GDPR online
Regler om cookies på en webbplats enligt GDPR
Regler om cookies på en webbplats enligt GDPR har sin grund i det så kallade ePrivacy-direktivet. Både GDPR och ePrivacy-direktivet innehåller många centrala EU-regler om cookies.
Användning av Cookies
Företag som har en webbplats, vilket i dagens läge är de flesta, brukar använda cookies av olika slag och för olika syften. Ifall användningen av cookies även innebär att personuppgifter blir lagrade i cookien, exempelvis en individs IP-adress eller e-postadress, blir GDPR också tillämplig.
Därför är det viktigt för företag att känna till gällande regler om cookies på en webbplats enligt GDPR vid användningen av cookies.
Vad är cookies?
Enkelt förklarat är cookies små textfiler som innehåller en viss mängd information, som webbplatsen kan spara på besökarens enhet (exempelvis dator, mobil eller surfplatta). Cookies är en form av onlineidentifikator och nätidentifierare, som kan utgöra personuppgifter enligt skäl 30 i GDPR. Detta beror på att cookies kan efterlämna spår som, i kombination med andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.
En individ kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, exempelvis cookies. Cookies är därmed en form av nätidentifierare, och en del av informationen som förekommer i cookies kan utgöra personuppgifter, såsom ett användarnamn, IP-adress eller e-postadress.
Vad är syftet med cookies?
Användningen av cookies kan ske av ett företag för flera olika syften. Exempelvis kan cookies göra det möjligt för företaget som driver webbplatsen att:
- Hämta information som redan finns lagrad på besökarens enhet.
- Lagra ny information i besökarens enhet. Lagringen kan ske både under ett enskilt besök (temporär cookie) och mellan flera besök (permanent cookie).
- Se vad besökaren har gjort på webbplatsen, genom att spara data om dennes aktiviteter och interaktioner på webbplatsen.
- Säkerställa att webbplatsens kritiska funktioner fungerar på avsett sätt.
- Överföra viss data mellan webbplatsen och besökarens enhet, eller till en tredje part.
- Lagra information på besökarens enhet, såsom användarens valda språkinställningar för webbplatsen.
- Göra det möjligt att genomföra riktad marknadsföring mot besökaren nästa gång dennes besöker webbplatsen, baserat på dennes uppvisade intressen och användning av webbplatsen.
Är det skillnad på permanenta cookies och temporära cookies?
Ja, det finns flera skillnader mellan permanenta cookies och temporära cookies. Dessa är två olika typer av cookies, och nedan följer en beskrivning av de huvudsakliga skillnaderna:
Temporära cookies
Temporära cookies (även kallade för sessionscookies) lagras tillfälligt i enhetens minne och har inget utgångsdatum. Dessa cookies är aktiva och lagras enbart under webbläsarsessionen i fråga. Sedan blir de automatiskt raderade från enheten, när webbläsaren stängs. Det vill säga, lagringen av temporära cookies sker endast under tiden besökaren surfar på webbplatsen, fram till dess att besökaren stänger webbläsaren. Ofta används temporära cookies för att möjliggöra vissa funktioner på webbplatsen och för att upprätthålla en användarsession.
Tidsbestämda cookies
Tidsbestämda cookies (även kallade för permanenta cookies) lagras istället på enheten under en tidsbestämd period. Lagringstiden framgår i cookiens inställningar. Tidsbestämda cookies kvarstår lagrade i enheten även efter att besökaren har stängt webbläsaren, fram till dess att utgångsdatumet har passerat eller manuell borttagning. Det är vanligt att tidsbestämda cookies används för att spara användarinställningar inför framtida besök av webbplatsen, exempelvis språkinställningarna som användaren har valt.
Vad är skillnaden mellan nödvändiga cookies och icke-nödvändiga cookies?
Nödvändiga och icke-nödvändiga cookies är två olika kategorier av cookies. Dessa omfattas även av olika regler om cookies på en webbplats enligt GDPR och ePrivacy-direktivet. Nedan kan du läsa mer om skillnaden mellan dessa cookiekategorier.
Det finns cookies som måste användas för att en webbplats ska fungera korrekt. Det avser främst cookies som gör det möjligt för webbplatsens funktioner att fungera och att leverera de onlinetjänster som besökaren begär. För att använda nödvändigt cookies, behövs inget samtycke från besökaren. Detta innebär att cookies som kategoriseras såsom nödvändiga, alltid kommer att bli använda. Däremot är det viktigt att företaget känner till att nödvändiga cookies måste säkerställa grundläggande funktioner och säkerhetsfunktioner som är viktiga för besökaren av webbplatsen. Det handlar därmed inte om vad företaget tycker är nödvändigt eller inte.
Dessa cookies är inte nödvändiga för att webbplatsens grundläggande funktioner ska fungera korrekt. De används istället för andra ändamål, såsom för analys av webbplatstrafiken, förbättring av användarupplevelsen, statistiska ändamål etc.
