Att förstå cookielagstiftningen och implementera effektiva lösningar för hantering av samtycke har blivit avgörande för alla webbplatser. I den här guiden förklaras skillnaderna mellan europeiska och amerikanska bestämmelser, analyseras hur Googles samtyckesläge fungerar och jämförs de viktigaste lösningarna för samtyckeshantering.

‍

Cookie-lagstiftning och hantering av samtycke: uppdateringar 2025

Att förstå cookielagstiftningen och implementera effektiva lösningar för samtyckeshantering har blivit avgörande för alla webbplatser. Den här guiden tar upp skillnaderna mellan europeiska och amerikanska regler, analyserar hur Googles samtyckesläge fungerar och jämför de viktigaste lösningarna för samtyckeshantering, med de senaste uppdateringarna fram till 2025.

‍

Europeisk lagstiftning: GDPR och ePrivacy-direktivet

I Europa styrs skyddet av personuppgifter och integritet på nätet huvudsakligen av två lagstiftningar:

GDPR (den allmänna dataskyddsförordningen)

GDPR, som trädde i kraft 2018, ställer stränga krav på behandlingen av personuppgifter och fastställer grundläggande principer:

• Laglighet och öppenhet: all behandling måste ha en giltig rättslig grund
• Dataminimering: insamling av endast nödvändiga uppgifter
• Säkerhet: säkerställa lämpliga skyddsåtgärder

För att samla in och behandla personuppgifter (inklusive onlineidentifierare som cookies) krävs en giltig rättslig grund, t.ex. ditt uttryckliga samtycke, ett berättigat intresse eller en avtalsenlig skyldighet.

‍

Överträdelser av GDPR kan leda till mycket höga böter, upp till 4% av företagets globala omsättning.

Direktivet om integritet och elektronisk kommunikation

Direktivet om integritet och elektronisk kommunikation (2002/58/EG, ändrat 2009) är särskilt inriktat på integritet i elektronisk kommunikation, inklusive användningen av cookies och spårningsteknik.

I artikel 5.3 i direktivet anges att det är obligatoriskt att inhämta användarens förhandsgodkännande innan information lagras eller görs tillgänglig på hans eller hennes enhet, med förbehåll för vissa undantag (t.ex. strikt nödvändiga tekniska cookies).

I praktiken innebär detta att europeiska webbplatser måste:

• Tydligt informera användaren om syftet med cookies
• inhämta fritt, specifikt och informerat samtycke innan du placerar icke-väsentliga cookies
• Tillåt användaren att när som helst avvisa och ändra preferenser

Europeiska integritetsmyndigheter har aktivt sanktionerat överträdelser: till exempel har franska CNIL bötfällt Google och Amazon mellan 2020 och 2022 för att ha placerat ut spårningscookies utan giltigt samtycke.

‍

Uppdateringar 2025

I mars 2024 trädde EU:s Digital Markets Act (DMA) i kraft, som ytterligare skärpte samtyckeskraven för stora teknikplattformar, vilket har en betydande inverkan på hanteringen av cookies och spårning. Detta har lett till att företag som Google har uppdaterat sina lösningar för samtyckeshantering.

‍

I februari 2025 drog EU-kommissionen officiellt tillbaka sitt förslag till en ny ePrivacy-förordning och lät det befintliga direktivet fortsätta att gälla. Det innebär att samtyckeskraven för cookies förblir som de är idag, fortfarande bindande och föremål för strikt tillämpning i hela Europa.

‍

EU-domstolen meddelade i mars 2024 ett viktigt utslag i IAB TCF-fallet, med betydande konsekvenser för implementeringen av Transparency & Consent Framework, som företagen fortfarande håller på att ta till sig.

‍

Amerikanska regler: CCPA, CPRA och utvecklingen i delstaterna

I USA finns det, till skillnad från i EU, ingen allmän federal integritetslagstiftning som kan jämföras med GDPR. Regleringen sker på delstats- och sektorsnivå, med en betydande utveckling under senare år.

CCPA (California Consumer Privacy Act) och CPRA (California Privacy Rights Act)

CCPA, som trädde i kraft 2020, förstärktes av CPRA (som trädde i kraft 2023), vilket förde den ännu närmare den europeiska modellen.

