Webbkakor, kakfiler, flash cookies, pixels, web beacons eller kort och gott kakor eller cookies. Nästan alla webbsidor använder sig av dem. Samtidigt är lagstiftningen om cookies komplicerad, utvecklingen går snabbt och missuppfattningar kring vad som egentligen gäller vid användning av cookies är därför vanliga. I oktober 2019 slog EU-domstolen fast att cookies kräver ett ”aktivt” samtycke från användaren. Detta i kombination med den ökade uppmärksamhet som cookies har fått av flera europeiska tillsynsmyndigheter under det senaste året, innebär att det är hög tid för webbplatsinnehavare att se över användningen av cookies på sina webbplatser. I den här artikeln reder vi ut när och hur man behöver inhämta samtycke för cookies och vilka risker som finns om man skulle bli tagen på bar gärning med handen i kakburken.
Sammanfattning
- Vid användning av cookies som inte är absolut nödvändiga för webbplatsens funktion krävs ett aktivt samtycke från användarna innan cookies placeras. För-i-kryssade rutor, webbläsarinställningar eller passivt surfande på en webbsida efter att en cookiebanner visats utgör inte ett giltigt samtycke.
- Vid användning av cookies ska fullständig information ges till användarna om vilka cookies som används och varför, lagringsperioden, vilka mottagare uppgifterna lämnas ut till och information om hur användaren kan återkalla sitt samtycke.
- Den som inte inhämtar ett aktivt samtycke för icke-nödvändiga cookies riskerar vitesföreläggande eller böter enligt cookielagstiftningen. Därutöver, i den utsträckning cookies används som samlar in unika identifikatorer så som IP-adress eller ”User-ID”, kan även sanktionsavgifter enligt gällande dataskyddslagstiftning bli aktuella.
- Den svenska tillsynsmyndigheten för cookies, Post- och Telestyrelsen (PTS), har ännu inte varit särskilt aktiv i sin tillsyn eller utfärdat någon generell vägledning avseende cookies. Den allmänna trenden bland tillsynsmyndigheter i EU är dock att användningen av cookies får allt större uppmärksamhet.
Cookies – små och naggande goda?
Cookies är små filer som kan placeras av en webbsida på en användares dator, telefon eller surfplatta. Många cookies som webbplatser använder är nödvändiga för att möjliggöra olika funktioner på webbplatsen, t.ex. för att memorera inloggningsuppgifter på begäran av en användare eller för att kundens varukorg inte ska försvinna när kunden klickar runt på webbplatsen – s.k. funktionella cookies. Andra cookies, s.k. analytiska cookies, kan ge en webbplatsinnehavare tillgång till värdefull statistik om hur webbplatsen används. Många webbplatser låter även tredje parter, som t.ex. Google och Facebook, använda webbplatsen för att placera cookies i syfte att kunna spåra hur användare rör sig mellan olika webbplatser, s.k. tredjepartscookies. Med hjälp av sådana cookies kan webbplatsinnehavare rikta kundanpassad marknadsföring till sina användare på andra webbsidor som användaren besöker, t.ex. Facebook.
Den rättsliga regleringen av cookies
Den nuvarande cookie-lagstiftningen i EU bygger på det s.k. ePrivacy direktivet (2002/58/EG). I Sverige har direktivet implementerats genom lagen om elektronisk kommunikation (2003:389) (”LEK”). Enligt LEK ska alla som besöker en webbplats:
1. få information om vilka cookies som används och varför; och
2. lämna sitt samtycke till användningen av cookies.
Utöver LEK gäller även bestämmelserna i EU:s allmänna dataskyddsförordning (GDPR) i förhållande till användning av cookies som utgör en behandling av personuppgifter. Avgörande för GDPR:s tillämpning är om den aktuella cookien kan kopplas samman med information som kan identifiera en enskild individ, t.ex. genom att samla in information om unika identifikatorer som IP adress eller "User-ID". För sådana cookies gäller, i tillägg till kraven på information och samtycke enligt LEK, även bestämmelserna i GDPR, t.ex. avseende laglighet, transparens och registrerades rättigheter.
