I april 2025 offentliggjorde Integritetsskyddsmyndigheten (IMY) ett beslut som har väckt stor uppmärksamhet bland företag som hanterar personuppgifter genom kakor (cookies). Beslutet gäller Aller Media AB, men får omfattande konsekvenser för många företag.
Beslutet visar att Integritetsskyddsmyndigheten inte längre godkänner bristfälligt utformade cookiebanners – något som fortfarande är vanligt förekommande på många webbplatser.
Kravet för berättigat intresse uppfylldes inte
IMY konstaterade att Aller Media AB har hanterat personuppgifter utan laglig grund i samband med kakor för profilering och användning av geodata. I praktiken handlade det om att Aller Media placerade kakor på sin webbsida recept.se som samlade in uppgifter som platsdata och beteende. Dessa uppgifter användes sedan för riktad reklam. Aller menade att man använt samtycke och berättigat intresse som rättslig grund.
Enligt beslutet från IMY uppfylldes inte kravet för berättigat intresse enligt artikel 6.1 f i dataskyddsförordningen (GDPR), och det var inte säkerställt att användarna kunde förstå och enkelt invända mot behandlingen.
För att använda berättigat intresse måste tre saker vara uppfyllda:
- Det finns ett verkligt och lagligt intresse.
- Behandlingen är nödvändig för att uppnå det intresset.
- En intresseavvägning visar att användarens integritet inte väger tyngre.
Felet var alltså att Aller Media inte hade gjort en korrekt intresseavvägning. De kunde inte visa vilket berättigat intresse som de grundade detta på. Dessutom var informationen till användarna otydlig, bristfällig och vilseledande.
Som påföljd valde IMY att ge en reprimand, istället för en sanktionsavgift. Denna bedömning gjordes på grund av att det ansågs vara en mindre överträdelse som företaget redan hade åtgärdat.
Men även en reprimand är ett tydligt tecken eftersom det innebär att företagen måste skärpa sina rutiner för att inte riskera liknande ingripanden.
Det mest centrala i beslutet
- Berättigat intresse är inte en självklar rättslig grund vid användning av kakor/cookies
- IMY accepterar inte företagets förklaring att man följt sin leverantörs rekommendationer och förtydligar att ansvaret ligger på personuppgiftsansvariga företaget.
- En cookiebanner måste vara tydlig, informativ och ge tydliga valmöjligheter. Det ska vara lika lätt att säga nej som att säga ja, och användaren ska enkelt förstå vilken rättslig grund som gäller.
Beslutet innebär att alla företag som använder kakor behöver granska sina rutiner. Både teknik och juridik måste vara korrekt uppsatta och fungera tillsammans för att inte bryta mot dataskyddsförordningen.
Praktiska steg för att undvika sanktioner
För att undvika sanktioner gällande kakhanteringen bör företag:
- Säkerställa att rättslig grund finns dokumenterad.
- Se till att det inte hänvisas till branschstandarder eller tekniska leverantörer.
- Se till att användarna klart och tydligt vet vad de svarar på.
- Att IMY:s och EDPB:s vägledningar följs på ett korrekt sätt.
- Se till att jurister och marknadsförare har utbildning om rättspraxis på området.
Behöver du uppdatera dina kunskaper i GDPR?
För dig som arbetar med dataskyddsfrågor, IT, marknadsföring eller juridik erbjuder BG Institute flera kurser med olika inriktningar.
Föreläsarna på dessa kurser är Sveriges ledande experter och innehållet på kurserna uppdateras löpande med ny praxis från både IMY och EU-domstolen.