Det har CPRA gjort:

• Introducerade konceptet att "dela" data i stället för att "sälja
• ge konsumenterna rätt att välja bort att deras personuppgifter delas för kontextöverskridande reklamändamål
• Definierat en kategori av känsliga personuppgifter med en särskild rätt att begränsa användningen av dem
• Utökade befintliga rättigheter och skapade en särskild myndighet, California Privacy Protection Agency (CPPA)

Uppdateringar 2025

Mellan 2023 och 2025 genomgick integritetslandskapet i USA en snabb utveckling:

Från och med januari 2025 har så många som 20 amerikanska delstater nu omfattande lagar om dataskydd, och åtta nya lagar träder i kraft under 2025. Detta innebär att cirka 40 procent av de amerikanska konsumenterna nu har rätt till digital integritet. Fragmenteringen av lagstiftningen utgör dock en stor utmaning för företagen, som måste navigera mellan krav som ofta är likartade men inte identiska.

‍

Kalifornien ligger fortfarande i framkant, med CPPA särskilt aktiv under 2024-2025. Byrån utfärdade flera betydande påföljder, inklusive böter på 6,75 miljoner USD till ett molnprogramvaruföretag 2024. Den utfärdade också nya föreslagna föreskrifter om cybersäkerhet, riskbedömningar och automatiserad beslutsteknik (ADMT), med en öppen offentlig kommentarsperiod fram till juni 2025.

‍

Bland de mest relevanta utvecklingarna inom cookiehantering kan nämnas att Kalifornien utvidgade definitionen av "känslig personlig information" till att omfatta "neurala data" (information som genereras genom mätning av nervsystemets aktivitet) och klargjorde att personlig information även omfattar digitala och abstrakta format, t.ex. sådana som genereras av artificiell intelligens.

‍

Delaware antog en integritetslag som, till skillnad från andra, inte undantar ideella organisationer och akademiska institutioner från dess täckning, vilket avsevärt breddar dess räckvidd.

‍

Till skillnad från EU är den amerikanska modellen fortfarande främst baserad på opt-out snarare än på förhandsgodkännande. En amerikansk webbplats som betjänar EU-användare måste därför ha en GDPR-kompatibel banner för dessa användare, medan den för amerikanska användare helt enkelt kan visa ett meddelande och en länk för att välja bort cookies utan att blockera dem i förväg.

‍

IAB TCF: Ramverk för transparens och samförstånd

Interactive Advertising Bureau (IAB) Europe har utvecklat Transparency & Consent Framework (TCF) som en branschstandard för att hjälpa företag att hantera användarnas samtycke i enlighet med GDPR och ePrivacy-direktivet, vilket är särskilt relevant i samband med digital annonsering.

TCF:s utveckling och versioner

TCF har funnits i flera omgångar:

• TCF v1.1: lanserades i april 2018
• TCF v2.0: lanseras i augusti 2019
• TCF v2.1: lanseras i augusti 2020, i linje med EU-domstolens dom i målet Planet49
• TCF v2.2: lanserad i maj 2023, implementerad senast i november 2023, som svar på en handlingsplan som överenskommits med den belgiska dataskyddsmyndigheten (DPA)

TCF v2.2: Huvudsakliga förändringar

TCF v2.2 introducerade viktiga förändringar:

1. Avlägsnande av berättigat intresse som rättslig grund för anpassning av reklam och innehåll. För ändamålen 3, 4, 5 och 6 (skapande av personliga annonsprofiler, urval av personliga annonser, skapande av personliga innehållsprofiler och urval av personligt innehåll) är nu endast uttryckligt samtycke tillåtet.
2. Mer användarvänliga beskrivningar ersätter juridisk information för ändamål och funktionalitet, vilket gör kommunikationen med användarna tydligare och mer tillgänglig.
3. Standardisering och utökning av säljarinformationen, inklusive kategorier av insamlade uppgifter, lagringstider och vägledning om tillämpningen av berättigat intresse.
4. Strängare krav för publicister, som måste redovisa det totala antalet leverantörer och Google Ad Tech Providers som används redan i den första nivån av CMP.
5. Förbättrade verkställighetsmekanismer med nya revisionsprocesser och differentierade verkställighetsförfaranden.