Hur cookielagstiftningen ska tillämpas i praktiken är något som det har rått delade meningar om alltsedan LEK trädde ikraft och är fortfarande till viss del föremål för debatt. Den svenska tillsynsmyndigheten för cookies, Post- och Telestyrelsen (PTS) har ännu inte utfärdat någon allmän vägledning för användning av cookies.[1] I avvaktan på klargörande vägledning från PTS kan dock uttalanden från andra europeiska tillsynsmyndigheter tjäna som vägledning.
När behövs samtycke för användning av cookies?
Som huvudregel krävs en användares samtycke för att cookies ska få placeras på en användarens dator, mobiltelefon eller surfplatta. Det finns dock flera undantag. Cookies som är absolut nödvändiga för webbplatsens funktion kräver inte samtycke. Sådana cookies som kommer ihåg inloggningsuppgifter på begäran av en användare eller vilka varor en användare lagt i sin kundkorg kan alltså placeras direkt utan samtycke. Samtycke behöver heller inte inhämtas för cookies som är absolut nödvändiga för att uppfylla krav på säkerhet enligt gällande dataskyddslagstiftning.
PTS har inte uttalat sig om huruvida samtycke krävs för analytiska cookies som uteslutande används för statistikändamål, t.ex. Google Analytics. Det kan dock noteras att det råder delade meningar kring om samtycke krävs för sådana cookies bland andra europeiska tillsynsmyndigheter. Storbritanniens, Belgiens och Spaniens tillsynsmyndigheter har å ena sidan uttalat att samtycke krävs undantagslöst för analytiska cookies.[2] Frankrikes och Nederländernas tillsynsmyndigheter anser å andra sidan att analytiska cookies som inte innebär behandling av personuppgifter och som inte delas med en tredje part kan användas utan samtycke.[3] Det tycks i vart fall råda konsensus kring att samtycke krävs för analytiska cookies som innebär behandling av personuppgifter – t.ex. cookies som samlar in användares IP-adresser eller unika identifikatorer som ”User-ID”.
Hur ska samtycke inhämtas?
De flesta webbplatsinnehavare inhämtar samtycke för cookies genom s.k. cookiebanners. Utformningen av dessa skiljer sig väldigt mycket åt mellan olika webbplatser. Medan vissa cookiebanners kort konstaterar att cookies används på webbplatsen, är andra cookiebanners betydligt mer omfattande. Anledningen till de stora variationerna är att det länge har rått delade uppfattningar om vilka krav som ställs på ett giltigt cookiesamtycke enligt ePrivacy direktivet och LEK. I oktober 2019 slog dock EU-domstolen fast att samtycke för användning av cookies ska uppfylla kraven på samtycke enligt GDPR (se EU-domstolens dom i mål C‑673/17 ”Planet49”). I praktiken innebär detta att webbplatsinnehavare ska uppfylla följande krav vid inhämtning av samtycke för cookies.
- Inhämta ett aktivt samtycke före cookies placeras
Ett aktivt samtycke kräver en aktiv handling från användaren, exempelvis att användaren aktivt kryssar i en ruta för att godkänna cookies. Det är alltså inte tillräckligt med ett s.k. passivt samtycke, alltså att användaren anses ha godkänt användningen av cookies genom att surfa vidare på webbplatsen efter att en cookiebanner visats eller att cookies godtas i webbläsarinställningarna. Inte heller uppfyller för-i-kryssade rutor kraven på ett giltigt samtycke. Ett samtycke till cookies ska inhämtas före några icke-nödvändiga cookies placeras på användarens dator eller mobila enhet.
