Senaste om cookies 

På den senaste tiden har flera frågor om cookies dykt upp i kunduppdrag, och nu tänkte jag ta tillfället i akt och skriva lite om cookies i veckans blogg! Dagens frågeställningar lyder:

• Vad är cookies och vilka typer av cookies finns?
• Vad säger GDPR och LEK om cookies?
• Hur bör cookies hanteras av organisationer?

Vad är cookies?

Cookies är en liten textfil som sparas i webbläsaren när en användare går in på en webbsida. Cookies möjliggör för webbsidan att komma ihåg användarens senaste session, och vad användaren gjorde då. Till exempel används cookies för att komma ihåg varor som en användare har lagt i varukorgen i en webbshop, för att vid nästa besök på hemsidan komma ihåg vilka varor som ligger i varukorgen [1]. Cookies möjliggör alltså en mer användarvänlig internetanvändning. Men det är inte utan kontroverser. Låt oss komma in på det senare. 

Det finns många typer och kategorier av cookies, vanligt förekommande är följande kategorier [2]:

• Nödvändiga cookies: Behövs för att webbsidan ska fungera som det är tänkt, såsom möjligheter att logga in, eller för att spara varor i en varukorg. 
• Prestandacookies: Övervakar webbsidans prestanda och hur en användare beter sig på en hemsida.
• Funktionella cookies: Används för att förbättra upplevelsen av en webbsida, de är alltså inte nödvändiga för webbsidans funktionalitet per se, men förhöjer upplevelsen av webbsidan. 
• Spårningscookies: Övervakar användarens beteende över flera webbsidor och kopplar information så att användare får t.ex. riktade annonser. Dessa sätts av en tredje part – dvs inte av den webbplats som användaren besöker. 

Vad säger GDPR och LEK om cookies?

GDPR är som bekant en reglering från EU gällande behandling av personuppgifter i EU. Utifrån att spårningscookies samlar beteendedata om användare på webbplatser faller frågor om cookies under GDPR. Cookies är alltså (i vissa fall) att betrakta som personuppgifter och behandling av dem ska följa GDPRs principer. För varje behandling av personuppgifter ska ändamål och laglig grund för behandlingen fastställas (ytterligare principer ska även följas, men de tar jag inte upp i den här bloggen). 

Det faller således under respektive dataskyddsmyndighet i de europeiska länderna att granska aktörers behandlingar av personuppgifter i cookies. Dataskyddsmyndigheten i Kroatien utfärdade i september 2023 sanktionsavgifter på totalt 50 000 euro till två kroatiska bettingbolag som inte hade fastställt rättslig grund för behandling av personuppgifter i form av cookies. Dessutom hade organisationerna inte gett de registrerade möjlighet att ge samtycke till behandlingen [3]. Även den franska dataskyddsmyndigheten har utfärdat sanktionsavgift till ett marknadsföringsbolag utifrån att bolaget, bland annat, skapade cookies utan användarens samtycke. Sanktionsavgiften i det fallet landade på 40 miljoner euro [4].

Med det sagt, svenska Integritetsskyddsmyndigheten (IMY) har inte utfört någon sanktion mot något svenskt företag eller organisation gällande cookies. Den svenska lagstiftningen Lagen om elektronisk kommunikation (2022:482), även kallad Nya LEK, faller under Post- och Telestyrelsens (PTS) ansvarsområde. I 9 kap. 28§ LEK framgår bestämmelser om kakor gällande samtycke och ändamålsbeskrivning som är harmoniserat med GDPR [5]. PTS begärde i juni 2023 yttrande från fyra svenska aktörer där PTS misstänker att aktörerna inte följer reglerna om cookies [6]. PTS begärde att aktörerna skulle meddela sina yttrande i oktober 2023, men beslut har ännu inte kommit. Med bakgrund i den senaste tidens sanktioner i andra europeiska länder samt PTS begäran om yttrande förefaller det sannolikt att cookies är ett ämne som IMY och PTS kommer ägna allt mer uppmärksamhet åt.  

Hur bör cookies hanteras av organisationer?

