INTERNATIONELLA DATASKYDDSLAGAR

Lagar och
ramverk

Se de dataskyddslagar som gäller ditt företag och hur de kan påverka din verksamhet i andra länder. Här är en genomgång av de viktigaste internationella dataskyddslagarna.

Lista med dataskyddslagar

Varför dataskydd har betydelse för cookies

Över hela världen tillkommer nya dataskyddslagar och ramverk. Flera länder har nu etablerade regler och riktlinjer för cookies och samtycke, samt för hur du tillåts hantera de personuppgifter som de flesta cookies på webbplatser samlar in.

För att hjälpa dig få en överblick över detta nya landskap har vi här samlat praktisk information om nationella och internationella dataskyddslagar och riktlinjer och hur ditt företag kan leva upp till dem.

Se mer information om de landspecifika reglerna och riktlinjerna i avsnitten nedan.

GDPR – Den allmänna dataskyddsförordningen

Den allmänna dataskyddsförordningen (GDPR) är en lag om dataskydd och integritet inom Europeiska unionen. Den trädde i kraft 25 maj 2018 i alla EU:s medlemsländer och är utformad för att harmonisera dataskyddslagarna runtom i Europa. Syftet med GDPR är att skydda EU-medborgarnas integritet och förändra verksamheters sätt att samla in personuppgifter.

GDPR ser särskilt till att att personuppgifter samlas in och behandlas på ett lagligt befogat sätt. Det inkluderar användning av cookies och annan spårningsteknik.

För att samla in och behandla EU-medborgares personuppgifter krävs att du inhämtar giltigt samtycke.

Många av de cookies – och annan spårningsteknik – som webbplatser använder i dag samlar in personuppgifter från besökarna. Datan behandlas sedan av tredje part i marknadsföringssyfte.

Det gäller vanligen ip-adresser, geografisk plats och annan identifierbar information som kan användas för att följa användarens beteende på webben.

Om du använder cookies som samlar in personuppgifter måste du inhämta giltigt samtycke från användaren. Det gäller även för cookies som sätts på din webbplats av tredje part, som exempelvis Google, Facebook och Amazon.

Läs mer i den här fördjupande artikeln om hur du – som företag – kan inhämta giltigt samtycke för användningen av cookies.

ePrivacy-direktivet (den europeiska cookielagen)

ePrivacy-direktivet (direktiv om integritet och elektronisk kommunikation 2002/58/EG) är ett europeiskt direktiv från 2002. Målet med ePrivacy-direktivet är att standardisera reglerna för dataskydd inom elektronisk kommunikation i Europeiska unionen (EU).

ePrivacy-direktivet reglerar användningen av cookies, e-postmarknadsföring och andra integritetsrelaterade områden som berör EU-medborgare.

Direktivet kallas också den europeiska "cookielagen". Det fastställer att alla webbplatser måste informera sina besökare om cookies och be om samtycke till dess användning.

Det är i huvudsak på grund av detta som vi ser ett ökande antal cookiebanners på internet i dag.

Direktivet är inte en bindande lag i sig självt – som GDPR – utan ett antal mål som medlemsländerna införlivar i sin egen nationella lagstiftning på området. Flera EU-länder har gjort precis det. Det är därför nationella cookieregler fortfarande existerar.

ePrivacy-direktivet ratificerades 2002 och reviderades 2009. Framöver kommer det ersättas av ePrivacy-förordningen.

ePrivacy-förordningen (den kommande europeiska cookielagen)

ePrivacy-förordningen (förordning om integritet och elektronisk kommunikation) är ämnad att ersätta ePrivacy-direktivet, mer känt som den europeiska cookielagen.

Syftet med förordningen är att standardisera de europeiska lagarna om elektronisk kommunikation och integritet så att de gäller alla EU:s medlemsländer.