TCF v2.3: Den senaste utvecklingen

I april 2025 öppnade IAB Tech Lab och IAB Europe den tekniska specifikationen TCF v2.3 för offentlig kommentar, med en kommentarsperiod fram till den 19 maj 2025. Uppdateringen syftar till att ge mer klarhet för leverantörer i specifika scenarier där det är oklart om data har lämnats ut till användaren, vilket är särskilt viktigt när en leverantör avser att behandla data för särskilda ändamål baserat på berättigat intresse.

Tidslinjen för TCF v2.3 omfattar:

• Slutet av maj 2025: Färdigställande av tekniska specifikationer
• 1 februari 2026: Tidsfrist för alla CMP:er och leverantörer att uppdatera sin implementering för att stödja v2.3

Googles samtyckesläge: vad det är och hur det fungerar

För att hjälpa webbplatser och annonsörer att respektera användarnas samtyckesval introducerade Google Consent Mode, en teknisk lösning som justerar beteendet hos Google-taggar enligt användarens samtyckesstatus.

Googles samtyckesläge V2

I november 2023 lanserade Google Consent Mode V2, med obligatorisk implementering senast i mars 2024 för webbplatser som använder Googles tjänster och samlar in data från användare i Europeiska ekonomiska samarbetsområdet (EES). Denna uppdatering var särskilt utformad för att anpassas till EU:s Digital Markets Act (DMA).

Consent Mode V2 introducerar två nya parametrar utöver de ursprungliga:

• ad_storage och analytics_storage (befintliga): styr lagringen av reklam- och analyscookies
• ad_user_data (ny): hanterar samtycke till användning av personuppgifter för reklamändamål
• ad_personalisation (ny): hanterar samtycke till användning av data för personanpassad remarketing

Till skillnad från ad_storage och analytics_storage påverkar dessa nya parametrar inte taggarnas beteende på själva webbplatsen, utan är ytterligare parametrar som skickas till Googles tjänster för att ange hur användardata kan användas.

Metoder för genomförande

Google Consent Mode V2 har två implementeringslägen:

1. Grundläggande samtyckesläge: Google-taggar är helt blockerade tills användaren interagerar med samtyckesbannern. Om användaren inte ger sitt samtycke samlas ingen information in.
2. Avancerat samtyckesläge: Googles taggar laddas innan användaren interagerar med bannern. Om användaren inte ger sitt samtycke fungerar taggarna i begränsat läge och skickar "anonyma pingar" (utan användaridentifierare) som Google använder för att statistiskt modellera resultaten.

Det är viktigt att notera att vissa integritetsexperter har uttryckt tvivel om huruvida det avancerade läget är förenligt med dataskyddsbestämmelserna, eftersom "pingar" kan utgöra personuppgifter som behandlas utan samtycke.

Påverkan på marknadsföring och analys

Utan Googles samtyckesläge kan annonsplattformar inte samla in uppgifter om nya EES-användare, vilket avsevärt begränsar möjligheten att samla in målgruppsdata, mäta kampanjers effektivitet och genomföra riktade annonseringsstrategier.

‍

Med Consent Mode V2 kan webbplatser fortsätta att samla in grundläggande analytiska data även när användarna inte har gett sitt samtycke till cookies, genom avancerade modelleringstekniker som respekterar samtyckespreferenser.

‍

‍

Lösningar för samtyckeshantering (CMP)

För att följa alla dessa bestämmelser använder webbplatser plattformar för samtyckeshantering (CMP) som tillhandahåller banners och gränssnitt för att inhämta användarnas samtycke och mekanismer för att respektera dessa val.

IAB:s roll i CMP

IAB spelar en nyckelroll i certifieringen av CMP:er genom TCF-ramverket. En IAB TCF v2.2-certifierad CMP måste:

1. Visa tydlig information om ändamålen med databehandlingen
2. Samla in granulerade samtycken för olika ändamål
3. Möjliggöra för användare att enkelt ändra sina preferenser
4. Förvaring av samtycken på ett säkert sätt (TC String)
5. Kommunicera dessa preferenser till alla leverantörer i det standardiserade TCF-formatet

Under 2023-2024 införde Google särskilda certifieringskrav för CMP:er som vill stödja Google Ads i EU och Storbritannien, där huvudkravet är uppdaterad efterlevnad av IAB TCF. CMP:er som certifierats av Google kan använda Google Ads-produkter och finns med på en officiell lista.

