Cookie banner enligt GDPR 2026 — IMY:s krav, dark patterns och färdiga exempel

I april 2025 utdelade IMY (Integritetsskyddsmyndigheten) formella reprimander till ATG (Aktiebolaget Trav och Galopp), Aller Media AB och Warner Music Sweden AB för icke-kompatibla cookie banners. Anmärkningarna: dark patterns, visuell asymmetri mellan accept/reject, vilseledande information. IMY har klart signalerat att enforcement kommer fortsätta genom 2025-2026.

Denna guide täcker exakt vad IMY kräver, vilka dark patterns som är förbjudna, hur LEK och GDPR samverkar, och konkreta designexempel. Källor: GDPR Art. 4.11, 6 och 7, LEK 9 kap. 28 §, IMY:s april 2025-vägledning, EDPB Guidelines on consent och dark patterns, CNIL:s enforcement-data.

Två lagar reglerar cookie banners — LEK och GDPR

I Sverige gäller två lagar parallellt för cookies:

LEK — Lagen (2003:389) om elektronisk kommunikation, 9 kap. 28 § (implementerar EU:s ePrivacy-direktiv 2002/58/EG):

"Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den."

Lagen säger: ingen lagring eller hämtning från användarens enhet utan informerat samtycke. Cookies är "lagring i terminalutrustning" — alltså omfattas.

GDPR Art. 4.11 definierar samtycke:

"Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör henne eller honom."

LEK säger "samtycke krävs". GDPR Art. 4.11 + 7 säger HUR samtycket ska vara — fritt, specifikt, informerat, otvetydigt. Båda måste uppfyllas.

Konkret innebörd:

• Cookies får inte sättas FÖRE användaren klickat
• Samtycket måste vara aktivt (klick), inte passivt (fortsatt scrollande)
• Pre-ticked checkboxar är inte giltigt samtycke
• Reject-alternativet ska vara lika lätt som accept

IMY:s april 2025-tillsyn — vad hände?

Den 28 april 2025 utdelade IMY formell reprimand till tre svenska företag:

Aller Media AB (medieföretag, äger bl.a. tidningarna Allas och Hänt) — cookie banner med dark patterns: kontrasterande färger som gjorde accept-knappen prominent, reject-alternativ gömt eller mindre synligt.

ATG (Aktiebolaget Trav och Galopp) — speloperatör — kritiserad för visuell asymmetri i sitt cookie banner. Accept-knappen tydligt framträdande, reject-knappen i låg-kontrast text.

Warner Music Sweden AB — global underhållning — kritiserad för otillräcklig och otydlig cookie-information.

IMY's reprimand var första formella steget. Vid återupprepad överträdelse kan IMY utdöma ekonomiska sanktioner enligt GDPR Art. 83.5 — upp till 20 miljoner EUR eller 4 procent av global årsomsättning.

Bakgrunden: Tillsynsbesluten följde individuella klagomål från användare — inte en koordinerad sweep. Detta är viktigt att notera: ETT klagomål kan trigga IMY-tillsyn.

IMY:s 7 förbjudna dark patterns

Enligt IMY:s april 2025-vägledning är följande designtekniker uttryckligen förbjudna i cookie banners:

1. Färgmanipulation

Använda kontrasterande färger för att göra "Acceptera"-knappen prominent jämfört med "Avvisa". Klassiska exempel: grön accept-knapp + grå avvisa-länk. Eller blå accept-knapp + vit avvisa-knapp utan kontrast.

Korrekt: Båda knapparna i samma färg och kontrast.

2. Storleksbias

Större accept-knapp än reject-knapp. Eller accept som knapp, reject som text-länk.

Korrekt: Båda i samma storlek och samma typ av UI-element.

3. Vilseledande språk

Använda förvirrande eller emotionellt manipulativa fraser:

• "Förbättra din upplevelse" istället för "Acceptera spårning"
• "Jag förstår" istället för "Jag accepterar cookies"
• "Fortsätt" istället för "Acceptera"

Korrekt: Tydligt, neutralt språk. "Acceptera alla cookies" och "Avvisa alla cookies".

