Efterlevnad25 maj 2026 | FlexyConsent

Guide till cookie-samtycke för EU-US Data Privacy Framework (DPF) för utgivare 2026

The EU-US Data Privacy Framework (DPF) är den juridiska struktur som gör det möjligt för europeiska personuppgifter — inklusive cookie-identifierare, IP-adresser, hashade e-postadresser och annonsförfrågningars nyttolaster — att flöda till USA-baserade leverantörer utan att varje utgivare behöver förhandla fram egna standardavtalsklausuler (SCCs). Antaget av Europeiska kommissionen i juli 2023 och nu flera år in i praktisk användning är DPF det tredje försöket att ersätta det ogiltigförklarade Privacy Shield, och det är återigen under juridisk prövning i EU-domstolen. För utgivare som dirigerar EU-trafik via SSP:er, DSP:er, analysverktyg och CMP:er med säte i USA är förståelse för DPF — och det samtyckeslager som vilar ovanpå det — inte längre valfri. Den här guiden förklarar vad DPF faktiskt tillåter, hur cookie-samtycke passar in, och de operativa steg som håller dina överföringar försvarsbara om ramverket återigen underkänns.

Vad DPF Faktiskt Gör

DPF är ett beslut om adekvat skyddsnivå utfärdat av Europeiska kommissionen enligt artikel 45 i GDPR. Ett sådant beslut innebär att ett tredjeland — i det här fallet USA — tillhandahåller en nivå av skydd för personuppgifter som i allt väsentligt är likvärdig med EU:s, men enbart för organisationer som väljer att ansluta sig till ett specifikt ramverk. DPF är anslutningsmekanismen. Amerikanska företag självregistrerar sig hos Handelsdepartementet, åtar sig att följa en uppsättning integritetsprinciper och blir föremål för FTC:s eller DOT:s tillämpning av dessa åtaganden.

För en EU-utgivare är den praktiska effekten att personuppgifter kan överföras till en DPF-certifierad amerikansk leverantör utan separata SCCs, leverantörsspecifika TIA:er eller kompletterande åtgärder av det slag som krävdes efter Schrems II-domen. DPF utför det tunga lyftet på den rättsliga grundsnivån.

Tre saker som DPF inte gör, och som utgivare konsekvent missförstår:

Det ersätter inte samtycke. Att placera en icke-nödvändig cookie på en EU-besökare kräver fortfarande samtycke av GDPR/ePrivacy-klass oavsett var datan slutligen hamnar.
Det täcker inte överföringar till icke-certifierade amerikanska leverantörer. Om din SSP eller analysleverantör inte finns på den aktiva DPF-listan behöver du fortfarande SCCs och en TIA.
Det täcker inte överföringar till amerikanska dotterbolag som verkar utanför det certifierade omfånget. Många stora leverantörer certifierar bara specifika affärslinjer.

Cookie-Samtycke Är Fortfarande Huvudingången

DPF löser överföringsdelen av resan. Det gör ingenting åt det ögonblick då en cookie placeras, ett annons-ID läses eller en händelse skickas till en tagg. Det ögonblicket regleras av ePrivacy-direktivet (artikel 5(3)) och GDPR (artiklarna 6 och 7). Bägge kräver föregående, informerat, specifikt och frivilligt lämnat samtycke för all icke-strikt-nödvändig åtkomst till lagring på terminalutrustning.

Med andra ord, även om varje leverantör i ditt stack är DPF-certifierad behöver du fortfarande en Consent Management Platform som:

Blockerar icke-nödvändiga cookies och taggar innan samtycke inhämtats.
Presenterar ett tydligt val med avvisa-allt i paritet med acceptera-allt (EDPB har varit explicit om detta sedan 2022).
Registrerar samtyckeshändelsen med en manipulationsbeständig tidsstämpel och en kopia av det meddelande som användaren faktiskt såg.
Vidarebefordrar samtyckestillståndet till varje nedströmsverktyg via TCF v2.3, Google Consent Mode v2 eller leverantörsspecifika API:er.

DPF ersätter den rättsliga grunden för överföringen; CMP tillhandahåller den rättsliga grunden för insamlingen. Att hoppa över endera sidan lämnar dig exponerad.

Hur Man Verifierar en Leverantörs DPF-Status

US Handelsdepartementet upprätthåller den officiella DPF-listan på dataprivacyframework.gov. Innan du förlitar dig på en leverantörs DPF-påstående, kontrollera tre saker i deras listning.

