Vad händer när du inte samlar in samtycke: Verkliga böter och fallstudier
Tror du att samtyckesbanners är valfria? Tror du att ett enkelt cookie-meddelande räcker? Tillsynsmyndigheterna håller inte med — och de har bevisen. Sedan GDPR trädde i kraft 2018 har dataskyddsmyndigheter i Europa och bortom utfärdat böter på över 4,5 miljarder euro. Många av dessa var direkt kopplade till misslyckanden med att samla in giltigt användarsamtycke.
Här är de verkliga fallen, de verkliga siffrorna och vad de betyder för din verksamhet.
De Största Samtyckesrelaterade Böterna i Historien
Meta (Facebook/Instagram) – Irland, 2023
Den irländska DPC fann att Meta överförde EU-användardata till USA utan giltiga rättsliga mekanismer och korrekt samtycke. Detta är fortfarande den största GDPR-boten som någonsin utfärdats. Meta bötfälldes också med 390 miljoner euro i januari 2023 för att ha tvingat användare att acceptera personaliserad reklam som ett villkor för att använda Facebook och Instagram — ett tydligt brott mot kravet på «frivilligt given» samtycke.
Amazon – Luxemburg, 2021
Amazon bötfälldes för att ha behandlat personuppgifter för riktad reklam utan korrekt samtycke från användare. Luxemburgs dataskyddsmyndighet (CNPD) fastställde att Amazons reklamdirigeringssystem inte uppfyllde GDPR:s samtyckeskrav.
Google – Frankrike (CNIL), 2022
CNIL bötfällde Google eftersom dess mekanism för cookie-samtycke på google.fr och youtube.com gjorde det enkelt att acceptera alla cookies med ett klick, men krävde flera klick för att avvisa dem. Denna asymmetriska design — att avvisning är svårare än acceptans — ansågs vara ett brott mot principen om «frivilligt givet» samtycke.
TikTok – Irland, 2023
TikTok bötfälldes för att ha behandlat barns personuppgifter utan tillräckliga samtyckes- och transparensåtgärder. DPC fann att barns konton var inställda på offentliga som standard och att plattformens sekretessinställningar inte var tillräckligt tillgängliga.
Criteo – Frankrike (CNIL), 2023
Reklamteknikföretaget bötfälldes för att ha samlat in surfdata från miljontals användare via spårningscookies utan att bevisa att giltigt samtycke hade erhållits. CNIL fann att Criteo inte kunde demonstrera en giltig samtyckeskedja från de webbplatser där cookies placerades.
Det Är Inte Bara Stortech: Böter för Småföretag
Tro inte att böter bara gäller teknikjättar. Dataskyddsmyndigheter runt om i Europa bötfäller regelbundet små och medelstora företag för samtyckesöverträdelser:
- Spanska AEPD: Utfärdar regelbundet böter på 2 000 till 60 000 euro till småföretag för att sätta cookies utan samtycke eller saknade cookie-policyer.
- Italienska Garante: Bötfällde en liten e-handelssajt med 20 000 euro för att ha använt Google Analytics utan giltiga mekanismer för samtyckesöverföring.
- Franska CNIL: Bötfällde en hälsosajt med 150 000 euro för att ha samlat in känsliga uppgifter via formulär utan uttryckligt samtycke.
- Österrikiska DSB: Slog fast att användning av Google Analytics utan samtycke var olaglig, vilket skapade ett prejudikat som påverkade tusentals företag.
- Belgiska APD: Bötfällde IAB Europe med 250 000 euro för problem med TCF-samtyckessträng, vilket visade att även samtyckesramverket i sig är föremål för verkställighet.
Bortom Böter: De Dolda Kostnaderna
Ekonomiska påföljder är bara toppen av isberget. Den verkliga skadan inkluderar ofta:
- Anseendeskada: GDPR-böter är offentliga uppgifter. Ditt varumärke förknippas med integritetsbrott i nyhetsrapportering och sökresultat.
