Vad är en cookiebanner?

Vilka krav ställer lagen på en cookiebanner? Och hur skaffar man en cookiebanner som faktiskt efterlever gällande lagstiftning utan att krångla till webbplatsen? Låt oss börja med det grundläggande.

Sannolikheten att du aldrig har sett en cookiebanner är idag ganska liten. De senaste åren har antalet banners som informerar besökarna om cookies vuxit enormt. Det är ett result av 2002 års ePrivacy-direktiv, även känt som den europeiska cookie-lagen.

Men när man ställer frågan varför du behöver en cookiebanner skulle de flesta nog säga att det beror på GDPR.

Så om du är en webbansvarig eller med i ett marknadsföringsteam som undrar varför ni måste ha en cookie-banner på er webbplats får ni en förklaring till det här.

Vad är en cookiebanner?

En cookiebanner är en popu-pruta på en webbplats som berättar för besökaren att webbplatsen använder cookies.

Du har förstås redan sett dem. “Vi använder cookies. Genom att fortsätta använda webbplatsen godkänner du.”

Men en cookiebanner ska inte betraktas bara som ett meddelande om cookies. Den ska vara en samtyckes-popup.

Det betyder att den måste användas till att fråga om lov. Du får nämligen inte använda cookies utan att besökaren godkänt det.

När du använder cookies – särskilt dem som samlar in dine besökares personuppgifter – finns det ett par dataskyddsregler som börjar gälla.

Det flesta av dessa lagar gäller behandlingen av personuppgifter. Och det är vad de flesta cookies samlar in. Personuppgifter om dina besökare får bara användas i marknadsföringssyfte om du först frågat om lov och fått ett ja-tack.

Vad är en cookie?

Låt oss först ta en snabb titt på vad cookies egentligen är och varför de är reglerade i lag.

Cookies är små textfiler som din webbplats sparar i din besökares webbläsare.

Filerna innehåller vanligen information om dina besökares språkval eller innehåll i kundkorgen, men de kan innehålla många olika typer av information, inklusive uppgifter som kan användas för att identifiera besökaren.

Cookies gör huvudsakligen två saker:

De kan förbättra användarens upplevelse på webbplatsen.
De kan spåra användarens beteende för att skapa retargetingprofiler för marknadsföring.
Personuppgifter inbegriper online-identifikatorer, enhets-id, användar-id, ip-adresser och så vidare.

Vanligen sparas de på din besökares dator eller telefon av någon av de tjänster du använder.

Eftersom cookies samlar in uppgifter om din användare som direkt eller indirekt kan identifiera användaren betraktas det som personuppgifter och regleras av lagen.

Vi har skrivit mer om cookies här.

Länk: Vad är cookies mer i detalj?

Men vad säger integritetsskyddslagarna om cookies egentligen?

Cookiebanners och lagens krav

Behöver jag verkligen en cookiebanner?

Ja, om din webbplats använder cookies – dina egna eller från tredje part – behöver du en cookiebanner.

Kraven kommer till stora delen från det europeiska ePrivacy-direktivet (den så kallade “cookielagen”) från 2002, men den allmänna dataskyddsförordningen (GDPR) är också viktig här.

Tittar vi närmare på de gällande dataskyddslagarna kräver ePrivacy-direktivet att webbplatser inhämtar ett informerat samtycke till cookies och annan spårningsteknik.

Det innebär att du bara är skyldig att informera besökarna om cookies innan du sätter dem.

GDPR förändrade dock detta. Eftersom de flesta cookies samlar in personuppgifter från besökarna (ip-adress, plats, enhets-id, användar-id och så vidare) och behandlar dessa uppgifter främst i marknadsföringssyfte, tar GDPR över.

GDPR talar egentligen inte om cookies, men däremot den data som cookies och annan spårningsteknik (till exempel fingerprinting) behandlar.

Och enligt GDPR måste du inhämta ett giltigt samtycke innan du behandlar personuppgifter som är insamlade med hjälp av exempelvis cookies.

Så vilka funktioner bör en cookiebanner ha?

För att ett samtycke ska vara giltigt måste det vara:

EU-domstolens beslut om cookies

Den 1 november 2019 beslutade EU-domstolen – i fallet mot den tyska lotterisajten Planet49 – att alla webbplatser som använder cookies måste ha en cookiebanner som samlar in giltigt samtycke innan cookies används.

Dessutom får inte cookies vara förvalda åt användaren.

Länk: Europas högsta domstol säger att ett aktivt samtycke krävs för spårningscookies.

Här är ett exempel på hur en cookiebanner som följer reglerna ser ut. Länk: Checklista för hur du inhämtar giltigt samtycke till cookies. Vad bör en cookiebanner informera om då?

Till att börja med är lagkraven på en cookiebanner ganska enkla.

Bannern måste ge användaren tydlig information om:

Den här informationen måste också finnas i din cookiepolicy.

Sedan – och detta är det viktigaste – måste bannern ge användaren möjlighet att antingen godkänna eller avvisa användningen av cookies.

Användaren måste kunna säga “Cookies? Nej, tack”. Det är hela poängen med samtycke.

När du har fått användarens samtycke bör du se till så att samtycket sparas tryggt och säkert. Inte minst eftersom dataskyddsmyndigheterna ska kunna se dem om de gör en granskning.

Och de gör kontroller!

Den franska dataskyddsmyndigheten CNIL är till exempel väldigt aktiv.

