Knowits cookieserie #1: Godkänna eller inte godkänna cookies
Cookies för webbspårning har under den senaste tiden blivit uppmärksammat av media och Integritetsskyddsmyndigheten (IMY). Höga sanktionsavgifter kan delas ut till företag som inte följer reglerna och samtidigt blir webbspårning allt viktigare för verksamheter. Detta blogginlägg är den första delen i en serie inlägg om cookies, där vi kommer ta upp och svara på en mängd olika frågeställningar, t.ex. hur företag ska hantera dataskyddsreglerna, vilka tekniker omfattas av cookielagen, vad samtyckeskraven innebär för digital analys och hur företag kan jobba datadrivet och samtidigt leva upp till de krav som finns? Serien består av fyra delar och i den avslutande delen kommer vi svara på era frågor. Passa på att mejla oss dina frågor redan nu till johanna.grundberg@knowit.se.
Vad är cookies?
En cookie är en liten textfil som lagras på användarens enhet när användaren besöker en webbsida. Den kan placeras hos användaren för olika ändamål, bland annat för att optimera användarupplevelsen på en webbsida eller för att ge besökare relevanta erbjudanden. Cookies för analys eller marknadsföring kan sättas hos användare genom användning av exempelvis Google Analytics. Vidare finns det liknande tekniker, t.ex. pixlar eller local storage. Dessa tekniker kommer att förklaras närmare i kommande blogginlägg. I detta inlägg benämns alla tekniker som ”cookies”.
Cookies – vad har hänt på området?
Det som skett det senaste året kan ses som en svallvåg efter Schrems II-domen.1 Domen är ett förhandsavgörande från EU-domstolen och har försvårat användandet av amerikanska molnbaserade tjänster.
-
I slutet av augusti förra året skickade intresseorganisationen None of Your Business (NoYB) in klagomål till olika tillsynsmyndigheter i Europa rörande 101 olika företags användning av analysverktyg.2
-
IMY meddelade i november förra året att de inleder tillsyn mot sex privata företag i Sverige rörande deras användning av analysverktyg Google Analytics och Facebook Connect.3
-
I slutet av februari i år publicerade Ekot en artikel där det uppmärksammades att ett 80-tal offentliga webbsidor lovar sina besökare anonymitet, men trots det skickades deras personuppgifter till Google.4
-
Två aktörer har efter Ekots granskning anmält sig själva till IMY.5
-
För mindre än två veckor sedan meddelande IMY att de inleder tillsyn mot ytterligare två privata företag.6 Företagen har anmält sig själva till IMY efter att Ekot uppmärksammat att företagen skickat integritetskänsliga personuppgifter till Facebook.7
Hur mycket kostar det att inte följa GDPR?
Om en aktör inte följer reglerna i GDPR finns det en risk att få en sanktionsavgift. Sanktionsavgiften kan som högst motsvara det större beloppet av 4% av årsomsättningen eller €20 miljoner. Det är därför få aktörer som vill riskera att bli ertappade med fingrarna i kakburken.
Vilka regler gäller för cookies?
Regler för cookies finns i lagen om elektronisk kommunikation (den s.k. cookielagen) och reglerna aktualiseras oavsett om cookien samlar in personuppgifter eller inte. För att sätta cookies hos användare krävs som huvudregel användarens samtycke. Om cookien är ”nödvändig för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren uttryckligen har begärt” behöver samtycke däremot inte inhämtas. Varje webbsideansvarig måste alltså som huvudregel inhämta samtycke innan icke nödvändiga cookies sätts i deras användares enhet. Bestämmelsen har sitt ursprung i ett direktiv från EU, vilket innebär att samtliga medlemsländer i EU har liknande regler.
