Inledning
En webbkaka, kakfil eller kaka är en liten datafil som en webbserver sparar i en webbplatsbesökares dator. Dessa benämns ofta som en cookie. Genom att cookiens innehåll skickas tillbaka med varje förfrågan till webbplatsen är det möjligt för servern att hålla reda på besökarens preferenser eller identitet (exempelvis om personen har loggat in). Syftet med cookien kan vara att användaren inte ska behöva ange språkval och andra inställningar eller logga in på nytt för varje besök, att kundens varukorg inte ska försvinna när kunden klickar runt på webbplatsen, att ge ägaren av webbplatsen bättre statistik över användarnas beteende eller att användaren ska få individualiserad reklam baserad på tidigare sökningar och beteende på webbplatsen, till exempel vid e-handel.
Nästan alla webbplatser använder sig av cookies. Dock är regelverket om cookies komplicerat, rättsutvecklingen går snabbt och missuppfattningar kring vad som egentligen gäller vid användning av cookies är därför vanliga.
Flera europeiska tillsynsmyndigheter har under de senaste åren börjat granska huruvida olika aktörer följer regelverket kring hur cookies får användas. Det är därför viktigt att förstå och följa denna reglering för att undvika kostsamma sanktioner från tillsynsmyndigheterna. I Sverige har vi två tillsynsmyndigheter för cookies, Post- och telestyrelsen, PTS, men även Integritetsskyddsmyndigheten, IMY, eftersom hantering av cookies ofta innebär en personuppgiftsbehandling.
Tillämplig lagstiftning
Regleringen av cookies bygger på det så kallade ePrivacy-direktivet (2002/58/EG). I Sverige har direktivet införlivats genom lag (2003:389) om elektronisk kommunikation (”LEK”). Reglerna om cookies finns i 6:18 LEK.
Förutom LEK gäller även bestämmelserna i GDPR då en cookie ofta kan kopplas samman med information som kan identifiera en enskild människa, till exempel genom att en cookie innehåller en IP-adress eller användaridentitet av annat slag, sålunda personuppgifter. För sådana cookies gäller GDPR med bland annat krav på att uppfylla de grundläggande principerna i artikel 5, ha en laglig grund i artikel 6 och lämna information enligt artikel 13 och 14.
När behövs samtycke för cookies och hur ska samtycket lämnas?
I många fall krävs samtycke enligt LEK för att en cookie ska få placeras i en webbplatsbesökares dator. Undantag gäller om det är nödvändigt att lagra eller hämta uppgifter för att tillhandahålla en tjänst som användaren har begärt.
EU-domstolen har slagit fast, vilket vi visserligen visste sedan tidigare, i det så kallade Planet49-målet (C-673/17) att GDPR:s krav på samtycke även gäller vid användning av cookies. Samtycket ska därmed uppfylla kraven på samtycke i 4.11 GDPR, nämligen vara ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.”
Information som ska lämnas enligt LEK och GDPR
I LEK 6:18 framkommer förutom kravet på att användaren ska lämna sitt samtycke till att cookies placeras ut på dennes dator även ett informationskrav. Den som placerar ut cookies måste lämna information till användaren kring vilka ändamål som de ska användas till.
Enligt artikel 13 och 14 i GDPR ska den personuppgiftsansvarige, här ägaren av webbplatsen som placerar cookies i besökarens dator, lämna bland annat följande information.
- Den rättsliga grunden för behandlingen, alltså samtycke.
- Hur länge cookies kommer att lagras i besökarens dator.
- Vem som kommer att ta del av eventuella personuppgifter i cookies.
- Webbplatsbesökarens rättigheter enligt GDPR, till exempel rätt till radering av cookies, rätt till registerutdrag mm.
- Om personuppgifter kommer att överföras till ett så kallat tredjeland (land utanför EU/EES).
- Att webbplatsbesökaren kan lämna in klagomål till IMY rörande hanteringen av cookies.
- Att webbplatsbesökaren kan återkalla sitt samtycke.
- Kontaktuppgifterna till den personuppgiftsansvariga, ägaren av webbplatsen, och till dess eventuella dataskyddsombud.
Sammanfattande råd
- Sammanställ de cookies som placeras på webbplatsen i ett dokument. Där bör framgå vilka övergripande typer av cookies ni placerar på hemsidan, till exempel om det är nödvändiga eller funktionella cookies alternativt sådana som används i marknadsföringssyfte eller för statistiska ändamål. För varje cookie som placeras bör det i dokumentet framgå namn, utfärdare och ändamål med denna samt om den innehåller personuppgifter och lagringstiden.
- Om ni inte vet vilka cookies som ni har placerade finns det verktyg för att hitta cookies.
- Åtgärda samtyckesrutan så att inga icke-nödvändiga cookies placeras utan att användaren har samtyckt till detta.
- Använd inte på förhand ikryssade samtyckesrutor.
- Dölj inte samtyckena i allmänna villkor.
- Utred om det går att införa en samtyckesruta så att besökaren kan neka placeringen av icke-nödvändiga cookies. Detta är ett krav enligt tillämplig lagstiftning.
- Säkerställ att ingen inloggning krävs för att kunna återkalla samtycket i någon del.
- Använd inte cookie walls som gör att webbplatsbesökaren inte kan använda er webbplats utan att först acceptera att cookies placeras på besökarens dator.
- Så fort ni har sammanställt vilka cookies som placeras kan ni påbörja arbetet med att uppdatera cookiedelen i ert integritetsmeddelande för att följa regelverket kring vilken information som måste lämnas enligt GDPR och LEK. Glöm inte att uppge om ni delar informationen från cookies med tredje parter.
Om Lexnova Analyserar
Analysen är en kortversion av expertkommentaren som finns i sin helhet här.