Jämförelse av större CMP-lösningar fram till 2025

Finweet (samtycke till kakor från Finsweet)

En lösning som är särskilt inriktad på webbplatser som byggts med Webflow, med fullt stöd för IAB TCF v2.2 och Google Consent Mode v2.

Fördelar:

• Kostnadsfritt (grundversion)
• Total grafisk anpassning (bannern är inbyggd direkt i Webflow Designer)
• Ingen kod för Webflow-användare

Nackdelar:

• Kräver teknisk expertis för korrekt implementering
• Den kostnadsfria versionen täcker endast grundläggande GDPR-aspekter
• En prenumeration krävs för avancerade funktioner som Google Consent Mode v2.

Idealisk för: utvecklare eller byråer som arbetar med Webflow och som vill ha total kontroll och anpassad design.

CookieJa

En plug-and-play-lösning som uppdaterats för att stödja IAB TCF v2.2 och Google Consent Mode v2, nu med guldcertifiering som Google CMP-partner.

Fördelar:

• Användarvänlighet (bara kopiera/klistra in koden)
• Automatisk skanning av webbplatsens cookies
• Regelbundna uppdateringar för att uppfylla kraven i lagstiftningen
• Support för felsökning av implementeringen av Google Consent Mode v2

Nackdelar:

• Begränsade anpassningsmöjligheter
• Modell för återkommande abonnemang
• Det kan vara för enkelt för krävande varumärken

Perfekt för: små webbplatser eller ägare som snabbt vill komma upp i varv.

Iubenda Cookie-lösning

Iubenda är ett italienskt företag som erbjuder en komplett uppsättning verktyg för regelefterlevnad, helt uppdaterade för att stödja IAB TCF v2.2 och Google Consent Mode v2.

Fördelar:

• Allt-i-ett-lösning (inkluderar flerspråkiga generatorer för sekretess- och cookiepolicyer)
• IAB TCF v2.2 certifierad
• Google Partners för samtyckesläge v2
• Håller ett register över samtycken per revision
• Stöd för geolokalisering av användare och differentierad hantering mellan EU och USA

Nackdelar:

• Serviceavgift (med årliga planer baserade på utnyttjade tjänster)
• Den kan vara överdimensionerad för mycket små anläggningar
• För Webflow-användare är det inte "inbyggt" som Finsweet

Idealisk för: företag som vill ha en professionell och heltäckande lösning med minimalt underhåll.

Cookiebot (Usercentrics CMP)

En av de första populära SaaS CMP-lösningarna, nu en del av Usercentrics plattform.

Fördelar:

• Automatisering av efterlevnad av cookies
• Periodisk skanning av spårare och cookies, automatisk klassificering av dem
• Skapande av en uppdaterad dynamisk cookiepolicy
• Certifierad för TCF v2.2 och kompatibel med Google Consent Mode v2
• Stöd för efterlevnad av regler i flera jurisdiktioner (EU och USA)

Nackdelar:

• Freemium-affärsmodell med kostnader som växer med trafiken
• Måttlig anpassning av banner
• Inte helt ritbar från grunden som med Finsweet

Idealisk för: medelstora webbplatser och företag som vill delegera cookiehanteringen till automatisering.

Samtycke från UniConsent

En ny CMP som erbjuder en komplett lösning för integration med Google Consent Mode V2 och IAB TCF v2.2.

Fördelar:

• Enkel integration med Google Consent Mode V2 (Basic och Advanced)
• Stöd för efterlevnad av IAB TCF v2.2
• Förenklad konfiguration med Google Analytics 4 (GA4)
• Intuitiv instrumentpanel för hantering av samtycke

Nackdelar:

• Mindre etablerat varumärke jämfört med andra lösningar
• Tillgång till mindre omfattande dokumentation

Idealisk för: företag som letar efter en lösning som fokuserar på integration med Google Consent Mode V2.

Företagslösningar

För stora multinationella organisationer finns det CMP:er för företag som OneTrust, TrustArc, Didomi, Usercentrics, Osano etc.