- Säkerställ att samtycket är informerat och specifikt
För att ett giltigt samtycke för cookies ska föreligga krävs först och främst att samtycket är specifikt och lättillgängligt. Dels innebär detta att ett samtycke ska vara tydligt avskilt från annan information, t.ex. allmänna villkor, dels att samtycket tydligt ska specificera det eller de ändamål som cookies används för och möjliggöra för användaren att samtycka till ett eller flera av dessa. För att ett giltigt samtycke ska föreligga krävs också att användaren fått tillgång till tydlig och fullständig information, om vilka cookies som används och varför, lagringsperioden, mottagare av uppgifterna och hur användaren kan återkalla sitt samtycke till cookies.[4] I samband med att information lämnas om vilka cookies som används rekommenderar vi att information lämnas om de tekniska namnen på aktuella cookies. Detta medför ökad transparens för användaren och möjliggör för denne att enkelt hantera olika cookies i sin webbläsare.
Ett lämpligt sätt att uppfylla kraven på att samtycke ska vara både specifikt och lättillgängligt samtidigt som det ska innehålla fullständig information är att bygga sin samtyckesmekanism i olika lager.[5] Ett sätt att göra detta i förhållande till cookies är att ge kortfattad information i en cookiebanner som länkar till mer utförlig information i en cookie-policy.
- Säkerställ att samtycket är frivilligt
Samtycket ska vara frivilligt, vilket innebär att användaren ska ha ett reellt val att inte samtycka till icke-nödvändiga cookies. Frågan om frivillighet har kommit upp på agendan hos olika tillsynsmyndigheter i EU i förhållande till s.k. cookieväggar, som kräver att en användare accepterar cookies innan användaren får tillgång till innehållet på en webbplats. Flera tillsynsmyndigheter har ifrågasatt om sådana cookieväggar är förenliga med kravet på att ett samtycke ska vara frivilligt. Storbritanniens tillsynsmyndighet (ICO) har uttalat att det generellt inte är tillåtet att göra generell tillgång till en webbsida beroende av användarens samtycke till cookies. Däremot kan det under vissa omständigheter vara okej att använda sig av cookieväggar i förhållande till specifikt innehåll på en webbplats.[6] Även Österrikes tillsynsmyndighet har bedömt att cookieväggar kan vara tillåtna under vissa omständigheter.[7] Nederländernas tillsynsmyndighet har å andra sidan uttryckt att cookieväggar inte är förenligt med kravet på att samtycke ska vara frivilligt.[8] Om man funderar på att använda en cookievägg bör man således fundera över om det är nödvändigt och i så fall kunna motivera detta i det enskilda fallet. Frågan om cookieväggars vara eller icke-vara är för övrigt en av de frågor som debatteras i EU med anledning av arbetet med att harmonisera cookieslagstiftningen i EU genom en ny ePrivacy förordning (se nedan).
- Säkerställ att samtycket kan återkallas
Ett samtycke till cookies ska kunna återkallas lika lätt som det gavs. Det är därför viktigt att säkerställa att det finns en mekanism som tillåter användare att dra tillbaka sitt samtycke för cookies och att användare informeras om hur de kan göra detta.
Konsekvenser av att bli ertappad med handen i kakburken
För många webbplatsinnehavare finns det ett motstånd mot att införa en aktiv samtyckesmekanism för cookies eftersom det dels kan försämra användarupplevelsen, dels kan innebära att användare väljer att inte samtycka till cookies – vilket innebär minskad tillgång till användardata. Detta måste dock vägas mot de risker som finns med att inte följa gällande lagstiftning.