Aktiv Certifieringsstatus

Certifieringar måste förnyas årligen. En leverantör vars status visar Inaktiv, Återkallad eller Utgången kan inte förlitas på som din överföringsmekanism, även om deras marknadsföringssidor fortfarande visar ett DPF-märke. Importera listningen till ditt leverantörsinventarium och kontrollera på nytt varje kvartal.

Täckta Enheter och Dotterbolag

Många holdingbolag certifierar vissa dotterbolag men inte andra. Avtalsenheten i ditt DPA måste matcha den certifierade enheten. Ett vanligt misstag är att underteckna med Acme Marketing UK Ltd när DPF-certifieringen innehas av Acme Inc. i Delaware — dataflödet faller då utanför det certifierade omfånget.

Kategorier av Data som Täcks

DPF tillåter certifieringar begränsade till enbart HR-data, enbart icke-HR-data eller bägge. En certifiering för enbart icke-HR täcker dina annons- och analysdata; en certifiering för enbart HR gör det inte. Läs listningen noggrant.

Vad man Gör när en Leverantör Inte är DPF-Certifierad

Många användbara amerikanska leverantörer — särskilt mindre ad-tech-aktörer och nischade analysverktyg — certifierade sig aldrig eller lät sin certifiering förfalla. För dessa är DPF irrelevant och du faller tillbaka på verktygslådan från före 2023:

Standardavtalsklausuler (SCCs) — 2021 års modul-2- eller modul-3-versioner, undertecknade av bägge parter och inarbetade i DPA.
Konsekvensbedömning av överföringen (TIA) — en leverantörsspecifik analys av amerikansk övervakningslagstiftning, berörda datakategorier och de tekniska och organisatoriska åtgärder som minskar exponeringen.
Kompletterande åtgärder — kryptering under transit och i vila, pseudonymisering, avtalsenliga transparensåtaganden och en dokumenterad beredskapsplan för begäranden om åtkomst från den amerikanska staten.

Upprätthåll ett register som listar varje amerikansk leverantör i ditt stack, den rättsliga grund som används för var och en (DPF, SCCs, undantag) och datumet för senaste granskning. Regulatorer och revisorer kommer att begära detta register; att inte ha det är i sig ett fynd.

Schrems III-Risken och hur man Framtidssäkrar

Integritetsförespråkaren Max Schrems och hans organisation NOYB väckte talan mot DPF kort efter att det antagits, med argumentet att den amerikanska övervakningsreformen under Executive Order 14086 fortfarande inte uppfyller EU:s grundläggande rättighetsstandarder. En hänskjutning till CJEU förväntas allmänt, och ramverket har en icke-trivial sannolikhet att underkännas — tredje gången på tjugo år.

Utgivare som behandlade Privacy Shield som den enda överföringsmekanismen 2020 tvingades rusa runt över en natt när Schrems II ogiltigförklarade det. Samma rusning är undvikbar den här gången om man behandlar DPF som primär mekanism med en reservlösning redo att aktiveras.

Behåll SCCs i Varje DPA

Insistera på att era DPA:er inkluderar 2021 års SCCs som en reservklausul som aktiveras automatiskt om DPF-adekvathetsbeslut ogiltigförklaras eller leverantörens certifiering förfaller. Detta är numera standardspråk; om en leverantör vägrar är det en gul varningsflagga.

Genomför en TIA Ändå

DPF avlägsnar det rättsliga kravet på en TIA, men att genomföra en lätt sådan — särskilt för leverantörer som hanterar känsliga annonssignaler eller stora EU-populationer — ger dig försvarbar dokumentation om ramverket kollapsar. Återanvänd samma mall för alla leverantörer för att hålla kostnaderna nere.

Lokalisera där Kalkylen Stämmer

För ett fåtal användningsfall — förstapartsanalys, beteendedata om inloggade användare eller webbplatser med känsligt innehåll — eliminerar ett byte till en EU-hostad och EU-kontrollerad leverantör överföringsfrågan helt. Kostnads-nyttoanalysen är bara lönsam för högrisk- eller högvolymflöden, men det bör finnas på färdplanen som ett alternativ.

Integrera DPF i er CMP

En modern CMP tillämpar inte DPF direkt — det finns inget GPP- eller TCF-fält som anger "denna överföring täcks av DPF." Vad CMP:en måste göra är att inhämta samtycke för varje leverantör på ett sätt som stöder den dokumentation en regulator så småningom kommer att begära.