I Sverige saknas vägledning om vilka cookies som är undantagna kravet på samtycke, men andra myndigheter i Europa har uttalat sig i frågan. Till exempel är en cookie som placerar varor i din varukorg att anse som en nödvändig sådan och kräver därför inte ett samtycke. Detsamma gäller cookies som används för att hålla webbsidan säker. Bland europeiska myndigheter råder tyvärr oenighet gällande om samtycke krävs vid lagring och hämtning av cookies för analysändamål, även om majoriteten av myndigheterna menar att samtycke krävs. När beslut i ovan tillsynsärenden meddelas kommer förhoppningsvis frågan att bli besvarad.
Varför måste jag godkänna cookies på varje webbsida?
Varje webbsideansvarig har ansvaret för att fråga användaren om samtycke. Samtycket kan smidigt inhämtas genom en så kallad cookiebanner eller motsvarande kontrollverktyg, där användaren ges möjlighet att lämna sitt samtycke för lagring och hämtning av cookies på användarens enhet. Däremot måste användaren inte godkänna cookies, utan det ska ske frivilligt. Reglerna syftar till att ge användaren ett reellt val.
Det finns många leverantörer som säljer cookiebanners/kontrollverktyg och här gäller det att se till att dessa konfigureras så de uppfyller kraven för ett giltigt samtycke, samt att tjänsten i övrigt uppfyller kraven i GDPR om leverantören också behandlar personuppgifter för webbsideansvariges räkning – vilket vanligtvis är fallet.
Det finns tydliga krav på hur samtycket ska vara utformat och vilken information som ska lämnas för att samtycket ska vara giltigt. Bland annat ska samtycke inhämtas innan icke nödvändiga cookies placeras i användarens enhet och användaren ska lika enkelt kunna tacka ja som nej, samt kunna ändra sina val. Det finns också krav på att användaren ska ges viss information om hur cookies används. Webbsideansvarig ska dessutom kunna bevisa att en användare har lämnat sitt samtycke. Det räcker alltså inte att göra rätt, man behöver också kunna bevisa att man gör rätt.
Vad är en personuppgift? Vad gäller om en cookie innehåller personuppgifter? Vilka tekniker, förutom cookies, omfattas av cookielagen? Det och mycket mer får ni reda på i nästa blogginlägg i vår cookieserie, som ni hittar här.
Vi som skrivit inlägget är Johanna Grundberg, dataskyddsjurist med erfarenhet att hjälpa verksamheter med sin hantering av cookies, och Carl Löjdqvist, affärsområdesansvarig för analys och SEO på Knowit Experience.
Källor
1: Mål c-311/18 som tydliggjort krav för överföring av personuppgifter till tredje länder och speciellt USA. Domen har försvårat överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet.
2: NOYB, 2021-06-28, https://noyb.eu/en/101-complaints-eu-us-transfers-filed
3: IMY, 2021-06-28, imy.se/nyheter/datainspektionen-granskar-overforing-av-personuppgifter-till-tredje-land/
4: Ekot, 2021-06-28, https://sverigesradio.se/artikel/myndigheter-lovar-anonymitet-men-skickar-ip-adresser-till-google
5: Ekot, 2021-06-28, https://sverigesradio.se/artikel/myndigheter-lovar-anonymitet-men-skickar-ip-adresser-till-google
6: IMY, 2021-06-28, https://www.imy.se/nyheter/imy-inleder-granskningar-av-avanza-och-lansforsakringar/
7: Ekot, 2021-06-28, https://sverigesradio.se/artikel/avanza-lackte-kunduppgifter-till-facebook-i-over-ett-ar, https://sverigesradio.se/artikel/lansforsakringar-sparade-webb-besok-utan-godkannande
Låt Knowits experter hjälpa dig
Reglerna kring cookies kan vara svåra att förstå och det är inte förvånande att det råder en viss förvirring och osäkerhet om vad som gäller, eftersom det kräver en förståelse för både webbspårning och dataskyddslagstiftning. På grund av den senaste tidens utveckling på området har vi på Knowit tagit fram ett erbjudande för att underlätta verksamheters webbanalys. Du hittar erbjudandet här.