Tillbaka till bloggens startsida

Vad ska man tänka på vid användning av cookies?

09 november 2022

Post- och telestyrelsen (”PTS”) inledde 7 oktober 2022 tillsyn mot fyra organisationer (Swedbank, Folkhälsomyndigheten, Tele2 och Konsumentverket) gällande deras användning av cookies. PTS har begärt in omfattande information från tillsynsobjekten och med anledning av det vill vi redogöra för vad som är bra att tänka på vid användning av cookies.

Till att börja med kan det vara på sin plats att kort beskriva vad cookies är och vilken lagstiftning som reglerar detta område.

Cookies och GDPR

Cookies regleras i 9 kap. 28§ lag (2022:482) om elektronisk kommunikation (”LEK”) samt, i det fall hanteringen av cookies innefattar behandling av personuppgifter, dataskyddsförordningen (“GDPR”).

Enligt LEK och GDPR krävs det att ni inhämtar samtycke från hemsidesbesökaren innan (icke-nödvändiga) cookies placeras. För att ett samtycke ska vara giltigt krävs bl.a. att ni informerar om ändamålet med behandlingen av cookies. Läs mer om kraven på giltigt samtycke i vårt blogginlägg här.

Vad är en cookie?

Cookies har blivit ett samlingsbegrepp för att beskriva teknik som läser av information från en användares terminalutrustning (dator, surfplatta, mobil eller annan enhet) eller lämnar information på en sådan enhet.

Ofta begränsas beskrivningen av ”cookies” till en av dessa tekniker, den vanligaste, där en webbserver (hemsida eller app) sparar ner en textfil till besökarens enhet som sedan kan kommunicera med webservern. Detta gör det möjligt för webbplatsen eller appen att känna igen en enhet och lagra viss information om inställningar eller tidigare aktiviteter, vilket sedan används på flera olika sätt (för olika ändamål).

Det är dock viktigt att komma ihåg att utvecklingen går framåt och att användare idag kan spåras genom en mängd olika tekniker (som t.ex. genom så kallad ”fingerprinting”, där information om allt ifrån operativsystem till inställningar gör det möjligt att följa en användare över flera sessioner eller enheter), som alltså alla faller under samma lagstiftning som traditionella cookies. Det är inte alltid användaren, eller ni, är medveten om exakt hur cookies spårar användaren – men det är viktigt att skaffa sig den kunskapen för att kunna uppfylla lagkraven.

Det finns två olika sorters cookies – permanenta cookies och sessionscookies. En permanent cookie finns kvar på din enhet fram tills att dess förbestämda utgångsdatum har passerat. En sessionscookie lagras tillfälligt på din enhet under ditt besök på vår webbplats och kommer upphöra att gälla när du stänger din webbläsare.

Vidare kan en cookie vara en så kallas “förstapartscookie” eller en “tredjepartscookie” och det refererar till den webbserver eller domän som sätter cookien. Förstapartscookies sätts direkt av er webbplats. Tredjepartscookie sätts av en annan domän än er egen.

Vad ska man göra?

Mycket kortfattat är det viktigt att ha koll på huvudsakligen tre saker, om ni använder cookies:

  • Var uppdaterad och ha kännedom om vilka cookies ni använder och dess syfte
  • Använd en cookie-hanterare för att inhämta giltiga samtycken (läs mer längre ner)
  • Informera om era cookies i en cookie policy (kommer mer info i nästa blogginlägg)

Några särskilda saker att tänka på vid användning av cookie-hanterare (även kallat “cookie manager” eller “cookie-banderoll”)

Inhämta samtycke först. För att säkerställa att cookies först placeras efter att ni inhämtat giltiga samtycken behöver det finnas en funktion på hemsidan som informerar besökaren om att ni önskar använda cookies och att besökaren har möjlighet att samtycka eller avböja hanteringen (“ja eller nej”). Det får inte placeras cookies, med undantag för strikt nödvändiga cookies (som krävs för att en tjänst ska fungera), innan besökaren lämnat sitt samtycke.

Kategorisera cookies. Det är lämpligt att ni kategoriserar cookies utifrån dess ändamål – då individer har rätt att få ta del av de olika ändamålen, samt möjlighet att samtycka till en kategori av cookies (ett ändamål) men avböja resterande. Exempel på sådana kategorier är funktionscookies och analyscookies.