Målet är att stärka konsumenternas integritet online så att lagarna bättre speglar den verklighet vi lever i. Föregångaren, ePrivacy-direktivet, antogs 2002 i en tid då spårningsteknik och personuppgiftsdata inte var lika utvecklat.

ePrivacy-förordningen kommer att gälla för alla elektroniska kommunikationstjänster och företag som samlar in, lagrar och behandlar EU-medborgares data, oavsett om det sker på webbplatser eller i appar, med hjälp av cookies eller annan spårningsteknik (till exempel fingerprinting, beacons eller pixlar).

ePrivacy-förordningen var tänkt att träda i kraft 2018 tillsammans med GDPR, men har blivit försenad i Europaparlamentet flera gånger.

CCPA – California Consumer Privacy Act

California Consumer Privacy Act (CCPA) är en dataskyddslag som syftar till att stärka integritetsskyddet och konsumentskyddet för invånare i Kalifornien, USA.

CCPA trädde i kraft 1 januari 2020 och reglerar hur företag tillåts samla in, dela och behandla personuppgifter tillhörande Kaliforniens invånare.

För företag innebär CCPA att de måste respektera konsumenternas rättighet till integritet som beskriven i lagen. Företag måste utvärdera sin datainsamling och databehandling och vidta nödvändiga åtgärder för att leva upp till de hårda kraven i CCPA.

Om du använder cookies som samlar in (och behandlar) personuppgifter från boende i Kalifornien måste du använda en särskild cookiepopup för samtycke som inkluderar en "sälj inte vidare"-länk.

Länken låter besökarna tacka nej till marknadsföring och datainsamling via cookies på din webbplats.

Underlåtenhet att följa CCPA kan leda till upp till 7 500 USD i böter för varje överträdelse och 750 USD i skadestånd till varje berörd användare.

Se om ditt företag påverkas av CCPA och hur du kan efterleva CCPA.

CPRA – California Privacy Rights Act

California Privacy Rights Act (CPRA) kommer med ett antal tillägg till California Consumer Privacy Act (CCPA).

CPRA träder i kraft 1 januari 2023, men är aktiv från 1 juli 2022 och företag måste följa lagen från och med året före (från 1 januari 2022). CPRA bygger vidare på CCPA genom att stärka konsumenternas rättigheter och integritetsskyddet för konsumenter och anställda.

Med CPRA etableras dessutom en tillsynsmyndighet för att mer effektivt skydda konsumenterna i Kalifornien. Enligt CPRA måste företag i Kalifornien eller företag som samlar och behandlar personuppgifter om invånare i Kalifornien fullt ut förstå vilken data de behandlar och för vilket ändamål.

LGPD – Brasiliens dataskyddslag

Brasiliens allmänna dataskyddslag (Lei Geral de Proteção de Dados Pessoais, LGPD) är en brasiliansk dataskyddslag som trädde i kraft 15 augusti 2020.

LGPD förtydligar Brasiliens juridiska ramverk eftersom den försöker förena över 40 olika lagar som reglerar behandlingen av personuppgifter.

Med inspiration från EU:s allmänna dataskyddsförordning (GDPR) ställer LGPD upp krav för hur företag och organisationer tillåts samla in, hantera, lagra och dela personuppgifter från Brasiliens invånare.

Om du har ett brasilianskt företag – eller ett företag utanför Brasilien med verksamhet på den brasilianska marknaden – och använder cookies på din webbplats så gäller LGPD för dig.

Precis som med GDPR så kräver LGPD att webbplatsägare inhämtar giltigt samtycke till cookies om dessa cookies samlar in personuppgifter från besökarna, så som ip-adress, geografisk plats, användar-id, cookie-id och så vidare.

Läs mer i den här fördjupande artikeln om hur du – som företag – kan inhämta giltigt samtycke till cookies i Brasilien.

PDPA – Thailands Personal Data Protection Act

Thailands Personal Data Protection Act (PDPA) publicerades 27 maj 2019 i Royal Thai Government Gazette och är den första lagen om dataskydd i Thailand.

