Webbkakor, kakfiler, flash cookies, pixels eller web beacons. Nästan alla hemsidor använder sig av dem. Samtidigt finns många missuppfattningar kring vad som egentligen gäller vid användning av cookies.
I den här snabbguiden ger vi en inblick i vad som gäller för användningen av cookies och vad man som organisation kan göra för att efterleva lagstiftningen. Snabbguiden ska inte ses som juridisk rådgivning. Den är heller inte uttömmande till sitt innehåll, utan tänkt som ett diskussionsunderlag för vidare överväganden.
LAGSTIFTNINGEN – VAD GÄLLER?
Scope. Lagstiftningen gäller inte bara cookies, utan i alla situationer där information hämtas eller lagras från en besökares enhet. Även andra tekniker såsom fingerprinting, pixlar och web beacons omfattas.
Samtycke. Vid användning av cookies som inte är absolut nödvändiga* för hemsidans funktion krävs ett aktivt samtycke från användarna innan cookies placeras. För-i-kryssade rutor, webbläsarinställningar eller passivt surfande på en hemsida efter att en cookiebanner visats utgör inte ett giltigt samtycke. Samtycke måste inhämtas för respektive ändamål med hemsidans cookies (ex. analys, statistik och marknadsföring).
Information. Vid användning av cookies ska fullständig information ges till användarna om vilka cookies som används och varför, lagringsperioden, vilka mottagare uppgifterna lämnas ut till och information om hur användaren kan återkalla sitt samtycke.
Risk. Den som inte inhämtar ett aktivt samtycke för icke-nödvändiga cookies riskerar vitesföreläggande eller böter enligt cookielagstiftningen. Därutöver, i den utsträckning cookies används som samlar in unika identifikatorer så som IP-adress eller ”User-ID”, kan även sanktionsavgifter enligt gällande dataskyddslagstiftning bli aktuella.
*Bedömningen av vad som är ”nödvändigt för hemsidans funktion” ska ske utifrån besökarens perspektiv. Cookies för att spara varor i en kundkorg kan exempelvis anses nödvändiga. Cookiesanalys av hemsidan är däremot inte nödvändiga, eftersom de inte är nödvändiga för att hemsidan ska fungera för besökaren.
VAD BEHÖVER GÖRAS?
Steg som bör vidtas för att efterleva kraven
Kartlägg. Sammanställ vilka cookies (och ”cookiesliknande tekniker” såsom s.k. pixlar) som används på hemsidan idag – vid behov med hjälp av anlitad webbyrå och verktyg som analyserar hemsidan. Se över hur samtycke för cookies inhämtas på hemsidan idag och vilken information som lämnas till besökarna.
Utvärdera. Utvärdera om befintliga lösningar och information är tillräckliga för att efterleva lagstiftningen. Senast i det här läget bör de delar av organisationen som påverkas av cookie-hanteringen involveras i arbetet.
Åtgärda. Om befintlig hantering av cookies inte uppfyller lagkraven, behöver åtgärder vidtas för att efterleva lagstiftningen.
Åtgärdsförslag
• Kategorisera era cookies utifrån några övergripande ändamålskategorier. Vanliga ändamål är exempelvis funktion, analys och marknadsföring. Används tredjepartsverktyg för att hantera samtycke kan det finnas stödverktyg för att kategorisera era cookies.
• Anpassa cookie-bannern och hemsidan så att samtycke inhämtas före cookies placeras i besökarens enhet och att samtycke inhämtas för varje identifierat ändamål (se exempel nedan). Detta kräver tekniska åtgärder – överväg en tredjepartslösning och/eller hjälp från en webbutvecklare för att implementera lösningar på hemsidan.
• Ta fram en cookie notice som bl.a. beskriver vilka cookies/tekniker som används, syftet med dem, vad de innebär för besökaren, lagringsperioden, mottagare av uppgifterna och hur användaren kan återkalla sitt samtycke till
cookies. Säkerställ att cookiebannern innehåller länk till cookie notice.
• Om cookies/verktyg från tredje part används, säkerställ att ev. krav eller villkor som ställs upp av dessa parter efterlevs (ex. från Google eller Facebook).
• Se till att någon i organisationen har ansvar för hemsidan och de verktyg som används där.
Hur utformas en korrekt cookiebanner?
Frivilligt. Det ska finnas möjlighet för besökaren att tacka nej till de cookies som inte är nödvändiga.
Otvetydig viljeyttring. Bekräftelse ska inhämtas på att besökaren samtycker genom att besökaren antingen väljer att acceptera alla cookies eller samtycker till cookies för vissa ändamål.
Specifikt. Samtycke ska inhämtas för specifika (och separata) ändamål.
Informerat. Det ska finnas en länk till cookie notice med fullständig information.
Behöver ni hjälp med att anpassa er hemsida?
Lindahl kan bland annat hjälpa till med att:
• granska er befintliga hantering av cookies på er hemsida,
• upprätta en cookie notice eller text till cookie-banner,
• stödja er i processen med att anpassa hemsidan efter lagstiftningen, och
• genomgång av villkor från tredje part och frågor rörande eventuell personuppgiftsbehandling i samband med användningen av cookies.
Du är varmt välkommen att kontakta någon av våra experter inom GDPR & dataskydd så hör vi av oss inom kort.