4. Friktionsbaserad design

Skapa extra steg, fördröjningar eller friktion när användare väljer att avvisa cookies. Klassiska exempel:

• "Acceptera alla" = 1 klick
• "Avvisa alla" = 3 klick genom "Inställningar" → uncheck alla kategorier → "Spara"

Korrekt: Symmetrisk friktion. Om "Acceptera alla" är 1 klick ska "Avvisa alla" också vara 1 klick.

5. Falsk brådska

Skapa en falsk känsla av brådska eller konsekvens för att inte acceptera:

• "Webbplatsen kan inte fungera korrekt utan cookies"
• Cookie wall som blockerar innehåll om man inte accepterar
• Countdown-timer eller liknande pressure-tactics

Korrekt: Inget pressure. Användaren ska känna att hen kan välja fritt.

6. Informationsöverlast

Överskölja användaren med information för att öka sannolikheten att de accepterar utan att läsa. 8000-ord cookie-information utan struktur är ett klassiskt exempel.

Korrekt: Lagervis (layered) presentation. Kort översikt i banner, detaljer i cookie-policy.

7. Pre-ticked boxes

Förmarkerade checkboxar för icke-nödvändiga cookies — strider direkt mot GDPR Art. 4.11 som kräver "entydig bekräftande handling".

Korrekt: Alla icke-nödvändiga cookies AVMARKERADE som standard. Användaren ska aktivt klicka i för att samtycka.

Vad ska första lagret innehålla?

EDPB rekommenderar lagervis presentation av cookie-information. Första lagret (det användaren ser direkt) ska innehålla minimum:

1. Information om att webbplatsen använder cookies och varför
2. Kategorier av cookies som används (nödvändiga, analys, marknadsföring, etc.)
3. 'Acceptera alla'-knapp eller liknande affirmativ knapp
4. 'Avvisa alla'-knapp i samma visuella vikt, placerad PÅ FÖRSTA LAGRET (inte gömd bakom 'Inställningar')
5. Länk till cookie-policy för fördjupning
6. Inställnings-knapp för granulärt val per kategori

Klassiskt fel: Reject-knapp gömd bakom "Inställningar" → uncheck-alla → "Spara". Detta är friktionsbaserad design (dark pattern 4) och inte tillåtet.

Cookies får INTE sättas före samtycke

En vanlig miss: tracking-skript läggs i HTML head och körs direkt vid sidladdning, OAVSETT vad användaren klickar i banner. Det är en överträdelse oavsett om banner finns.

Strikt nödvändiga cookies (får sättas utan samtycke):

• Sessionscookies för login (autentisering)
• Kundvagn-cookies på e-handelssajt
• CSRF-tokens (säkerhet)
• Cookies för lastbalansering
• Cookie consent-tillstånd ironiskt nog (för att kunna komma ihåg användarens val)

Kräver samtycke INNAN de sätts:

• Google Analytics (alla varianter inklusive GA4)
• Meta Pixel / Facebook Pixel
• Hotjar, Microsoft Clarity, FullStory
• A/B-test-cookies (Optimizely, VWO, Google Optimize)
• Marknadsförings-cookies (Google Ads, Bing Ads, LinkedIn Insight Tag)
• Embed-widgets från YouTube, Vimeo (sätter spårningscookies)
• Social media share-buttons med tracking

Praktiskt: använd en CMP (Consent Management Platform) som blockerar skript tills användaren samtyckt, eller implementera Google Consent Mode v2 för Google-tjänster specifikt.

IMY:s tidigare Meta-pixel-tillsyn

Innan april 2025-cookie-banner-tillsynen genomförde IMY enforcement mellan juni och december 2024 mot svenska företag (bl.a. apotek) för Meta Pixel-malfunktion. Pixeln läckte känsliga personuppgifter (hälsoinformation, sökhistorik på receptbelagda mediciner) till Meta utan giltig rättslig grund.