Huvudsyftet bakom Thailands PDPA är att reglera behandlingen av personuppgifter för kommersiellt syfte och på så sätt skydda thailändska invånare från otillåten insamling och användning av personuppgifter.

PDPA gäller alla företag och organisationer som är baserade i Thailand och alla företag med affärsverksamhet i Thailand.

Om din webbplats använder cookies kräver PDPA att du inhämtar samtycke innan några personuppgifter samlas in eller behandlas via cookies eller annan spårningsteknik.

Den thailändska regeringen har skjutit upp tillämpningen av PDPA till 31 maj 2022 på grund av konsekvenserna av covid-19.

Läs mer i den här fördjupande artikeln om hur du – som företag – kan inhämta giltigt samtycke för användningen av cookies.

POPIA – Sydafrikas Protection of Personal Information Act

POPIA är Sydafrikas Protection of Personal Information Act. POPIA definierar personuppgifter brett för att säkra den sydafrikanska befolkningens rätt till integritet, men lagen är utformad med EU:s allmänna dataskyddsförordning (GDPR) som modell.

POPIA gäller alla organisationer och företag som önskar behandla sydafrikanska invånares personuppgifter, oavsett om företaget är beläget i eller utanför Sydafrika.

Om du använder cookies på din webbplats som samlar in och behandlar besökarnas personuppgifter (till exempel använder Google Analytics, Facebook eller Instagram) så måste du inhämta giltigt samtycke.

POPIA definierar samtycke som: “any voluntary, specific and informed expression of will in terms of which permission is given for the processing of personal information”.

Samtycke kan erhållas med hjälp av en cookiepopup för samtycke som informerar om webbplatsens cookies, inhämtar och lagrar alla besökares samtycken.

POPIA trädde i kraft 1 juli 2020 och började tillämpas 1 juli 2021. Brott mot POPIA kan leda till böter om upp till 10 miljoner ZAR (6 miljoner kr).

PIPEDA – Kanadas Personal Information Protection and Electronic Documents Act

Personal Information Protection and Electronic Documents Act (PIPEDA) är Kanadas dataskyddslag om insamling, användning och behandling av personuppgifter inom kommersiell verksamhet.

Den viktigaste aspekten av PIPEDA är att inhämta samtycke för att samla in och behandla personuppgifter.

Det innebär att om du har en webbplats där du använder tjänster som sätter cookies på din webbplats (till exempel Google Analytics, Facebook, Youtube eller någon annan tredjepartstjänst), så måste du inhämta giltigt samtycke till cookies innan cookies sätts på din besökares dator eller telefon.

Inhämta giltigt samtycke med en cookiepopup för samtycke som informerar besökare om webbplatsens cookies och inhämtar och lagrar deras giltiga samtycken.

Personuppgifter kan endast användas för de ändamål de insamlats. Om en organisation ämnar använda dem för ett annat ändamål måste de inhämta ett nytt samtycke.

PIPEDA gäller alla företag och organisationer inom Kanadas landsgränser, men också alla utanför Kanada som gör affärer med invånare i Kanada.

IAB Transparency and Consent Framework TCF 2.0

Interactive Advertising Bureau (IAB) lanserade den uppdaterade versionen av deras Transparency and Consent Framework (TCF 2.0) den 15 augusti 2020.

Syftet med TCF 2.0 är att standardisera processen för att inhämta samtycke från webbplatsbesökare för ändamålet att samla in och behandla deras personuppgifter.

TCF 2.0 syftar till att öka tranparensen vad gäller hur användares data används och av vem, så att företag, utgivare och adtech-leverantörer kan fortsätta driva programstyrd annonsering och samtidigt leva upp till den allmänna dataskyddsförordningen (GDPR).

Om din webbplats använder cookies och du följer IAB:s standarder så finns det särskilda krav du behöver implementera i din cookiepopup för samtycke innan den lever upp till TCF 2.0.