För överträdelser av cookielagstiftningen kan PTS utfärda vitesförelägganden och böter. Även om PTS än så länge inte har varit särskilt aktiv i sin tillsyn av cookies är det värt att notera att cookies har fått ökad uppmärksamhet bland flera europeiska tillsynsmyndigheter det senaste året. Under 2019 har flera tillsynsmyndigheter i EU utfärdat vägledningar, inlett undersökningar och utfärdat sanktionsavgifter i förhållande till webbplatsers användning av cookies. Bland annat utfärdade den belgiska tillsynsmyndigheten en sanktionsavgift på 15 000 EUR till en webbplatsinnehavare i december 2019. Anledningen var att webbplatsen, som hade cirka 35 000 unika besökare per månad, inte hade inhämtat aktivt samtycke från användarna för vissa cookies, bland annat analytiska cookies, och att informationen om cookies på webbsidan var bristfällig.[9]
I tillägg till eventuella vitesförelägganden och böter enligt LEK bör man som webbplatsinnehavare även beakta sanktionsavgifterna enligt GDPR som kan bli aktuella i den utsträckning som användningen av cookies även innebär personuppgiftsbehandling. Sanktionsavgifter enligt GDPR kan uppgå till 4 procent av ett bolags globala årsomsättning eller 20 miljoner EUR. För webbplatsinnehavare som använder cookies som kan identifiera en enskild användare, t.ex. genom att samla in uppgift om IP-adress eller unika användar-ID:s (t.ex. ”User-ID” i Google Analytics), är det därför av stor vikt att säkerställa efterlevnad av både bestämmelserna i LEK och GDPR.
Framtiden: harmonisering av cookie-regleringen i EU
I januari 2017 presenterade EU-kommissionen ett förslag till en ny förordning om respekt for privatlivet och skydd av personuppgifter i elektronisk kommunikation, den s.k. ePrivacy förordningen. Den nya ePrivacy förordningen är tänkt att ersätta det nu gällande ePrivacy direktivet och harmonisera bland annat reglerna för cookies i EU. Ursprungligen var tanken att den nya ePrivacy förordningen skulle antas samtidigt som GDPR, dvs. den 25 maj 2018. Förhandlingarna har dock dragit ut på tiden och det är ännu oklart när den nya ePrivacy förordningen kan komma att antas. Högintressanta frågor som den kommande ePrivacy förordningen förhoppningsvis bringar klarhet i är bland annat:
- huruvida analytiska cookies som används för statistikändamål och som inte delas med en tredje part kan undantas från samtyckeskravet;
- tillåtligheten av cookieväggar; och
- om tekniska lösningar kan möjliggöra för användare att uttrycka ett giltigt samtycke till cookies på andra sätt än genom cookie-banners, t.ex. diskuteras under vilka förutsättningar användare ska kunna lämna ett giltigt samtycke till användningen av olika typer av cookies direkt i webbläsaren.
Utformningen av den nya ePrivacy förordningen kommer i allra högsta grad påverka den framtida användningen av cookies i EU. Vi på Lindahl följer utvecklingen med stor spänning och publicerar löpande uppdateringar i ämnet. Häng med för att vara säkra på att ni kan avnjuta era cookies utan dåligt samvete!
[1] PTS har tidigare utfärdat en vägledning om bland annat inhämtande av samtycke till cookies (Kaklagen i Praktiken), men efter kritik från Datainspektionen (som menade att PTS nått felaktiga slutsatser) drog PTS tillbaka vägledningen. Enligt PTS övervager man om PTS ska ta fram nya och uppdaterade riktlinjer. Se vidare: https://pts.se/sv/bloggen/pts-bloggen/sortera-dina-kakor-ratt/.
[2] https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-we-comply-with-the-cookie-rules/#comply19, https://www.autoriteprotectiondonnees.be/faq-themas/cookies och https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf.
[3]https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/138._handleiding_privacyvriendelijk_instellen_google_analytics_aug_2018.pdf och https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337.
[4] Se EU-domstolens dom i mål C‑673/17 ”Planet49”.
[5] Artikel 29-gruppen (numera European Data Protection Board), "Guidelines on consent under Regulation 2016/679", 10 april 2018.
[6] https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/how-do-we-comply-with-the-cookie-rules/#comply19.
[7] https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2019/01/DSBT_20181130_DSB_D122_931_0003_DSB_2018_00.pdf
[8] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#publications.
[9] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG_12-2019_NL.pdf.