Secify.com

Har ni full kontroll över era cookies?

28 april, 2022
Uppdaterad: 21 juni, 2023
Uppskattad lästid: 4 min

Introduktion

Använder ni cookies på ert företags webbplats eller app?

Då kan det vara läge att se över vilka cookies ni placerar och att ni inhämtar samtycke när det behövs. Cookies kan användas som ett verktyg för företag som vill utveckla sin webbplats eller app och skapa relevant marknadsföring till besökare. Men det finns en del saker som man bör känna till.

Cookieämnet har fått en ökad betydelse sedan organisationen None Of Your Business (NOYB) har anmält över 500 företag i olika EU-medlemsstater för att använda sig av olagliga cookiebanners på sina webbplatser. Även dataskyddsmyndigheter runt om i Europa har under den senaste tiden varit flitiga utfärdare av sanktioner och den franska dataskyddsmyndigheten har bötfällt både Google och Facebook för att bryta mot lagstiftningen.

Använder ditt företag cookies från exempelvis Google Analytics eller liknande verktyg kan det därför vara klokt att se över er hantering och samtyckesinhämtning av cookies.

Ordlista

Cookies
Är en liten textfil med information om ditt besök som sparas på din dator när du går in på en webbsida som använder cookies.

Google Analytics
Verktyg för att samla in, analysera och generalisera besöksstatistik och beteenden på webbplatsen

Cookiebanner
En ruta eller ett område på webbsidan där besökaren aktivt kan godkänna eller neka hanteringen av cookies

Vad är egentligen cookies?

Nästan alla webbplatser och andra onlinetjänster använder cookies, små textfiler som lagrar information om din användning av tjänsten. Syftet är att komma ihåg de val som du gör och minnas den aktivitet som äger rum på tjänsten, exempelvis för att göra användarupplevelsen mer personlig och anpassad för dig. Ofta används cookies också för att skapa en profil av en användare genom att samla data från olika webbplatser i syfte se vilket innehåll som är relevant att visa i reklam och annan marknadsföring. Det finns liknande tekniker som Flash, pixels, web beacons, finger printing och HTML5 Local Storage som har samma syften som cookies som också omfattas av lagstiftningen.

Hur är cookies reglerat?

Cookies och liknande tekniker är reglerade i lagen om elektronisk kommunikation (LEK). Bakgrunden till lagstiftningen kommer från ett EU-direktiv med målet att skydda användares integritet på internet och göra dem medvetna om hur uppgifter och information från cookies samlas in och sprids, ibland utan att användaren får någon information om hur det sker. Direktivet är ämnat att låta användaren ta kontroll över sin egen data.

I Sverige är det Post- och Telestyrelsen (PTS) som har tillsyn över att företag och organisationer som använder cookies gör det på rätt sätt. PTS kan utfärda ett föreläggande om en tillsyn från PTS resulterar i att ett företag inte lever upp till lagkraven.

Vad behöver ni göra?

Regleringen kring cookies kräver att användaren får information om de cookies som placeras på exempelvis en webbplats eller app. Enligt lagen ska användaren också få möjlighet att samtycka till det. Både informationen och samtycket ska vara i enlighet med dataskyddsförordningen, vilket

innebär höga krav på information och samtycke för att få placera cookies. Exempelvis ska ett samtycke vara aktivt, frivilligt, och specifikt. Här har EU-domstolen i en dom från 2019, ”Planet49”, slagit fast att det inte är tillräckligt att använda sig av förkryssade rutor eller på andra sätt passiva samtycken i en cookiebanner. Det ska även vara möjligt för användaren att lämna ett särskilt samtycke till de cookies som har olika ändamål. Kraven på information och samtycke gäller såväl när du som innehavare av tjänsten sätter egna cookies som när eventuella tredjeparter placerar cookies för egna ändamål, s.k. tredjepartscookies.

Om ert företag i dagsläget inte ger någon information eller inhämtar samtycke till cookies behöver ni se över att ni agerar på rätt grunder. En del cookies krävs det nämligen inte samtycke till. Det gäller cookies som antingen:

  1. behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, exempelvis för att se till att ett e-postmeddelande går från en dator till en annan, eller
  2. är nödvändiga för en tjänst som användaren uttryckligen begär. Det kan till exempel handla om att användaren gör ett val att ställa in tjänsten på ett visst språk som gör det nödvändigt att sätta en cookie för att komma ihåg det språkvalet.

Viktigt att uppmärksamma är att det är sådana funktioner som användaren begär som omfattas av undantagen. Det betyder att det exempelvis inte är funktioner som innehavaren av webbplatsen eller appen tycker är nödvändiga för tjänstens funktion som åsyftas. Något som har blivit populärt är att utnyttja Google Analytics för att samla in statistik om hur webbplatsen används. Många tror också att samtycke till cookies från Google Analytics inte kräver samtycke, eftersom eventuella personuppgifter kan anonymiseras. Som lagstiftningen (LEK) ser ut gör den dock inte skillnad på om uppgifterna som inhämtas utgör personuppgifter eller inte, vilket innebär att ett samtycke till anonyma statistikcookies blir nödvändigt även om inga personuppgifter behandlas.

Kamera som sitter fast på en husvägg

Framtiden för cookies

Just nu pratas det väldigt mycket om tredjepartscookies som ofta används för att bygga användarprofiler över individers intressen och beteenden. Det har setts som ett problem ur ett integritetsperspektiv att mycket precisa kartläggningar av individer har blivit vardagsmat på internet. Google har därför annonserat att man slopar tredjepartskakor från år 2023. Däremot är det mycket troligt att annonsering och riktad marknadsföring kommer att leva vidare i andra former. För cookies som du själv och ditt företag använder kommer det också fortsättningsvis att vara viktigt att jobba på användarvänlighet och transparens i cookiebanners och policys för att uppfylla lagstiftningen och minska risken för förelägganden från tillsynsmyndigheter.

Sammanfattning:

  • Se till att få koll på vilka cookies ert företag använder och vad de gör för att se om de tjänar ett legitimt syfte och inte samlar in onödig information.
  • Om ni använder andra cookies än sådana som antingen behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, eller sådana som är nödvändiga för en funktion som användaren uttryckligen begär, måste du inhämta samtycke innan cookies placeras. Användaren måste ha möjlighet att lämna ett aktivt, frivilligt och specifikt samtycke.
  • I dessa fall måste ni även lämna tydlig och fullständig information om vilka cookies som placeras och varför. Ett råd är att se över er cookiebanner eller cookiepolicy och kontrollera att ni ger all nödvändig information. Att vara öppen och ärlig mot användarna brukar löna sig.

Vill du ha hjälp?

Om du önskar hjälp med att få din cookiebanner eller policy granskad och få konkreta råd om hur den bättre kan leva upp till lagkraven kan du vända dig till vårt team av jurister och rådgivare på Secify. Kontakta oss på https://www.secify.com/kontakt/.

Av |2023-06-21T23:07:18+02:0028 april, 2022|Artiklar, Compliance, GDPR|Kommentarer inaktiverade för Har ni full kontroll över era cookies?

Om författaren:

Cecilia Margenberg
Cecilia är utbildad jurist och arbetar som dataskyddskonsult på Secify. Genom hennes tidigare jobb på post och telestyrelsen (PTS) har hon blivit en riktig fena på cookies.
Till toppen