Schrems II – data till osäkra tredjeländer

I juli 2020 meddelade EU-domstolen sitt utslag i fallet Schrems II med ett omedelbart ogiltigförklarande av Privacy Shield-avtalet mellan EU och USA, som många företag hade förlitat sig på för överföring av personuppgifter mellan de två territorierna.

Privacy Shield-avtalet ogiltigförklarades på grund av en oro över att EU-medborgares data skulle kunna övervakas av USA:s federala myndigheter och säkerhetsmyndigheter.

Domen kallas vanligen för Schrems II efter den österrikiske juristen och aktivisten Max Schrems som gjorde en anmälan mot Facebook för deras dataöverföringsmetoder av personuppgifter.

Schrems II-domen kräver nu att europeiska företag gör individuella bedömningar av dataöverföringar till länder som inte anses säkra.

Den 4 juni 2021 ersatte EU-kommissionen det gamla Privacy Shield-avtalet med standardavtalsklausuler (Standard Contractual Clauses, SCC) för överföring av personuppgifter mellan EU och osäkra tredjeländer (inkl. USA).

Utslaget i Schrems II är relevant för dig som personuppgiftsansvarig om du:

Överför personuppgifter från EU/EES till länder som EU-kommissionen inte bedömt vara säkra tredjeländer.

Börja med att skaffa en översikt över vilka data din organisation överför till länder utanför EU/EES.

Undersök sedan grunden till överföringarna. Det kan i detta fall vara standardavtalsklausulerna.

Om du har en webbplats som använder cookies som sätts av tjänster baserade i USA eller delar data med företag i USA bör du:

  • Undersöka vilka cookies som överför data till länder utanför EU/EES.
  • När du hittat dem, kontakta tjänsteleverantören och be dem gå över till att använda standardavtalsklausuler.

Om det inte är möjligt att använda standardavtalsklausuler kan du gå vidare på följande sätt:

  • Personuppgiftsbiträdet stoppar dataöverföringen och låter datan stanna inom EU/EES.
  • Den personuppgiftsansvariga inhämtar samtycke från slutanvändaren för dataöverföringen till USA.
  • Den personuppgiftsansvariga stoppar dataöverföringen genom att byta till en annan tjänsteleverantör.

PIPL – Kinas Personal Information Protection Law

Kinas Personal Information Protection Law (PIPL) är landets första nationella dataskyddslag.

PIPL trädde i kraft 1 november 2021 och kommer dramatiskt förändra hur företag och organisationer samlar in, hanterar och behandlar kinesiska invånares personuppgifter.

PIPL är utformad med EU:s allmänna dataskyddsförordning (GDPR) som modell och inför tydliga restriktioner för hur data får samlas in, behandlas och överföras. Lagen fokuserar huvudsakligen på hur personuppgifter används på webbplatser och i appar i marknadsföringssyfte och att förbjuda överföring av personuppgifter till osäkra länder.

Målet med PIPL är att skydda den kinesiska befolkningens rättigheter och intressen och reglera behandlingen av personuppgifter.

För att samla in och behandla personuppgifter i Kina eller när du riktar dig till kinesiska kunder, behöver du inhämta ett giltig samtycke.

Det innebär att om du använder cookies på din webbplats måste du inhämta giltig samtycke.

Besökarna måste informeras om de cookies du använder och ge samtycke till användningen även om de sätts av tredjepartstjänster som Taobao, Tmall eller någon annan tjänst i eller utanför Kina.

Samtycke definieras i PIPL med liknande strikta krav som ställs på samtycke i GDPR. Samtycke måste vara informerat, frivilligt, specifikt och otvetydigt.

Google samtyckesläge

Google samtyckesläge är ett API från Google som presenterades i september 2020 som ett sätt för Google att kunna fortsätta sina digitala annonseringstjänster och samtidigt bemöta de ökande kraven på personlig integritet.

API:t gör det möjligt för webbplatser att få data från Google-tjänster som Google Analytics och Google Ads samtidigt som de lever upp till kraven i GDPR.