Funktion för att ta tillbaka samtycke. Det är väsentligt att besökaren har möjlighet att återkalla sitt samtycke, för att det ska utgöra ett giltigt samtycke. Funktionen för att samla in samtycke behöver således ha stöd för att besökaren ska kunna ta tillbaka sitt samtycke och att cookien raderas från dennes enhet.

Inte använda en “cookie-wall”. Sista aspekten att tänka på vid val av cookie-hanterare är att den cookie-banner (informationsruta) som visas på hemsidan inte ska blockera besökaren från att besöka hemsidan utan att de gör ett aktivt val. Det ska inte vara en pop-up som besökaren måste klicka ner för att fortsätta. En cookie wall utgör inte ett frivilligt samtycke. Läs mer på s. 12 EDPB:s vägledning 05/2020 om Samtycke i GDPR Hero’s dokumentdatabas.

De frågor som PTS ställt till tillsynsobjekten är följande:

Information som lämnas om vilka kakor som används

1. När, hur och vilken information lämnas om vilka kakor som används på webbplatsen?

Information som lämnas om huruvida kakor är förstapartskakor eller tredjepartskakor

2. När, hur och vilken information lämnas om huruvida de kakor som används på webbplatsen är förstapartskakor eller tredjepartskakor?

Information som lämnas om delning av uppgifter och till vilka

3.
a) När, hur och vilken information lämnas om huruvida uppgifter, som hämtats från en användares terminalutrustning genom användning av kakor på webbplatsen, delas med tredjepart?

b) Om uppgifter delas med tredjepart, lämnas information om vilka tredjeparter uppgifterna delas med? Om ja, när och hur lämnas denna information?

Information som lämnas om kakors giltighetstid

4. När, hur och vilken information lämnas om giltighetstiden för de kakor som används på webbplatsen, dvs. den tid som kakorna ligger kvar på en användares terminalutrustning?

Information som lämnas om huruvida kakor är nödvändiga eller icke-nödvändiga samt bedömningen av detta

5.
a) När, hur och vilken information lämnas om huruvida de kakor som används på webbplatsen är nödvändiga eller icke-nödvändiga3?

b) Vilka bedömningskriterier tillämpar [ni] för att avgöra om de kakor som används på webbplatsen är nödvändiga eller icke-nödvändiga?

Ge exempel på både kakor som ni bedömt är nödvändiga och kakor som ni bedömt är icke-nödvändiga. Förklara även varför ni har gjort denna bedömning.

Information som lämnas om ändamålen med behandlingen

6.
a) För vilka ändamål behandlas de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom de kakor som används på webbplatsen? I ert svar ska samtliga ändamål framgå.

b) När, hur och vilken information lämnas om ändamålen med behandlingen för de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom användning av icke-nödvändiga kakor?

c) Lämnas information om ändamålen med behandlingen för de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom användning av nödvändiga kakor? Om ja, när och hur lämnas denna information?

Inhämtande av samtycke

7.
a) När och hur inhämtas samtycke till samtliga ändamål med behandlingen för de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom användning av icke-nödvändiga kakor på webbplatsen?

b) Inhämtas samtycke även till ändamålen med behandlingen för de uppgifter som lagras i eller hämtas från en användares terminalutrustning genom användning av nödvändiga kakor på webbplatsen? Om ja, när och hur inhämtas samtycke?

Återkallande av samtycke

8.
a) När, hur och vilken information lämnas om möjligheten att återkalla samtycke?

b) Hur ska en användare av webbplatsen gå tillväga för att återkalla ett lämnat samtycke?

Radering av kakor

9. Raderas redan placerade kakor om ett samtycke återkallas? Om ja, när raderas kakorna? I ert svar ska det framgå om kakorna exempelvis raderas omedelbart eller efter en viss tid.

Som du förstår är det mycket information som man behöver ha koll på, men viktigt att börja med att identifiera vilka cookies ni använder och se till att ni inhämtar giltiga samtycken samt informerar om er hantering.

 

Nästa blogginlägg kommer beröra hur man upprättar en cookie policy. Vill du ha notis om när det publiceras? Prenumerera på vår blogg genom att klicka här.

 

Har ni funderingar om hur ni ska informera era hemsides- eller appbesökare kring cookies? Tveka inte att kontakta oss!

Julianne Ahlesten

info@gdprhero.se

046-2731717

 

 

Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning. Kontakta oss om ni önskar rådgivning.

Andra relevanta blogginlägg

Vill du få en notis när nästa blogginlägg publiceras?