Fördelar:

• Djupgående integrationer med affärssystem (CRM, etc.)
• Avancerad anpassning
• Hantering av samtycke i flera kanaler (webb, mobilapp, ansluten TV)
• Former för efterlevnad utöver cookies (hantering av förfrågningar från intressenter, konsekvensbedömningar)
• Globalt stöd för efterlevnad av regler i flera jurisdiktioner

Nackdelar:

• Höga budgetar
• Komplex implementering
• Kräver specialiserad rådgivning

Idealisk för: stora företag med global närvaro och komplexa behov av konsensushantering.

Slutsatser

Anpassning till cookie/privacy-regler kräver både en juridisk förståelse av de olika reglerna och implementering av lämpliga tekniska lösningar.

‍

I Europa råder ett strikt system för förhandsgodkännande, medan det i USA är opt-out med krav på transparens som gäller, även om delstatslagarna successivt utvecklas mot striktare normer och närmar sig den europeiska modellen.

‍

Verktyg som Google Consent Mode V2 och IAB TCF v2.2/v2.3 hjälper till att överbrygga klyftan mellan marknadsföring och integritet, så att webbplatser kan använda analys- och annonstjänster samtidigt som de följer cookie-lagarna.

‍

Valet av plattform för samtyckeshantering beror på faktorer som webbplatsens storlek, tillgängliga tekniska resurser, budget och behovet av multinationell efterlevnad. Det viktiga är att ge användarna verklig kontroll över sina uppgifter och att webbplatsen kan drivas transparent och i enlighet med gällande lagar.

‍

Företag som är verksamma i både Europa och USA kommer att behöva fortsätta att navigera i ett komplext och föränderligt regelverk och anpassa sina lösningar för samtyckeshantering till olika jurisdiktioner.

‍

Vanliga frågor om cookie-lagstiftning och hantering av samtycke

Vilka är de största skillnaderna mellan europeisk och amerikansk cookie-lagstiftning?

I Europa (GDPR och ePrivacy-direktivet) råder en opt-in-modell: användarens uttryckliga samtycke måste inhämtas innan icke-väsentliga cookies används. I USA (CCPA/CPRA och andra delstatslagar) råder däremot en opt-out-modell: cookies kan användas tills användaren uttryckligen invänder, och företag måste tillhandahålla ett tydligt sätt att välja bort försäljning/delning av data.

‍

Vilka cookies kan användas utan krav på användarens samtycke i Europa?

Endast "strikt nödvändiga" (eller "tekniska") cookies får användas utan samtycke i Europa. Dessa omfattar cookies som är nödvändiga för att webbplatsen ska fungera, t.ex. för autentisering, för att lagra artiklar i en kundvagn för e-handel eller för webbplatsens säkerhet.

‍

Vad är Google Consent Mode V2 och varför är det viktigt?

Google Consent Mode V2 är ett gränssnitt som kommunicerar användarens val av samtycke till Google. Det introducerar fyra samtyckesparametrar (ad_storage, analytics_storage, ad_user_data, ad_personalisation) som styr beteendet hos Google-taggar. Det är viktigt eftersom det gör det möjligt för webbplatser att balansera mätning av marknadsföringsprestanda med efterlevnad av sekretess, och har blivit obligatoriskt från och med mars 2024 för webbplatser som använder Googles tjänster i Europa.

‍

Hur väljer jag den mest lämpliga CMP-lösningen för min anläggning?

Valet beror på flera faktorer: webbplatsens storlek och trafik, tillgänglig budget, intern teknisk expertis, plattform som webbplatsen är byggd på (t.ex. Webflow, WordPress) och specifika efterlevnadskrav. Det är också viktigt att kontrollera om CMP:n är certifierad enligt IAB TCF v2.2 och stöder Google Consent Mode V2, särskilt om Googles annonstjänster används.

‍

Krävs cookiebannern även för en webbplats som inte använder marknadsförings- eller analyscookies?

I Europa är det tekniskt sett ja. Även om webbplatsen endast använder nödvändiga cookies är det fortfarande nödvändigt att informera användarna om vilka cookies som används. I det här fallet är det dock inte nödvändigt att begära samtycke, så bannern kan förenklas till ett informativt meddelande som inte kräver interaktion.