Google samtyckesläge integreras med webbplatsens Consent Management Platform för att skicka olika data beroende webbplatsbesökarnas samtyckesval.

Det låter dig mäta webbplatstrafik och konverteringar mer effektivt samtidigt som du respekterar dina besökares samtyckesval för analys och annonsering.

Så här skaffar du Google samtyckesläge till ditt företags webbplats.

Reglerna för hur du inhämtar giltigt samtycke till cookies och annan spårningsteknik blir alltjämt mer samstämmiga runtom i världen.

Fler och fler länder uppdaterar eller implementerar dataskyddslagar för att ge företag tydliga riktlinjer för hur personuppgifter ska insamlas och behandlas.

Reglerna för att inhämta giltigt samtycke och andra aspekter av dataskyddslagar kan vara komplexa och det finns många olika tolkningar av hur de ska efterlevas.

Det här avsnittet hjälper dig förstå reglerna som gäller i ditt land för att inhämta samtycke till cookies, webbplatsanalys och annan spårningsteknik.

Regler om cookies och samtycke i Danmark – en snabbguide

I Danmark redogörs cookiereglerna i den danska cookielagen (“Cookiebekendtgørelsen”), under tillsyn av den danska företagsmyndigheten Erhvervsstyrelsen.

Behandlingen av de personuppgifter som de flesta cookies och spårare samlar in är dock under tillsyn av den danska integritetsskyddsmyndigheten (“Datatilsynet”) och reglerna är samstämmiga med reglerna för databehandling i den allmänna dataskyddsförordningen (GDPR).

Om du använder cookies eller annan teknik för att samla in och behandla personuppgifter om dina webbplatsbesökare måste du inhämta giltigt samtycke innan du sätter några cookies på besökarnas datorer.

Riktlinjerna för att inhämta giltigt samtycke i Danmark är ganska hårda och har nyligen uppdaterats av den danska integritetsskyddsmyndigheten.

I den här artikeln gör vi en djupdykning i riktlinjerna för hur du inhämtar giltigt samtycke till cookies i Danmark.

Regler om cookies och samtycke i Norge – en snabbguide

I Norge hittas reglerna för cookies i den norska lagen om elektronisk kommunikation (lov om elektronisk kommunikasjon, Ekomloven)

År 2013 lades ett nytt beslut till i ekomlagen gällande de uppgifter som sparas i cookies, den så kallade “cookieparagrafen” i 2 kap. 7 b §.

Den fastställer att du måste informera besökarna om cookies
och inhämta samtycke för användningen av cookies.

I november 2019 fastslog den norska kommunikationsmyndigheten (“Nasjonal kommunikasjonsmyndighet, Nkom”), som är tillsynsmyndighet för lagen, uttryckligen att samtycke krävs innan webbplatser får sätta cookies.

Om cookies insamlar och behandlar personuppgifter ska reglerna för samtycke följa den allmänna dataskyddsförordningen, tillade den norska integritetsskyddsmyndigheten (“Datatilsynet”).

Här gör vi en djupdykning i de riktlinjer som gäller för att inhämta giltigt samtycke i Norge.

Regler om cookies och samtycke i Sverige – en snabbguide

Enligt den svenska lagen (2003:389) om elektronisk kommunikation måste alla webbplatser som använder cookies ge besökarna full tillgång till information om de cookies som används, vilka som äger dem och vilka uppgifter de samlar in.

Webbplatsen måste dessutom inhämta ett giltigt samtycke från besökaren för att kunna sätta cookies.

Om din webbplats använder cookies som samlar in personuppgifter som ip-adress, enhets-id, geografisk plats eller andra uppgifter som kan använas för att direkt eller indirekt identifiera användaren måste du inhämta samtycke i enlighet med reglerna i GDPR.

I den här artikeln gör vi en djupdykning i riktlinjerna för att inhämta giltigt samtycke till cookies i Sverige.