- Förlorade reklamintäkter: Utan en certifierad CMP kan Google begränsa annonsvisning inom EES. Utgivare har rapporterat 30–70 % intäktsfall när deras samtyckeskonfiguration inte är kompatibel.
- Juridiska kostnader: Att försvara sig mot klagomål, svara på DPA-utredningar och omstrukturera datapraxis kan kosta hundratusentals i juridiska avgifter.
- Driftstörningar: DPA:er kan beordra dig att helt upphöra med databehandling tills efterlevnad uppnås — vilket effektivt stänger din onlineverksamhet.
- Risk för grupptalan: GDPR möjliggör kollektiva rättsliga åtgärder. Konsumentorganisationer i Österrike, Frankrike och Tyskland har väckt grupptalan mot företag för samtyckesöverträdelser.
De Vanligaste Samtyckesmisstagen som Leder till Böter
- Förmarkerade samtyckesrutor: GDPR förbjuder uttryckligen detta. Samtycke måste vara en aktiv handling.
- Cookie walls: Att blockera åtkomst till innehåll om inte användare accepterar alla cookies är inte «frivilligt givet» samtycke.
- Asymmetriska knappar: Att göra «Acceptera» framträdande medan «Avvisa» döljs eller minimeras bryter mot principen om frivilligt givet samtycke.
- Samlat samtycke: Att kombinera samtycke för flera ändamål till en enda «Acceptera»-handling nekar användarna det specifika val de har rätt till.
- Ingen återkallelsemekanism: Om användare inte enkelt kan ändra eller återkalla samtycke är hela din samtyckesinsamling ogiltig.
- Saknade samtyckesposter: Utan tidsstämplade loggar som visar vem som samtyckt, när och till vad, kan du inte bevisa efterlevnad under en revision.
- Spårning innan samtycke: Att ladda analys, annonspixter eller marknadsföringsskript innan användaren gör ett val är den vanligaste — och lättast upptäckta — överträdelsen.
Hur Tillsynsmyndigheter Upptäcker Bristande Efterlevnad
Dataskyddsmyndigheter väntar inte bara på klagomål. De skannar aktivt webbplatser med automatiserade verktyg som detekterar:
- Cookies som sätts innan någon samtyckesinteraktion
- Saknade eller ofullständiga samtyckesbanners
- Ogiltiga eller utgångna samtyckesträngar
- Spårningsskript som aktiveras innan samtycke registreras
- Asymmetriska bannerdesigner som gynnar acceptans
Franska CNIL har till exempel skannat tusentals webbplatser och utfärdat dussintals böter baserat enbart på automatiserad detektion — utan något användarklagomål.
Hur Korrekt Samtycke Ser Ut 2026
För att undvika böter och skydda din verksamhet måste din samtyckesimplementering:
- Blockera alla icke-väsentliga cookies och skript tills uttryckligt samtycke ges
- Ge lika visuell vikt till alternativen Acceptera och Avvisa
- Tillåta detaljerat val per cookiekategori (analys, marknadsföring, funktionell)
- Lagra samtyckesposter med tidsstämplar och användaridentifierare
- Stödja IAB TCF 2.3 för programmatisk annonsering
- Integrera Google Consent Mode V2 för kompatibel annonsvisning
- Tillåta enkel återkallelse av samtycke när som helst
- Visas på användarens språk
Hur FlexyConsent Skyddar Dig
FlexyConsent är byggt specifikt för att förhindra de överträdelser som beskrivs ovan:
- Automatisk skriptblockering: Ingen spårning aktiveras förrän samtycke ges
- Kompatibel bannerdesign: Lika knappar Acceptera/Avvisa, inga mörka mönster
- Revisionsklara loggar: Varje samtykesbeslut registrerat med tidsstämplar
- Google-certifierad CMP: Uppfyller Googles krav för annonsvisning inom EES
- IAB TCF 2.3: Giltiga samtyckesträngar för programmatisk annonsering
- Consent Mode V2: Inbyggd Google-integration för mätningskontinuitet
- 43 språk: Automatisk lokalisering för globala besökare
- Geomålriktning: Regionanpassade banners för GDPR, CCPA, LGPD och mer