Lagen kräver publicerat cookiemeddelande på webbplatser
Visste du att lagen kräver ett publicerat cookiemeddelande på webbplatser som använder cookies, oavsett vilka typer av cookies som blir använda? Många företag använder idag cookies på sina webbplatser för att förbättra användarnas upplevelse. Cookies kan även bli använda för insamling av data om besökarnas beteende eller för att presentera riktad annonsering.
Det är viktigt att företagare känner till reglerna kring användning av cookies på webbplatser och lagkraven som företag måste följa. Här kan du läsa mer vad som gäller enligt den svenska lagen om elektronisk kommunikation (LEK) och EU:s dataskyddsförordning (GDPR). Vi beskriver också hur företag bör utforma sitt cookiemeddelande för att följa lagen.
Cookies och lagen om elektronisk kommunikation
I Sverige är det lagen om elektronisk kommunikation (LEK) som reglerar användning av cookies på en webbplats. Denna svenska lag är baserad på det så kallade e-Privacy direktivet (2002/58/EG), som gäller inom EU/EES.
Enligt lagen om elektronisk kommunikation måste den aktör som äger webbplatsen informera besökaren om användningen av cookies. Bland annat genom att ge tydlig information om vilka cookies som blir använda och varför det sker. Dessutom ska det bland annat framgå information om hur en användare kan hantera cookies som blir använda på en webbplats.
Huvudregeln är att användning av cookies på webbplatsen kräver samtycke
Enligt huvudregeln får cookies enbart bli placerade på webbplatsbesökarens enhet om denne först samtycker till det. Exempel på enhet är användarens dator, mobiltelefon eller surfplatta som blir använd vid besök av webbplatsen.
Det finns dock undantag från denna huvudregel. Undantaget gäller så kallade “nödvändiga cookies”. Detta avser cookies som är absolut nödvändiga för att webbplatsen ska fungera korrekt eller för att utföra funktioner som är viktiga för besökaren. En cookie som blir placerad inom kategorin “nödvändig” får enligt lagen bli använd utan föregående samtycke.
Alla övriga cookies kräver dock alltid föregående samtycke från användaren för att få bli använda. Exempel på övriga kategorier är: Analytiska cookies, Marknadsföringscookies, Funktionella cookies m.fl.
Lagen kräver publicerat cookiemeddelande på webbplatser som använder cookies
Kom ihåg att lagen kräver ett publicerat cookiemeddelande på webbplatser som använder cookies. Detta krav gäller oavsett vilka kategorier av cookies som blir använda. Kravet gäller därför även för företag som bara använder nödvändiga cookies.
Ett företag som enbart använder nödvändiga cookies på sin webbplats behöver däremot inte installera något cookie-plugin. Detta beror på att användning av nödvändiga cookies inte kräver samtycke. Men om företaget använder flera olika kategorier av cookies, måste ett plugin bli installerat. Syftet med pluginnet är att ge användaren möjlighet att välja att samtycka eller neka användningen av specifika cookies.
Cookies och EU:s dataskyddsförordning (GDPR)
I vissa fall kan cookies bli använda för att samla in data som kan identifiera en individ. Exempelvis IP-adresser, data om beteende eller annan information som kan bli spårad till en fysiskt levande person. Vid sådana fall blir även EU:s dataskyddsförordning (GDPR) tillämplig, utöver lagen om elektronisk kommunikation (LEK).
Enligt GDPR ska företag som behandlar personuppgifter säkerställa att behandlingen är rättvis, laglig och transparent. Detta innebär att företaget måste få ett samtycke som uppfyller kraven i både GDPR och LEK för att vara giltigt.
Krav för giltigt samtycke gällande cookies
För att samtycket avseende användning av cookies ska vara giltigt enligt GDPR och LEK, måste det vara:
Informerat: Användaren måste få klar och tydlig information om vad samtycket avser. Syftet är att användaren ska kunna fatta ett informerat beslut.