Regler om cookies och samtycke i Finland – en snabbguide

Om din webbplats använder cookies måste du inhämta giltigt samtycke. Den 4 maj 2021 publicerade det finska Transport- och kommunikationsverket förändringar i de finska råden om cookies.

Den efterlängtade uppdateringen innebär ett slut på den finska cookiesagan eftersom anvisningarna nu är i linje med reglerna för samtycke som formulerade i den allmänna dataskyddsförordningen (GDPR).

Om din webbplats använder cookies måste du inhämta giltig samtycke enligt de nya anvisningarna. Samtycke måste ges via en cookiepopup för samtycke och leva upp till kraven på samtycke i GDPR.

Samtycke till cookies kan inte längre lämnas via webbläsarens inställningar utan måste följa kraven i GDPR.

Samtycke till cookies måste vara frivilligt, specifikt, informerat och otvetydigt. Det nya beslutet förväntas påverka webbplatser för tusentals företag och förändra sättet samtycke till cookies inhämtas.

I den här artikeln gör vi en djupdykning i riktlinjerna för att inhämta giltigt samtycke till cookies i Finland.

Regler om cookies och samtycke i Frankrike – en snabbguide

I Frankrike är det Commission nationale de l’informatique et des libertés (CNIL) som ansvarar för riktlinjerna för cookies och de är i hög grad i linje med reglerna för samtycke i den allmänna dataskyddsförordningen (GDPR).

Med de senaste franska riktlinjerna för cookies fastslog CNIL att webbplatser inte får sätta cookies för att spåra besökare innan besökaren uttryckligen har lämnat sitt samtycke.

För att använda cookies på en webbplats krävs att webbplatsen informerar besökarna om cookies och inhämtar deras samtycke för dess användning.

CNIL reviderade riktlinjerna för cookies den 1 oktober 2020 och reglerna för samtycke är nu huggna i sten. Fyra viktiga saker att lyfta fram från CNIL:s riktlinjer är:

  • Att skrolla eller svepa vidare anses inte längre utgöra ett giltig samtycke.
  • Användare måste aktivt lämna sitt samtycke genom att klicka på “Jag accepterar”.
  • Användare måste kunna avvisa cookies (klicka “Nej”).
  • Alla samtycken måste sparas som dokumentation.

CNIL har delat ut några av de största GDPR-böterna till techgiganter för olovlig användning av cookies och behandling av webbplatsbesökarnas personuppgifter.
I den här artikeln gör vi en djupdykning i riktlinjerna för att inhämta giltigt samtycke i Frankrike.

Regler om cookies och samtycke i Italien – en snabbguide

De italienska riktlinjerna för cookies hanteras av Italiens integritetsskyddsmyndighet Il Garante. Den 10 juli 2021 publicerade Il Garante nya riktlinjer för användning av cookies på webbplatser.

Den huvudsakliga förändringen är kravet att inhämta ett uttryckligt samtycke från webbplatsens besökare för att kunna använda cookies som samlar in och behandlar personuppgifter, till exempel cookies för spårning.

I synnerhet att webbplatser måste inhämta användarens samtycke innan cookies sätts (förutom för tekniskt nödvändiga cookies).

Den italienska integritetsskyddsmyndigheten lyfter fram ett antal krav för inhämtningen av samtycke till cookies, i linje med nyligen publicerade riktlinjer från Frankrikes CNIL, Spaniens AEPD och Danmarks Datatilsynet.

Syftet med de reviderade riktlinjerna är att säkerställa att italienska webbplatsägare och företag får tydlig information om hur de kan efterleva GDPR och ePrivacy-direktivet (den “europeiska cookielagen”) när de använder cookies och annan spårningsteknik.

I den här artikeln gör vi en djupdykning i riktlinjerna för att inhämta giltigt samtycke till cookies i Italien.

Här hittar du allt du behöver veta om nationella riktlinjer, internationella dataskyddslagar och ramverk.
Copyright © 2022

- Webinars - Webinars - Webinars - Webinars

- Webinars - Webinars - Webinars - Webinars