Så, hur ska organisationer hantera cookies? Det finns tre principer att följa:

A. Fastställ ändamål för behandling av personuppgifter.

Vad ska personuppgifterna användas till och varför behövs personuppgifter behandlas? Detta ska kommuniceras till de registrerade tillsammans med den rättsliga grunden, se punkt B. 

B. Fastställ rättslig grund för behandling av personuppgifter.

Utöver att den rättsliga grunden ska vara lämplig för det enskilda fallet, ska även de registrerade informeras om den rättsliga grunden och varför deras personuppgifter samlas in [7]. Det är här det börjar bli snårigt. Ofta används samtycke som rättslig grund för behandling av personuppgifter i formen cookies. Tekniskt sker detta på webbsidor oftast med så kallade cookie banners för insamling av samtycke. Om samtycke är den lagliga grunden måste samtyckte insamlas korrekt och i enlighet med GDPR. När de registrerade ger samtycke måste det ske utan några tvivel från användaren om vad de samtycker till. 

Post- och Telestyrelsen (PTS) har på sin hemsida fastställt fem kriterier för hur samtycke ska inhämtas och alternativ presenteras när en användare går in på en webbsida [8]. Det är fem konkreta kriterier för hur en cookie banner ska se ut och vad den ska innehålla. 

1. Inga rutor ska vara förkryssade, dvs. användaren ska inte ledas till att ge samtycke för cookies. 
2. Användaren ska inte blockeras från att använda hemsidan via en cookie wall, dvs. hemsidan ska kunna användas utan att användaren tvingas att ge eller avstå samtycke.
3. Samtycke måste ges explicit av användaren. Att fortsätta använda hemsidan utan att ge samtycke i en cookie banner är inte att tolka som att samtycke har getts. 
4. Samtycke får inte vara villkorat för användning av webbsidan. Användaren ska inte tvingas att samtycka till fler cookies än vad som är absolut nödvändigt för den tjänsten användaren planerar att använda. 
5. Samtycke ska inte ges genom formuleringen ”Jag förstår” i en cookie banner. Användaren ska uttryckligen ge samtycke till att cookies sätts. ”Att förstå är inte att samtycka” skriver PTS. 

C. Etablera och tillgängliggör en ”Cookie Policy” för användare av webbsidan.  

Webbsidor som använder sig av cookies bör ha en Cookie Policy som är tillgänglig för användare. Cookie Policyn ska minst innehålla:

• Vilka cookies som samlas in och deras ändamål. 
• De rättsliga grunderna för behandling av personuppgifter. 
• Hur användaren kan använda sina rättigheter som registrerade för att radera personuppgifter. 

Beroende på vilka typer och kategorier av cookies som webbsidan använder sig av, kan ändamål och rättslig grund skilja sig åt. Det är centralt att det framgår i Cookie Policyn om det finns olika typer och kategorier, och vilket ändamål och rättslig grund som respektive typ grundar sig på. 

Ovanstående principer, A, B och C, är dock inte uttömmande för hur cookies ska hanteras. Men det är en god start på vägen.

Slutsats

Cookies är per se inte dåliga – men det är definitivt dåligt att inte följa GDPR och LEK. Och vi bör planera för att cookies kommer att vara aktuellt ett långt tag framöver. 

Referenser

[1] https://internetstiftelsen.se/podd/dumma-fragor-om-internet/vad-ar-en-cookie-for-nagot-egentligen/

[2] https://cookie-script.com/web-cookie-types

[3] https://www.cnil.fr/fr/publicite-personnalisee-criteo-sanctionne-dune-amende-de-40-millions-deuros

[4] https://azop.hr/upravne-novcane-kazne-zbog-neovlastene-obrade-osobnih-podataka-putem-kolacica/

[5] https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/lag-2022482-om-elektronisk-kommunikation_sfs-2022-482/

[6] https://pts.se/sv/nyheter/internet/2023/pts-misstanker-att-webbplatser-inte-foljer-reglerna-om-kakor/

[7] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig-grund/

[8] https://www.pts.se/sv/bransch/internet/integritet/information-om-kakor/