslut, publicerade april 2025

Vad IMY hittade för fel

Överträdelserna hos alla tre företagen följde samma mönster. Stora, färgglada "Acceptera alla"-knappar. Små, gråa avvisningslänkar dolda i undermenyer. Förkryssade kategorirutor. Den klassiska uppsättningen av mörka mönster.

  • ATG: "Acceptera alla" var en framträdande knapp. Att avvisa krävde att man navigerade till en inställningspanel och stängde av enskilda kategorier, betydligt mer ansträngning än att klicka acceptera med ett enda klick.
  • Aller Media AB: Förkryssade rutor för reklam- och analyskakor. Användare var tvungna att aktivt avmarkera varje kategori, motsatsen till aktivt samtycke.
  • Warner Music Sweden: IMY fann otillräcklig information om rätten att återkalla samtycke, och att bannerns språk var vilseledande. Det antydde att webbplatsens funktionalitet skulle försämras om kakor avvisades.

Varför dessa beslut är viktiga

Det här är IMY:s första formella beslut som specifikt riktar sig mot cookie-banners design. Tidigare tillsyn fokuserade på kakor som laddades innan samtycke gavs eller att samtycke saknades helt. Nu säger IMY: även om du frågar om samtycke spelar det roll hur du frågar.

Besluten hänvisar till EDPB:s riktlinjer 05/2020 om samtycke. Frivilligt samtycke innebär att användaren inte drabbas av nackdelar om hen nekar. Om din banner gör det lättare att acceptera än att avvisa är samtycket inte frivilligt givet. Punkt.

Vad IMY kräver nu

  1. Avvisa måste vara lika enkelt som att acceptera: samma lager, samma visuella vikt, samma antal klick.
  2. Inga förkryssade rutor. Varje kakekategori måste vara avstängd som standard.
  3. Inga mörka mönster. Färgkontrast, knappstorlek och placering får inte styra användaren.
  4. Samtycke måste vara granulerat. Användare måste kunna välja per kategori, inte bara allt-eller-inget.
  5. Avvisa måste faktiskt fungera. Att klicka avvisa ska stoppa alla icke-nödvändiga kakor omedelbart.

Europeiska dataskyddsmyndigheter använder i allt högre grad automatiserade skanningsverktyg för preliminära webbplatsbedömningar. Din cookie-banner kan utvärderas innan någon formell utredning inleds.

Den verkliga risken: böterna är det minsta

ATG, Aller Media och Warner Music fick reprimander, inte böter. Det låter milt. Det är det inte. En reprimand är ett formellt konstaterande av överträdelse. Om dessa företag inte åtgärdar problemen kan IMY eskalera till administrativa sanktionsavgifter enligt GDPR artikel 83. För samtyckesöverträdelser innebär det upp till 4 % av den årliga globala omsättningen eller 20 miljoner euro.

En reprimand är dessutom offentlig. Dina kunder, konkurrenter och partners kan se den. För företag som hanterar konsumentdata kostar skadan på varumärket ofta mer än själva böterna.

Är din cookie-banner regelrätt?

Vakteye skannar din samtyckesbanner på samma sätt som IMY: automatiserat, evidensbaserat, med skärmdumpar och cookie-diffar.

Skanna din cookie-banner

Hur Vakteye upptäcker exakt dessa mönster

Vakteyes samtyckeskanner testar din banner mot kraven i IMY:s tillsynsbeslut. Här är vad vi kontrollerar.

  • Analys av knappframträdande: Vi mäter den visuella vikten av acceptera- kontra avvisaknappen (storlek, färgkontrast, placering).
  • Upptäckt av förkryssade rutor: Vi inspekterar kryssrutornas tillstånd innan någon användarinteraktion.
  • Klickvägsanalys: Vi räknar hur många klick som krävs för att avvisa jämfört med att acceptera.
  • Verifiering efter avvisning: Efter att ha klickat avvisa kontrollerar vi om icke-nödvändiga kakor faktiskt blockerades.
  • Zombiekaka-detektering: Vi rensar kakor efter avvisning och väntar. Vissa återuppstår inom sekunder.

Varje fynd kommer med forensisk bevisning: webbläsarsessionsinspelningar, HAR-filer, cookie-diffar och tidsstämplade skärmdumpar. Den typ av bevisning som håller i en IMY-granskning.

Vad du bör göra den här veckan

Öppna din webbplats i ett privat webbläsarfönster. Titta på din cookie-banner. Räkna klicken för att avvisa. Jämför avvisaknappen med acceptknappen. Om avvisa är svårare att hitta eller kräver fler steg har du samma problem som ATG, Aller Media och Warner Music hade.

Eller låt Vakteye göra det åt dig. Vår skanner tar 90 sekunder och testar varje mönster som IMY flaggade i dessa beslut.

Vänta inte på att IMY hittar problemet

Kör en kostnadsfri efterlevnadsskanning och se exakt vad IMY skulle hitta på din webbplats idag.

Starta gratis skanning
Nästa

45 miljoner kronor i böter: Så läckte Meta Pixel hälsodata från svenska apotek

Relaterade artiklar

COMPLIANCE7 min läsning

NIS2 är här: Sveriges cybersäkerhetslag sedan januari 2026

Sveriges NIS2-implementering (Cybersäkerhetslagen) gäller sedan 15 januari 2026. Ingen övergångsperiod. Här är vad den kräver och vad som händer om du struntar i den.

COMPLIANCE6 min läsning

EDPB 2026: Varför transparenstillsyn drabbar svenska företag

EDPB:s samordnade tillsyn 2026 fokuserar på transparens. Om din integritetspolicy inte stämmer med vad din webbplats faktiskt gör är du ett mål.

COMPLIANCE8 min läsning

GDPR i Sverige: IMY:s tillsynstrender 2025

Hur Integritetsskyddsmyndigheten tillämpar GDPR och vad det innebär för ditt företag.