Cookies och spårningsteknik på webbplatser
Webinarium från 2024-05-13
Kan man i cookie-handlern samla in samtycke för en personuppgiftsbehandling? Eller ska det vara helt separat?
När ni efterfrågar samtycke till cookies ska ni informera om vilka olika ändamål ni använder cookies för, en beskrivning av dess användningsområde, vilket bör inkluderar den personuppgiftsbehandling som cookies innebär. Samtycket till personuppgiftsbehandlingen blir såldes ”inbyggt” i samtycket till cookie-användningen, och samlas också in via cookie-hanteraren.
Om en cookie lagrar eller inhämtar personuppgifter så innebär det att ni behandlar personuppgifter och behöver tänka på GDPR. Så är det vanligen, då syftet med de flesta cookies är att spåra unika besökare och därmed samlar in IP-adress eller annan identifierbar information.
Vad innebär berättigat intresse?
Berättigat intresse är en av de sex rättsliga grunder i GDPR som behövs för en laglig personuppgiftsbehandling. Berättigat intresse bygger på att ni väger er organisations intresse av att behandla personuppgifterna för ett specifikt syfte mot den registrerades intresse av rätten till privatliv (denna avvägning kallas vanligen intresseavvägning). Ni kan läsa mer om berättigat intresse här.
OBS! Som vi nämner under webinariumet är samtycke den enda möjliga grunden för att placera icke-nödvändiga cookies. Det är alltså inte tillåtet att placera cookies med stöd av berättigat intresse. Trots detta ser vi ibland att organisationer anger berättigat intresse (eller ”legitimate interest” på engelska) i sin cookie-banners för icke-nödvändiga cookies, så som marknadsföring och statistik.
Det har varit diskussion om att vissa cookies ska undantas från cookiereglerna, vet ni mer om det?
Enligt lagen om elektronisk kommunikation krävs samtycke från användaren för att lagra information på eller hämta information från dennes enhet, om det inte rör sig om nödvändiga cookies. Nödvändiga cookies omfattar endast sådant som behövs för att kunna visa hemsidan samt det som uttryckligen begärts av användaren, exempelvis cookies som möjliggör grundläggande funktioner och tjänster på webbplatsen, såsom att komma ihåg inloggningsinformation, språkinställningar och varukorgsinnehåll på e-handelsplatser. Det finns idag inget undantag för andra typer av cookies, än de som i lag benämns som nödvändiga.
Det finns tjänster som inte använder insamling av information från hemsidesbesökares enhet, utan använder sig av hänvisningsadressen som besökaren kommer ifrån innan den landar på er sida. Det omfattas inte av cookiebestämmelserna och kräver således inte samtycke.
Den diskussion som det kan röra är förslaget till ePrivacyförordningen, där de i artikel 8.1 d förslagit att följande undantag från samtycke ska gälla:
”[…] nödvändig för mätning av webbpublik, förutsatt att dessa mätningar utförs av leverantören av den informationssamhällestjänst som begärs av slutanvändaren.”
Denna formulering ger en öppning för att kunna genomföra mätningar utan samtycke från besökaren. Dock är det endast ett förslag från 2017 och sedan dess har diskussioner pågått. Det är en del av en större debatt kring balansen mellan integritetsskydd och användbarhet på internet.
Behöver man i sin cookie popup/text informera granulärt om varje enskild cookie och dess syfte? Eller räcker det att informera mer övergripande?
För ett giltigt samtycke så krävs bland annat att det ska vara specifikt. Enligt vägledning från Post- och Telestyrelsen (PTS) så ska det vara specifikt för varje ändamål (flera cookies kan användas i samma syfte). Ett samtycke skall också vara informerat (besökaren skall framförallt förstå vad uppgifterna används till och få en chans att förstå vilka konsekvenser behandlingen får för denne). Informationskravet omfattar följande uppgifter:
- Vem som placerar cookies (lagrar eller hämtar cookies),
- För vilka ändamål cookies används,
- Giltighetstiden för cookies och
- Om informationen delas med någon annan part (tredjepart).
Vi rekommenderar därför att ni i cookie-bannern (cookie pop-up) har information om vilka kategorier av cookies ni använder – uppdelade utifrån olika ändamål, så att besökaren kan samtycka till en eller flera kategorier om de önskar och få en chans att översiktligt informera sig om vilka följder de olika alternativen kan få (det skiljer ju en hel del mellan riktad marknadsföring och anonym statistik, exempelvis). Sedan är det viktigt att ni hänvisar till en mer detaljerad information, vanligen kallad cookie policy, men det går fint att kalla det ”Information om cookies” eller liknande. I den informationen ska ni inkludera förklaring till varje enskild cookie som inkluderar punkterna ovan. Det gäller att hitta en balans mellan tillräcklig information och samtidigt motverka informationsutmattning (och inte störa användarupplevelsen i onödan). Rekommendationen är alltså att skikta informationen i att alltid förstå övergripande användningsområde och konsekvenser och för det fall besökaren vill läsa mer ge dem en lättillgänglig länk till sådan information.
Här är ett exempel på hur ni kan strukturera informationen i er cookie policy:
Namn på cookie |
Vem som lagrar/hämtar cookie | Lagringstid | Beskrivning (ändamål) | Kategori | Delas information med någon tredje part? |
Consent Management | Cookiebot | 1 år | Kopplad till cookiehanterings-tjänsten. Vi spårar vilka cookies du har gett ditt samtycke till. | Funktionscookie | Ja |
PHPSESSID | Vi | Sessionscookie | För att tillhandahålla nödvändiga funktioner för att kunna navigera mellan olika sidor på webbplatsen. | Strikt nödvändig cookie | Nej |
Redo att ta ert GDPR-arbete till nästa nivå?
Fyll i formuläret, så blir du kontaktad av någon från vårt team så snart som möjligt.