Specifikt: Samtycket ska bara gälla för de specifika ändamål som framgår av informationen. Detta innebär att den information som bli insamlad genom cookies inte får bli använd för andra ändamål som inte blivit informerade.
Frivilligt: Användaren får inte bli tvingad till att acceptera cookies för att kunna använda webbplatsen. Detta innebär att användaren måste ha ett verkligt val att antingen acceptera eller neka användningen av cookies. Det är exempelvis inte tillåtet att installera en så kallad kakvägg som hindrar användaren från att scrolla eller läsa informationen på webbplatsen om denne inte accepterar cookies.
Otvetydligt: Samtycket måste vara aktivt lämnat av användaren genom en aktiv handling. Kryssrutor som är förvalda är därför inte tillåtna. Att en användare förhåller sig passiv och inte gör något val ska inte heller bli betraktat som något samtycke.
Dessutom måste användaren bli informerad om att denne när som helst har rätt att återkalla sitt lämnade samtycke. Vid sådana fall ska fortsatt behandling av användarens personuppgifter med stöd i cookies upphöra med omedelbar verkan.
Därför är det viktigt att säkerställa att det finns en funktion på webbplatsen som gör det möjligt för användaren att ändra sina cookie-inställningar för webbplatsen. Ofta sker detta genom att cookie-pluginnet har en widget som kan bli fäst i exempelvis sidfoten, för enkel samtyckeshantering.
Hur bör ett cookiemeddelande vara utformat för att uppfylla reglerna i både LEK och GDPR?
Ett cookiemeddelande bör innehålla minst följande för att uppfylla lagkraven i både GDPR och LEK:
Allmän information om och beskrivning av cookies: Allmän information om vad cookies är för något, vanliga syften med användningen och information om olika kategorier av cookies. Syftet med avsnittet är att informera användaren om vad cookies är rent generellt.
Specifik information om cookies som blir använda på webbplatsen: En översikt av samtliga cookies som blir använda på webbplatsen, med specifik information avseende varje enskild cookie. Denna information kan bli presenterad i tabell-form för smidig översikt. Bland annat ska följande information framgå: information om cookienamnet, lagringstiden, kategorin och en förklaring av cookien och varför den blir använd. Även information om någon tredje part får åtkomst till informationen som blir insamlad genom cookies.
Specifik information om lämnande och återkallande av samtycke: Användaren ska få information om huruvida denne kan återkalla sitt lämnade samtycke till användning av cookies. Exempelvis om det kan ske genom installerade cookiepluginnet respektive webbläsarens inställningar.
Information om behandling av personuppgifter: Ifall en cookie även samlar in personuppgifter som gör GDPR tillämpligt, ska användaren bli hänvisad till att läsa mer information i företagets integritetsmeddelande. Där ska användaren kunna läsa mer om behandlingen av dennes personuppgifter som blivit insamlade genom cookies.
Relevanta myndigheter: Hänvisning till relevanta myndigheter för mer information. I Sverige är det Post- och Telestyrelsen (PTS) som är tillsynsmyndigheten avseende lagen om elektronisk kommunikation. Vidare är det Integritetsskyddsmyndigheten (IMY) som är den svenska tillsynsmyndigheten avseende bland annat GDPR-relaterade ärenden.
Företagsuppgifter: Slutligen, en summering av företagets kontaktuppgifter.
Genom att följa ovan riktlinjer, kan du säkerställa att företaget följer reglerna i lagen. Nu när du känner till att lagen kräver publicerat cookiemeddelande på webbplatser som använder cookies, kan du kontrollera om cookiemeddelandet på din webbplats uppfyller kraven.
Vill du att någon granskar eller skriver ert cookiemeddelande för att säkerställa att det uppfyller lagkraven?
Digitala Juristerna kan utföra analys och granskning av er cookiemeddelande, samt hjälpa till med att skriva ett cookiemeddelande anpassat för er webbplatsen till ett fast pris. Mejla din förfrågan till: kontakt@digitalajuristerna.se.