‍

Vilka är påföljderna för bristande efterlevnad av cookie-lagstiftningen?

I Europa kan brott mot GDPR leda till böter på upp till 4% av den globala årsomsättningen eller 20 miljoner euro, beroende på vilket belopp som är högst. I Kalifornien kan överträdelser av CCPA/CPRA leda till civilrättsliga påföljder på upp till 2.500 USD per oavsiktlig överträdelse och 7.500 USD per avsiktlig överträdelse, samt potentiella konsumentstämningar. Tillsynsmyndigheterna har blivit mer aktiva när det gäller verkställighet, och flera betydande böter har utfärdats under de senaste åren.

‍

Ersätter Googles samtyckesläge V2 behovet av en cookie-banner?

Nej, Google Consent Mode V2 ersätter inte bannercookien, utan fungerar tillsammans med den. Det krävs fortfarande ett system för att samla in användarens samtycke (CMP), som sedan kommunicerar preferenser till Google Consent Mode för att reglera taggens beteende.

‍

Hur hanterar man samtycken för en webbplats som har användare i både Europa och USA?

Den bästa lösningen är att implementera ett system som känner igen användarens geografiska läge och visar lämpligt gränssnitt: en opt-in-banner för europeiska användare och ett opt-out-meddelande för amerikanska användare. De mest avancerade CMP:erna erbjuder denna funktion för geo-targeting.

‍

Vad är IAB TCF och varför är det viktigt?

IAB Transparency & Consent Framework (TCF) är en branschstandard som hjälper företag att hantera användarsamtycke i enlighet med GDPR och ePrivacy-direktivet, särskilt i samband med digital annonsering. Den tillhandahåller en standardiserad mekanism för att samla in, lagra och dela preferenser för användarsamtycke mellan publicister, annonsörer och leverantörer av annonsteknik. Den senaste versionen, TCF v2.2, är utformad för att förbättra transparens och ansvarsskyldighet och har utvecklats som svar på vägledning från dataskyddsmyndigheter.

‍

Vilka är de viktigaste nya funktionerna i TCF v2.3?

TCF v2.3, som för närvarande är föremål för offentligt samråd fram till maj 2025, syftar till att skapa större klarhet för leverantörer i specifika scenarier där det är oklart om uppgifter har lämnats ut till användaren. Denna distinktion är särskilt viktig när en leverantör avser att behandla uppgifter för särskilda ändamål på grundval av berättigat intresse. De tekniska specifikationerna förväntas vara klara i slutet av maj 2025, med en deadline för implementering den 1 februari 2026.

‍

Källor

1. IAB Europe (2025). "TCF v2.3 är öppen för offentlig kommentar". IAB Tech Lab. https://iabtechlab. com/tcf-v2-3-is-open-for-public-comment/
2. IAB Europe (2025). "TCF 2.2 lanseras! Allt du behöver veta". https://iabeurope. eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europa (2025). "TCF Supporting Resources". https://iabeurope. eu/tcf-supporting-resources/
4. Google (2025). "Uppdateringar av samtyckesläget för trafik i Europeiska ekonomiska samarbetsområdet (EES)". Hjälp för Google Tag Manager. https://support.google.com/tagmanager/answer/13695607
5. Termly (2025). "Vad är Googles samtyckesläge v2?". https://termly.io/resources/articles/what-is-google-consent-mode-v2/.
6. Cookieyes (2024). "Vad är Googles samtyckesläge V2? Hur implementerar man det?". https://www.cookieyes.com/blog/google-consent-mode-v2/.
7. CookieFirst (2024). "Google Consent Mode V2 förklaras". https://cookiefirst.com/google-consent-mode-v2-released/
8. Bloomberg Law (2025). "Vilka stater har lagar om skydd av konsumentuppgifter?". https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/.
9. IAPP (2025). "US State Privacy Legislation Tracker". https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. Kaliforniens byrå för skydd av privatlivet (2025). "Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies." https://cppa.ca.gov/regulations/ccpa_updates.html
11. White & Case LLP (2025). "Data Privacy Update". https://www. whitecase.com/insight-alert/data-privacy-update-2025
12. Kaliforniens advokatsamfund (2025). "Delstatlig integritetslagstiftning 2025 - vad vi kan förvänta oss". https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/