Länk: CNIL börjar se till så att cookiereglerna efterlevs

Här är ett exempel på hur
en cookiebanner som följer reglerna ser ut.
Länk: Checklista för hur du inhämtar giltigt samtycke till cookies.

Måste jag inhämta samtycke innan jag använder cookies?

Ja!

ePrivacy-direktivet (artikel 5.3) kräver ett informerat samtycke för att spara eller använda information sparad på en användares terminalutrustning.

Med andra ord måste du fråga dina användare om de godkänner dina cookies (och annan spårningsteknik) innan din webbplats sparar dem.

Medlemsstaterna skall säkerställa att användningen av elektroniska kommunikationsnät för att lagra information eller för att få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har tillgång till klar och fullständig information, bland annat om ändamålen med behandlingen.

Det hindrar dig förstås inte från att använda tekniskt nödvändiga cookies.

Det vill säga cookies som är nödvändiga för webbplatsens funktion.

Länk: Hur vet jag vilka cookies min webbplats använder?

Kraven på samtycken stärktes dock med GDPR.

Om dina cookies samlar in personuppgifter från dina besökare är du skyldig att inhämta ett giltigt samtycke innan din webbplats sparar eller försöker få tillgång till cookies.

I artikel 6.1 a ser vi att:

Behandling endast är laglig om:

Den registrerade [användaren] har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål

Läs mer om tidigare samtycke till cookies här:

Länk: Vad är tidigare samtycke?

För vilka gäller GDPR?

GDPR gäller alla som önskar behandla personuppgifter om EU-medborgare oavsett om behandlingen sker i eller utanför EU.

Med andra ord skulle du kunna ha en webbplats var som helst i världen – Italien, Ryssland, Chile, Togo – men om webbplatsen säljer varor eller erbjuder tjänster till EU-medborgare och som ett led i det dessutom samlar in och behandlar EU-medborgares personuppgifter, då gäller reglerna i GDPR.

Men vad säger alla andra internationella lagar om cookies och cookiebanners?

Denna förordning [GDPR] ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte, eller b) övervakning av deras beteende så länge beteendet sker inom unionen. 3.

Andra viktiga lagar om cookiebanners

Cookiebanners och CCPA
California Consumer Privacy Act (CCPA) är en dataskyddslag ämnad att stärka integriteten och konsumentskyddet för invånarna i Kalifornien, USA.

CCPA bestämmer hur företag får samla in, dela med sig av och behandla personuppgifter om Kaliforniens invånare.

Du kan läsa mer här:

Länk: Vad är CCPA?

Cookiebanners och PDPA
PDPA är Thailands nya dataskyddslag från 2019.

Lagen trädde i kraft 1 juni 2021.

PDPA liknar GDPR på det sättet att den berör behandlingen av personuppgifter som cookies insamlar och sparar på användares enheter, som exempelvis deras datorer, surfplattor och telefoner.

PDPA reglerar hur ägare av webbplatser och appar tillåts samla in och behandla personuppgifter från deras användare, till exempel genom användningen av cookies.

Du kan läsa mer här:

Länk: PDPA och cookies

Cookiebanners och LGPD LGPD, eller Lei Geral de Proteção de Dados Pessoais, är Brasiliens nya version av EU:s allmänna dataskyddsförordning (GDPR). LGPD gäller alla företag, organisationer och individer som behandlar personuppgifter från invånare i Brasilien, oavsett var företaget, organisationen eller individen befinner sig. Den gäller också för cookies och cookiebanners. Du kan läsa mer om LGPD här: Länk: Vad är LGPD

Hur fungerar en cookiebanner?

En cookiebanner fungerar som så att den skapar en popup när en användare besöker webbplatsen för första gången.

Den ger användaren information om de cookies som används på din webbplats. Den ser också till att hålla informationen om olika cookies uppdaterad per automatik.

En bra banner ser också till att du efterlever dataskyddslagar genom att förhindra att cookies sparas på användarens dator innan användaren har gett sitt samtycke.

En bra banner eller pop-up gör det möjligt för dig att optimera utseendet på den. Så du kan optimera den baserat på hur folk klickar på den. Så du ökar sannolikheten för att fler ska säga ja-tack till cookies.

Website Consent product from Cookie Information

Hur kan Cookie Information hjälpa dig?

Vi är en av Europas ledande samtyckeshanteringsplattformar med en förstklassig cookiebanner som lever upp till lagkraven.

Våra banners är samtyckespopups som följer ePrivacy, GDPR, CCPA, LGPD, PDPA och alla andra dataskyddslagar.

De är mycket anpassningsbara, så du kan utforma dem efter din stil, med din logotyp och dina färger, när du ber om samtycke till cookies.

Vad du får är en samtyckeslösning som säkerställer att du följer lagen och skapar förtroende hos dina användare.

Nu när vi är en Google Partner kan du också få Google samtyckesläge, så att du kan behålla dina data även när besökarna säger nej till cookies.

Länk: Vad är Google samtyckesläge?

Andelen samtycken till cookies med vår banner är i genomsnitt 73,88 %, men vi har kunder som ligger betydligt högre än 90 %. Med Googles nya funktion för konverteringsmodellering, tillsammans med samtyckesläget, kan Google beräkna vägen från annonsklick till konvertering för upp till 70 % av alla användare som nekar cookies.

Läs mer här.

Länk: Vad är konverteringsmodellering?