Sanktionsbeloppen varierade men flera apotek fick sanktioner i miljonklass. Detta visar att IMY tar tracking-pixlar på allvar och att samtycke måste vara giltigt INNAN pixeln sätts — inte efter.

CNIL:s enforcement som benchmark

Frankrikes CNIL har varit en av de mest aggressiva DPA:erna mot cookie-överträdelser. Mellan december 2022 och december 2024 utdömde CNIL kombinerade sanktioner överstigande 139 miljoner EUR för brott mot Article 82 av franska dataskyddslagen (som implementerar ePrivacy).

Under 2024 alone sanktionerades 11 organisationer specifikt för att de inte gav användarna ett lika enkelt sätt att avvisa cookies som att acceptera.

Storbritanniens ICO påbörjade januari 2025 en systematisk granskning av top-1000 brittiska webbplatser — utdömde 134 varningar från de första 200 reviewade sajterna.

Konklusion: Cookie-banner-compliance är inte en isolerad svensk fråga. Hela EU + UK rör sig mot striktare enforcement. Detta är inte ett tillfälligt fokus.

Strikt-nödvändiga vs icke-nödvändiga cookies

Det viktigaste juridiska konceptet i cookie-banner-arbete:

Strikt nödvändiga cookies (LEK 9:28 § och GDPR Art. 6.1.b):

• Cookien är tekniskt nödvändig för att tillhandahålla tjänsten användaren begärt
• Login-session, kundvagn, säkerhetstoken är klassiska exempel
• Får sättas UTAN samtycke

Icke-nödvändiga cookies:

• Analys, marknadsföring, profilering, A/B-test, embed-widgets med tracking
• KRÄVER aktivt samtycke före de sätts

Vanlig miss: "Vi behöver Google Analytics för att förstå våra besökare." Det är ett legitimt VERKSAMHETSBEHOV, men gör inte cookien strikt nödvändig i juridisk mening. Användaren begärde inte att bli analyserad när hen besökte sajten. Samtycke krävs.

Cookie banner — färdigt designexempel

Detta är en strukturell mall — inte färdig kod. Anpassa till er teknik (HTML/JS, CMP, etc.).

``` ┌──────────────────────────────────────────────────────────────────┐ │ │ │ Cookies på [företag.se] │ │ │ │ Vi använder cookies för att leverera vår webbplats och │ │ analysera trafik. Cookies för marknadsföring används också │ │ om du samtycker. │ │ │ │ Läs mer i vår cookie-policy. │ │ │ │ ┌──────────────────┐ ┌──────────────────┐ ┌────────────────┐ │ │ │ Avvisa alla │ │ Anpassa val │ │ Acceptera alla │ │ │ └──────────────────┘ └──────────────────┘ └────────────────┘ │ │ │ └──────────────────────────────────────────────────────────────────┘

✓ Samma färg på "Avvisa alla" och "Acceptera alla" ✓ Samma storlek ✓ Samma position i samma rad ✓ Tydligt språk ✓ Länk till detaljerad cookie-policy ✓ "Anpassa val" för granulärt samtycke per kategori ✓ INGA pre-ticked boxes för icke-nödvändiga cookies ✓ INGA cookies sätts förrän användaren klickat ```

Anpassa val-vyn ska visa kategorier med toggles:

``` Cookie-inställningar

[●○] Strikt nödvändiga (alltid på, kan inte stängas av) Login-session, säkerhetstoken, kundvagn

[○●] Analys Google Analytics, Plausible — för att förstå webbplatsanvändning

[○●] Marknadsföring
Meta Pixel, Google Ads — för riktad annonsering

[○●] Funktionalitet YouTube-embeds, chatt-widget

[ Spara mina val ] [ Acceptera alla ] ```

Notera: Toggles för icke-nödvändiga kategorier ska vara AVMARKERADE som standard.

