Post- och telestyrelsens (”PTS”) har genomfört en tillsyn gällande användning av just cookies som avslutades under hösten 2023. Vi redogör här för vad som är viktigt att ta med sig från PTS slutsatser och vad som är viktigt att tänka på vid användning av cookies. I ett annat blogginlägg har vi gått igenom vad cookies är och vad som är viktigt att tänka på när man upprättar en cookiepolicy.
PTS tillsyn över cookie-användning
Post- och telestyrelsen (PTS) inledde i oktober 2022 tillsyn mot fyra organisationer (Swedbank, Folkhälsomyndigheten, Tele2 och Konsumentverket) gällande deras användning av cookies. Syftet var att göra en stickprovskontroll avseende efterlevnaden av cookie-reglerna (9 kap. 28 § lagom om elektronisk kommunikation (LEK)). Bestämmelsen handlar om hur uppgifter får lagras i eller hämtas från en användares elektroniska enhet.
I juni 2023 meddelade PTS att myndigheten misstänkte att alla fyra organisationer brast i regelefterlevnaden. Den misstänkta bristen var att organisationerna inte inhämtade giltiga samtycken till behandling av uppgifter genom användning av icke-nödvändiga cookies. PTS meddelade också vilka åtgärder respektive organisation behövde vidta för att leva upp till kraven. Samtliga organisationer rättade sig efter de föreslagna åtgärderna. PTS beslutade därför i slutet av oktober 2023 att avsluta tillsynen för alla fyra organisationer.
Vad ska vi ta med oss från besluten?
PTS har uttalat att de förväntar sig att webbplatsinnehavare ser över sin hantering av cookies utifrån PTS vägledande avgöranden. Myndigheten kommer att fortsätta att följa frågan. Det är därför viktigt att kunna ta till sig vad PTS kritik mot de granskade webbplatserna innebär, så att ni kan se över er egen cookie-användning och undvika eventuella sanktioner.
Samtliga brister rörde kraven på ett giltigt samtycke för användning av icke-nödvändiga cookies. Åtgärderna PTS föreslog handlar om hur så kallade ”cookie-banners” ska utformas. Åtgärderna kan sammanfattas med att:
- Det ska vara möjligt för användare att neka till icke-nödvändiga cookies på ett lika enkelt sätt som att samtycka. Möjligheten att neka/avböja ska ges vid samma tillfälle och i samma vy som möjligheten att samtycka. Det är därför inte tillåtet att använda exempelvis färger och kontraster på ett sätt som framhäver möjligheten att lämna samtycke framför möjligheten att neka samtycke.
- Det ska framgå av cookie-bannern vilka ändamål icke-nödvändiga cookies har. Informationen ska ange vilka kategorier som kakorna har delats in i på webbplatsen, exempelvis ”Inställningar”, ”Statistik” och ”Marknadsföring”.
- Cookie-bannern ska innehålla tydlig information om användarens rätt att när som helst återkalla sitt samtycke till icke-nödvändiga cookies. Informationen ska lämnas i samband med att samtycke inhämtas och i samma vy.
- Det ska vara lika enkelt för användare att återkalla sitt samtycke till icke-nödvändiga cookies som det var att ge samtycket.
Cookies träffas också av GDPR
Användning av cookies omfattar i regel behandling av personuppgifter, vilket betyder att GDPR är tillämplig. Tillsyn över cookie-användning kan därför göras även av Integritetsskyddsmyndigheten (IMY), exempelvis utifrån GDPR:s krav på samtycke och information till de registrerade. Vid brister har IMY behörighet att påföra sanktionsavgifter.
En viktig del i att insamla giltiga samtycken är att informera användare om vilka cookies ni vill använda och varför. En cookie-policy är ett utmärkt sätt att göra detta. Läs mer om hur en cookie-policy ska se ut i vårt tidigare blogginlägg!
Missa inte inspelningen från vårt webinarium om vad alla hemsideägare behöver ha koll på gällande cookies. Titta på det här.
Vad ska vi som hemsidesägare göra?
Mycket kortfattat är det viktigt att ha koll på huvudsakligen 3 saker, om ni använder cookies:
- Var uppdaterad och ha kännedom om vilka cookies ni använder och dess syfte
- Använd en cookie-hanterare för att inhämta giltiga samtycken (läs mer längre ner)
- Informera om era cookies i en cookie policy (läs mer i detta blogginlägg)
Några särskilda saker att tänka på vid användning av cookie-hanterare (även kallat “cookie manager” eller “cookie-banderoll”)
Inhämta samtycke först. För att säkerställa att cookies först placeras efter att ni inhämtat giltiga samtycken behöver det finnas en funktion på hemsidan som informerar besökaren om att ni önskar använda cookies och att besökaren har möjlighet att samtycka eller avböja hanteringen (“ja eller nej”). Det får inte placeras cookies, med undantag för strikt nödvändiga cookies (som krävs för att en tjänst ska fungera), innan besökaren lämnat sitt samtycke.
Kategorisera cookies. Det är lämpligt att ni kategoriserar cookies utifrån dess ändamål – då individer har rätt att få ta del av de olika ändamålen, samt möjlighet att samtycka till en kategori av cookies (ett ändamål) men avböja resterande. Exempel på sådana kategorier är funktionscookies och analyscookies.
Funktion för att ta tillbaka samtycke. Det är väsentligt att besökaren har möjlighet att återkalla sitt samtycke, för att det ska utgöra ett giltigt samtycke. Funktionen för att samla in samtycke behöver således ha stöd för att besökaren ska kunna ta tillbaka sitt samtycke och att cookien raderas från dennes enhet.
Inte använda en “cookie-wall”. Sista aspekten att tänka på vid val av cookie-hanterare är att den cookie-banner (informationsruta) som visas på hemsidan inte ska blockera besökaren från att besöka hemsidan utan att de gör ett aktivt val. Det ska inte vara en pop-up som besökaren måste klicka ner för att fortsätta. En cookie wall utgör inte ett frivilligt samtycke. Läs mer på s. 12 EDPB:s vägledning 05/2020 om Samtycke i GDPR Hero’s dokumentdatabas.
Några av de frågor som PTS ställt till tillsynsobjekten
- När, hur och vilken information lämnas om vilka kakor som används på webbplatsen?
- När, hur och vilken information lämnas om huruvida de kakor som används på webbplatsen är förstapartskakor eller tredjepartskakor
- När, hur och vilken information lämnas om huruvida uppgifter, som hämtats från en användares terminalutrustning genom användning av kakor på webbplatsen, delas med tredjepart?
- När, hur och vilken information lämnas om giltighetstiden för de kakor som används på webbplatsen, dvs. den tid som kakorna ligger kvar på en användares terminalutrustning?
- För vilka ändamål behandlas de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom de kakor som används på webbplatsen? I ert svar ska samtliga ändamål framgå.
- När och hur inhämtas samtycke till samtliga ändamål med behandlingen för de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom användning av icke-nödvändiga kakor på webbplatsen?
- När, hur och vilken information lämnas om möjligheten att återkalla samtycke?
***
Som ni förstår är det mycket information som man behöver ha koll på. Första steget är att identifiera vilka cookies ni använder och se till att ni inhämtar giltiga samtycken samt informerar om er hantering. Kontakta oss om ni önskar hjälp!