Granularitet Per Leverantör

Att samla alla amerikanska ad-tech-leverantörer i ett enda "Marknadsföring"-reglage är inte längre försvarbart. TCF v2.3-leverantörslistan, som de flesta certifierade CMP:er synkroniserar mot, tillhandahåller ändamål och rättsliga grunder per leverantör. Använd den. När en regulator frågar "på vilken grund flödade personuppgifter till leverantör X på datum Y" bör du kunna hänvisa till en TCF-sträng, ett DPF-certifieringsunderlag och ett DPA.

Spegla Integritetspolicyn i Bannern

Listan över mottagare i din integritetspolicy ska exakt matcha listan över leverantörer som laddas efter samtycke. Avvikelser är det lättaste verkställighetsmålet — spanska AEPD och franska CNIL har båda bötfällt utgivare 2024 för leverantörslistor som utelämnat aktiva partners.

Logga Leverantörsstatus vid Samtyckestillfället

Spara, för varje samtyckeshändelse, en ögonblicksbild av vilka leverantörer som fanns på TCF GVL, vilka som var DPF-certifierade och vilken rättslig grund respektive förlitade sig på. Detta är revisionsspåret som förvandlar ett stressigt regulatorbrev till ett rutinsvar. FlexyConsent och andra Google-certifierade CMP:er erbjuder denna loggning direkt ur lådan; många äldre banners gör det inte.

Praktisk Migrerings-Checklista

Om du migrerar en befintlig webbplats från en pre-DPF- eller partiell-DPF-konfiguration till en ren 2026-konfiguration, arbeta igenom den här listan:

Inventera varje amerikansk leverantör i din tagghanterare, annonsstack och serversidebehållare.
Krysskontrollera var och en mot den aktiva DPF-listan. Kategorisera som DPF-täckt, SCC-täckt eller åtgärd krävs.
Uppdatera DPA:er för att inkludera 2021 års SCCs som automatisk reserv.
Genomför en TIA för högrisk-leverantörer oavsett DPF-status.
Bekräfta att din CMP exponerar ett samtyckegränssnitt per leverantör och stöder TCF v2.3.
Verifiera att Google Consent Mode v2 är kopplat via GA4, Ads och eventuella signaländringsverktyg.
Sätt in en kvartalsvis granskning i kalendern för att kontrollera certifieringar, GVL-medlemskap och DPA-versioner.
Informera juridik och ad ops gemensamt om vad som förändras om DPF ogiltigförklaras, så att handlingsplanen inte uppfinns under press.

Vanliga Missuppfattningar

Några fel återkommer i utgivarrevisioner och behöver uttrycklig korrigering.

"DPF-certifierat innebär att vi inte behöver samtycke." Nej. DPF är en överföringsmekanism. Samtycke är ett insamlingskrav. De befinner sig på olika juridiska nivåer.

"Vårt CDN är USA-baserat, så DPF täcker det." Endast om CDN:et självt är DPF-certifierat för berörda datakategorier. Många infrastrukturleverantörer erbjuder EU-regioner som helt undviker frågan.

"Leverantör X säger att de är DPF-redo." Marknadsföringsspråk. Kontrollera den officiella listan, den certifierade enhetens namn och datakategorierna.

"DPF ersätter cookiebannern." Nej. ePrivacy-direktivets krav på förhandsgodkännande är oberoende av GDPR:s överföringsregler. Bägge gäller.

Slutsatsen

DPF gör transatlantisk ad-tech 2026 operativt enklare än 2021 var, men det fritar inte utgivare från cookie-samtycke, leverantörsgranskning eller överföringsdokumentation. Behandla DPF som en av flera giltiga överföringsmekanismer, behåll SCCs som avtalsmässig reserv, kör en CMP som loggar samtycke per leverantör mot ett underhållet leverantörsinventarium, och anta att ramverkets rättsliga stabilitet är villkorad. Utgivare som bygger in den motståndskraften nu slipper omprojektera under en natt om ett Schrems III-avgörande faller på samma sätt som de föregående två. De som behandlar DPF som ett permanent svar sätter sig i samma situation som följde när Privacy Shield ogiltigförklarades — bara att regulatorerna den här gången är mindre tålmodiga och böterna är större.