Nyheter 29 september 2023

Cookies & samtycken - en snabb guide i 5 steg

På senare tid har det inte undgått många att webbplatser genom olika pop-up-rutor begär samtycken av dess besökare för användning av cookies, men är dessa samtycken giltiga?

Post- och telestyrelsen (PTS), ansvarig tillsynsmyndighet för cookiesefterlevnad, beslutade efter en längre tids tystnad hösten 2022 att inleda tillsyn över fyra webbplatsinnehavare och i somras meddelade myndigheten att man misstänkte att det fanns brister i samtyckeshanteringen.[1] I Europa har tillsynsmyndigheterna kommit längre och dömt ut sanktionsavgifter.[2] Den Europeiska Dataskyddsstyrelsen (EDPB) har även publicerat en rapport på området om giltiga samtycken.[3]

Det kan därför vara god tid att se över just er hantering av cookies och samtycken. Nedan ger vi en snabb guide i fem steg. Men först:

Vad är cookies?

Cookies, också kallade kakor eller webbkakor, är små datafiler som används för att lagra eller få tillgång till information, som bland annat finns i en användares dator eller mobil, om användningen och aktiviteten på en webbplats.

Enligt 9 kap 28 § i lagen om elektronisk kommunikation (LEK), även kallad kaklagen, får cookies (och andra tekniker) lagras eller hämtas om användare får information om ändamålet och samtycker till hanteringen. Samtycke behövs inte för cookies som är nödvändiga för att en önskad tjänst ska kunna användas.

Informationen om cookies ska vara tydlig och fullständig samt användarvänlig så att användaren kan förutse konsekvenserna av att den lämnar ett samtycke. Informationen ska innehålla följande:

  • Vem som lagrar eller hämtar cookies
  • För vilka ändamål det sker
  • Hur länge cookies lagras
  • Om cookies delas med en annan part

Oftast ges information i olika lager som kan bestå av en cookiebanner som översiktligt informerar och inhämtar samtycke och en cookiepolicy som anger mer detaljerat kring användningen.

Hur inhämtar man då giltigt samtycke för cookies?

För att ett samtycke ska vara giltigt måste det ges frivilligt och följa regleringen i EU:s allmänna dataskyddsförordning (GDPR). Användaren ska ges en verklig möjlighet och kontroll att välja fritt. Nedan sammanfattas samtyckesinhämtningen i fem steg.

1. Samtycket ska inhämtas innan placering av cookies

Man måste fråga innan man placerar cookies.

Det ska inte vara svårare eller kräva flera knapptryck för användare att neka cookies än att samtycka till cookies. Glöm inte att färger, storlekar och kontraster på knappar framhäver alternativ och kan få vägledande effekt på användarens val.

2. Samtycket ska ges aktivt

Användaren måste säga ”ja” till cookies eller ”godkänna” dem. Det är inte tillräckligt att användaren bekräftar att den ”förstår”.

Notera att samtycket inte heller får bestå av en förkryssad ruta och kan inte lämnas genom att en användare är passiv eller klickar ner rutan för att komma vidare.

3. Samtycket ska vara specifikt för varje ändamål

Används cookies för flera ändamål, såsom statistik och marknadsföring, ska användare ges information om samtliga ändamål. Användaren ska även ges möjlighet att ta ställning till varje specifikt ändamål.

4. Samtycket ska inte vara villkorat

Samtycket anses inte frivilligt om tillgången till en tjänst eller funktion är villkorad av att användaren godkänner cookies som inte är nödvändiga för just den tjänsten eller funktionen.

Hela webbsidan får inte heller blockeras innan samtycke ges, vilket ibland kan ske genom en så kallad cookievägg som begränsar tillgång till tjänster och funktioner om inte samtycke ges.

5. Samtycket ska kunna återkallas när som helst

Information om användares rätt till återkallelse av samtycke ska ges samtidigt som samtycket inhämtas och ett återkallande får inte leda till nackdelar för användaren, till exempel att man inte kan använda en webbsida.

Glöm inte att det ska vara lika lätt för en användare att återkalla ett samtycke som att lämna ett samtycke.

 

Wistrand Advokatbyrå bistår kontinuerligt vid frågor relaterade till integritet och dataskydd. Om du har några frågor eller vill veta mer om cookies, information och samtycke är du varmt välkommen att kontakta oss.

 

[1] Se PTS i ärendenummer 22-11374, 22-11376, 22-11377 och 22-11378. Beslut är att vänta de kommande månaderna.

[2] Se bland annat den franska tillsynsmyndighetens beslut mot Google och TikTok – Commission Nationale de l’Informatique et des Libertés (CNIL) i ärendenummer SAN-2021-023 respektive SAN-2022-027.

[3] Se vår tidigare artikel https://www.wistrand.se/edpb-publicerar-rapport-om-utformningen-av-cookie-banners/.