Särskilda krav för användningen av cookies och tillämpliga regler om cookies på en webbplats enligt GDPR
- Informationskrav: Företaget måste alltid informera besökare av webbplatsen om användningen av cookies. Detta gäller oavsett om företaget endast använder nödvändiga cookies, eller också icke-nödvändiga cookies. Syftet är att ge besökaren en tydlig bild av hur cookies fungerar i praktiken och hjälpa denne att fatta informerade beslut om användningen av cookies. Informationen ska lämnas genom att företaget publicerar ett cookiemeddelande, ibland även kallat för en cookiepolicy. Detta kan med fördel publiceras på webbplatsens sidfot för enkel åtkomst, och bör även finnas länkad i en eventuell cookie-banner där besökaren kan hantera sina cookieinställningar.
- Samtycke: För att ett företag ska kunna använda icke-nödvändiga cookies, måste webbplatsens besökare aktivt ge sitt samtycke till det. Besökaren har dessutom rätt att när som helst återkalla samtycket, och då ska användningen av dessa icke-nödvändiga cookies genast upphöra. Om besökaren inte lämnar sitt samtycke, eller har lämnat ett ogiltigt samtycke, får icke-nödvändiga cookies inte lagras på besökarens enhet.
Exempel på vad som utgör ogiltiga samtycken:
- När det inte går att återkalla ett lämnat samtycke eller om det är för svårt att göra det, är samtycket ogiltigt. En utgångspunkt är att det ska vara lika enkelt att återkalla ett samtycke som att ge samtycket.
- Knapparna i cookie-bannern för att “Acceptera” eller “Neka” cookies får inte vara designad på ett sätt som påverkar besökarens val. Exempelvis att knappen “Acceptera” är stor och grön, medan knappen “Neka” är mindre och grå.
- Passiva samtycken är inte giltiga. Med andra ord är det inte tillåtet att lagra icke-nödvändiga cookies i det fall en besökare varken accepterat eller nekat användningen av cookies.
- Om en samtyckesruta är förkryssad, utgör det inte ett giltigt samtycke, eftersom det inte anses vara aktivt lämnat av besökaren själv.
Vad som behöver framgå i cookiemeddelandet gällande användningen av cookies
Det finns flera saker som ska framgå när ett företag informerar de registrerade om användningen av cookies på webbplatsen. Bland annat:
- Företagets uppgifter, såsom firmanamn, organisationsnummer och kontaktuppgifter.
- En lista med varje enskild cookie som företaget avser att använda. Denna lista ska hållas uppdaterad regelbundet, för att återspegla den aktuella användningen av cookies. Listan bör innehålla minst följande information:
- Namnet för varje enskild cookie.
- Vilka kategorier respektive cookie tillhör.
- Vilken lagringstid som gäller för respektive cookie.
- En beskrivning av syftet med användningen av respektive cookie.
- Huruvida det är tredjepartscookies eller inte. Om det är en tredjepartscookie eller om informationen delas med en tredje part, ska detta anges.
- Hur besökaren av webbplatsen kan återkalla sitt lämnade samtycke.
- Hur besökaren av webbplatsen kan hantera sina inställningar avseende lagringen av cookies.
Hur kan en webbplatsbesökare hantera sina inställningar om lagringen av icke-nödvändiga cookies?
Besökaren av en webbplats kan själv kontrollera och hantera hur icke-nödvändiga cookies ska kunna bli lagrade på dennes enhet, genom olika metoder. Exempelvis ska besökaren ha möjlighet att helt eller delvis aktivera eller inaktivera icke-nödvändiga cookies. Det är dock viktigt att informera besökaren om att en inaktivering av icke-nödvändiga cookies, helt eller delvis, kan påverka webbplatsens funktionalitet och göra att vissa funktioner inte fungerar på avsett sätt.
Nedan kan du läsa om olika sätt för besökaren att hantera sina cookieinställningar.
Webbplatsens installerade cookielösning
Om webbplatsen använder icke-nödvändiga cookies och har en installerad cookielösning aktiverad, exempelvis via ett cookie plugin, bör besökaren minst kunna vidta följande åtgärder genom det:
- Acceptera alla cookies
- Neka alla icke-nödvändiga cookies
- Lämna ett anpassat samtycke för olika enskilda cookie-kategorier
Observera att företaget inte behöver installera en cookielösning vid användning av endast nödvändiga cookies. Detta beror på att företaget alltid får använda nödvändiga cookies, utan besökarens samtycke.
När ska cookie bannern visas?
Cookie bannern ska visas när besökaren besöker webbplatsen för första gången. Den ska därefter även visas när väsentliga förändringar görs i cookiemeddelandet, använda cookies eller kategorierna av cookies som används. Detta måste ske för att säkerställa att samtycket som besökaren eventuellt lämnar eller tidigare har lämnat, ska uppfylla kraven för att anses vara giltigt.
Hur kan besökaren återkalla sitt samtycke eller ändra sina val?