CMP-leverantörer för svenska företag

För de flesta SMB:er är det orealistiskt att bygga eget cookie-banner från grunden. Etablerade Consent Management Platforms:

• Cookiebot (etablerat, men dyrt över tid — se vår Cookiebot-jämförelse)
• Cookie Information (dansk leverantör, EU-fokus)
• OneTrust (enterprise-fokus, dyrare)
• Termly (US-bas, billigare för småföretag)
• Iubenda (italiensk, populär bland SaaS)
• Usercentrics (tysk, fokus på EU-compliance)

Vad de typiskt erbjuder:

• Cookie scanning (identifierar automatiskt vad ni använder)
• Banner-UI med GDPR-kompatibel design
• Consent log (för dokumentation vid tillsyn)
• Integration med Google Tag Manager, Consent Mode v2
• Automatisk uppdatering vid lagändringar

Prismodeller varierar — vissa per månadsanvändning, andra fasta. Räkna med 500-5000 SEK/månad för en SMB-webbplats.

Före du publicerar — checklista

Kontrollera att ert cookie banner uppfyller:

``` KORREKTHETS-CHECKLISTA

JURIDISKT □ Samtycke inhämtas INNAN cookies sätts □ Endast strikt nödvändiga cookies sätts före samtycke □ Reject-knapp lika lättillgänglig som accept-knapp □ Pre-ticked boxes finns INTE för icke-nödvändiga cookies □ Användaren kan när som helst återkalla samtycke □ Samtycke loggas (datum, tid, vilka kategorier)

DESIGN □ Accept- och reject-knappar har samma färg □ Accept- och reject-knappar har samma storlek □ Båda knapparna är på första lagret (inte bakom "Inställningar") □ Språket är neutralt, inte manipulerande □ "Anpassa val" eller liknande för granulärt val finns

INFORMATION □ Information om VARFÖR cookies används finns □ Kategorier av cookies tydligt listade □ Länk till detaljerad cookie-policy finns □ Cookie-policyn listar varje cookie: namn, leverantör, syfte, lagringstid

TEKNIK □ Scripts blockeras tills samtycke ges □ Consent Mode v2 implementerat för Google-tjänster □ Banner anpassar sig efter geografisk plats (EU vs. icke-EU) □ Mobile-responsiv design

POST-LANSERING □ Samtycke återfrågas efter rimlig tid (typiskt 6-12 mån) □ Cookie-policyn uppdateras när nya cookies läggs till □ Compliance-status testas regelbundet ```

Identifiera er cookie-inventering med skanning

Innan ni kan implementera ett korrekt cookie banner måste ni veta exakt VILKA cookies er webbplats sätter. Många SMB-företag har ingen aning — tredje-parts-skript laddar sub-skript som sätter sub-cookies, och kedjan blir komplex.

Northverify scannar er webbplats och listar alla detekterade cookies, deras leverantör, kategori (analys, marknadsföring, etc.) och om de kräver samtycke. Det är ett praktiskt sätt att bygga er cookie-inventering — som sedan blir grund för cookie-policyn och konfigurationen av ert cookie banner.

Relaterade artiklar

• Integritetspolicy-mall för svenska företag — cookies och integritetspolicy ska samverka
• Northverify vs Cookiebot — jämförelse — detaljerad CMP-jämförelse
• 14 svenska lagar för webbplats-compliance 2026 — överblick över hela det svenska regelverket

---

Källor:

• Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), särskilt artiklarna 4.11, 6 och 7
• Lag (2003:389) om elektronisk kommunikation, 9 kap. 28 §
• EU:s ePrivacy-direktiv 2002/58/EG
• IMY (Integritetsskyddsmyndigheten): april 2025-vägledning om dark patterns i cookie-banners
• IMY:s beslut april 2025 mot ATG, Aller Media AB och Warner Music Sweden AB (publika via imy.se)
• EDPB Guidelines 05/2020 on consent under Regulation 2016/679
• EDPB Guidelines 03/2022 on Dark patterns in social media platform interfaces
• CNIL enforcement-data 2022-2024 (139M EUR kombinerade sanktioner för cookie-överträdelser)

Senast uppdaterad: 2026-05-17. Innehållet är allmän vägledning och utgör inte juridisk rådgivning för enskilda fall.