Besökaren av webbplatsen ska dessutom ha en möjlighet att när som helst, efter att ha lämnat ett samtycke, kunna återkalla det. Det bör ske genom att vara möjligt att återöppna cookie-bannern på nytt, för att ändra sina inställningar. Ofta brukar detta ske genom en liten widget längst ner på hemsidan, eller genom att det finns en knapp för att “hantera cookieinställningar” i sidfoten på webbplatsen. Det ska vara enkelt att hitta inställningarna igen. Syftet är att ge besökaren flexibilitet att anpassa sina cookie inställningar för webbplatsen efter dennes preferenser och behov.
Webbläsarens inställningar
Besökaren av en webbplats kan även begränsa användningen av cookies genom att justera inställningarna i webbläsaren. Många webbläsare tillåter användaren att blockera icke-nödvändiga cookies eller kräva att användaren aktivt godkänner varje ny cookie, innan de blir lagrade på enheten.
Inställningarna via webbläsaren kan även ge användaren möjligheten att blockera tredjepartscookies. I vissa fall kan användaren även markera ofta besökta webbplatser som “betrodda”, vilket medför att cookies från sådana webbplatser alltid blir accepterade. Användaren kan dessutom via webbläsarens inställningar ta bort specifika enskilda cookies som blivit lagrade eller rensa alla tidigare cookies.
Vart finns dessa funktioner i webbläsaren?
Dessa funktioner finns ofta under webbläsarens menyalternativ ”Inställningar”, ”Hjälp” eller ”Verktyg”. Observera att funktionerna kan variera beroende på vilken webbläsare besökaren använder (t.ex. Chrome, Firefox, Safari, Edge, Opera m.fl).
Om besökaren behöver hjälp med att konfigurera webbläsarens inställningar, bör denne kontakta webbläsarens utgivare eller besöka dess hjälpsidor för mer information och support.
Behöver cookieinställningarna anpassas på varje webbläsare och varje enhet?
Ja, cookieinställningarna behöver anpassas på varje webbläsare och varje enhet. Företaget bör informera webbplatsbesökaren om detta, för att säkerställa att dennes preferenser gäller överallt i alla enheter och webbplatser de använder.
Uppfyller justering av webbläsarens cookieinställningar kraven enligt GDPR?
För att webbplatsens besökare ska anses ha lämnat ett giltigt samtycke enligt GDPR, måste det ske genom en aktiv handling. Därför är det viktigt att tänka på att justering av inställningar via webbläsaren inte alltid är tillräckligt, om webbplatsen använder icke-nödvändiga cookies som kräver föregående samtycke. Därför bör företaget rekommendera webbplatsens besökare att istället använda cookie-inställningarna på företagets webbplats, via den installerade cookie-lösningen, för att hantera sitt samtycke.
”Jag förstår” och ”Jag samtycker” betyder två olika saker
Det är viktigt att ange korrekt text på knapparna som besökaren kan välja att klicka på, för att hantera cookieinställningarna via den installerade cookielösningen eller cookie bannern på webbplatsen.
Knapptexten ”Jag förstår” betyder inte att besökaren lämnar sitt samtycke till användningen av cookies. Det måste stå “Jag samtycker” eller “Accepterar” på knappen. Dessutom måste webbplats besökaren ha möjligheten att “Neka” cookies samt att öppna “Cookieinställningarna”. Detta gäller även efter att ett samtycke har lämnats. Besökaren ska nämligen ha möjligheten att på ett lika enkelt sätt återkalla samtycket, eller på annat sätt ändra sina inställningar. Detta är en av de centrala regler om cookies på en webbplats enligt GDPR.
Är det tillåtet att ha en kakvägg på webbplatsen?
Nej, det är förbjudet att designa webbplatsens cookie bannern som en kakvägg. En kakvägg innebär att en vägg av information om cookies tar upp hela eller stora delar av webbsidan. Ofta är kakväggar placerade i mitten av skärmen och tar upp en stor yta, som gör att det inte är möjligt att läsa texten bakom kakväggen.
För att besökaren av webbplatsen ska kunna få tillgång till informationen på webbplatsen, behöver denne accepterar cookies. En kakvägg tvingar alltså besökaren att acceptera cookies, för att kunna nyttja webbplatsen. Ett sådant samtycke kan därmed inte anses vara lämnat frivilligt. Därför är det inte tillåtet att ha en kakvägg på sin webbplats.
GDPR online
Dataskydd som standard och inbyggt dataskydd
Företag som är personuppgiftsansvariga ska ha ett inbyggt dataskydd enligt kraven i artikel 25 i GDPR. Detsamma gäller dataskydd som standard. Dataskydd som standard innebär att företag som till exempel tillhandahåller en digital tjänst eller liknande, ska ha dataskyddsvänliga inställningar. Exempelvis genom att implementera en funktion som gör det möjligt för användare att återkalla sitt lämnade samtycke. Företag som behandlar personuppgifter måste också införa tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifterna. Exempel på tekniska säkerhetsåtgärder är virusskydd, multifaktorautentisering vid inlogg, backup-filer och liknande. Exempel på organisatoriska säkerhetsåtgärder är att utbilda personal i dataskydd och ha tydliga instruktioner och rutiner om behandling av personuppgifter.