INTERNATIONELLA DATASKYDDSLAGAR

Lagar och
ramverk

Vilka dataskyddslagar gäller ditt företag och hur de kan påverka din verksamhet i andra länder. Här är en genomgång av de viktigaste internationella dataskyddslagarna.

Lista med dataskyddslagar

Varför dataskydd har betydelse för cookies

Antalet genomtänkt dataskyddslagar växer globalt. Det betyder att fler länder etablerar regler och riktlinjer för cookies och samtycke – och inte minst för hur man får hantera de personuppgifter som de flesta cookies på webbplatser samlar in.

Här får du en överblick på nationella och internationella dataskyddslagar och riktlinjer och hur ditt företag kan leva upp till dem.

Den här sidan är uppdelad per land och lagstiftning. 

GDPR – Den allmänna dataskyddsförordningen

Den allmänna dataskyddsförordningen (GDPR) är en lag om dataskydd och integritet inom den Europeiska unionen. Den trädde i kraft 25 maj 2018 i alla EU:s medlemsländer och är utformad för att harmonisera dataskyddslagarna runtom i Europa. Syftet med GDPR är att skydda EU-medborgarnas integritet och förändra verksamheters sätt att samla in personuppgifter.

GDPR reglerar särskilt hur personuppgifter får samlas in och behandlas på ett lagenligt sätt. Det inkluderar användning av cookies och annan spårningsteknik.

För att samla in och behandla EU-medborgares personuppgifter krävs att du inhämtar giltigt samtycke.

Många av de cookies – och annan spårningsteknik – som webbplatser använder i dag samlar in personuppgifter från besökarna. Datan behandlas sedan av tredje part i marknadsföringssyfte.

Det gäller vanligen ip-adresser, geografisk plats och annan identifierbar information som kan användas för att följa användarens beteende på webben.

Om du använder cookies som samlar in personuppgifter måste du inhämta giltigt samtycke från användaren. Det gäller även för cookies som sätts på din webbplats av tredje part, som exempelvis Google, Facebook och Amazon.

ePrivacy-direktivet (den europeiska cookielagen)

ePrivacy-direktivet (direktiv om integritet och elektronisk kommunikation 2002/58/EG) är ett europeiskt direktiv från 2002. Målet med ePrivacy-direktivet är att standardisera reglerna för dataskydd inom elektronisk kommunikation i den Europeiska unionen (EU).

ePrivacy-direktivet reglerar användningen av cookies, e-postmarknadsföring och andra integritetsrelaterade områden som berör EU-medborgare.

Direktivet kallas också den europeiska "cookielagen". Det fastställer att alla webbplatser måste informera sina besökare om cookies och be om samtycke till dess användning.

Det är i huvudsak på grund av detta direktiv som vi ser ett ökande antal cookiebanners på internet i dag.

Direktivet är inte en bindande lag i sig självt – som GDPR – utan ett antal mål som medlemsländerna införlivar i sin egen nationella lagstiftning på området. Flera EU-länder har gjort precis det. Det är därför nationella cookieregler fortfarande existerar.

ePrivacy-direktivet ratificerades 2002 och reviderades 2009. Just nu pågår ett arbete för att ersätta ePrivacy-direktivet med en ePrivacyförordning. Medans ett direktiv ska eller måste införlivas av respektive medlemsstat för att få verkning är en förordning en EU-lag som per default står över nationella lagar från att den klubbas igenom.

ePrivacy-förordningen (den kommande europeiska cookielagen)

ePrivacy-förordningen (förordning om integritet och elektronisk kommunikation) är således mer känt som den europeiska cookie-lagen, och är, som sagt, ämnad att ersätta ePrivacy-direktivet. 

Förordningen kommer att standardisera de europeiska lagarna om elektronisk kommunikation så att det blir lika i alla EU:s medlemsländer. 

Målet är att stärka konsumenternas integritet online så att lagarna bättre speglar den verklighet vi lever i. Föregångaren, ePrivacy-direktivet, antogs 2002 i en tid då spårningsteknik och personuppgiftsdata inte var lika utvecklat.

ePrivacy-förordningen kommer att gälla för alla elektroniska kommunikationstjänster och företag som samlar in, lagrar och behandlar EU-medborgares data, oavsett var och hur det sker. Det vill säga oavsett om det sker på webbplatser eller i appar, och med det görs med hjälp av cookies eller annan spårningsteknik (till exempel fingerprinting, beacons eller pixlar).

ePrivacy-förordningen var tänkt att träda i kraft 2018 tillsammans med GDPR, men har blivit försenad i Europaparlamentet flera gånger.

CCPA – California Consumer Privacy Act

California Consumer Privacy Act (CCPA) är en dataskyddslag som syftar till att stärka integritetsskyddet och konsumentskyddet för invånare i Kalifornien, USA.

CCPA trädde i kraft 1 januari 2020 och reglerar hur företag tillåts samla in, dela och behandla personuppgifter som tillhör invånarna i Kalifornien.

För företag innebär CCPA att de måste respektera konsumenternas rättighet till integritet i enligheten med lagen. Det betyder att företag måste utvärdera sin datainsamling och databehandling och vidta nödvändiga åtgärder för att leva upp till de hårda kraven i CCPA.

Om du använder cookies som samlar in (och behandlar) personuppgifter från boende i Kalifornien måste du använda en särskild cookie-popup för samtycke som inkluderar en "sälj inte vidare"-länk.

Länken låter besökarna tacka nej till marknadsföring och datainsamling via cookies på din webbplats.

Underlåtenhet att följa CCPA kan leda till upp till 7 500 USD i böter för varje överträdelse och 750 USD i skadestånd till varje berörd användare.

Undersök om ditt företag påverkas av CCPA och hur du kan efterleva CCPA.

CPRA – California Privacy Rights Act

California Privacy Rights Act (CPRA) kompletterar California Consumer Privacy Act (CCPA) med ett antal tillägg.

CPRA träder i kraft 1 januari 2023, men är aktiv från 1 juli 2022. Notera dock att företag måste följa lagen från och med 1 januari 2022. CPRA bygger vidare på CCPA genom att stärka konsumenters och anställdas rätt till integritet.

Med CPRA etableras dessutom en tillsynsmyndighet för att skydda konsumenterna i Kalifornien mer effektivt. Enligt CPRA måste företag i Kalifornien eller företag som samlar och behandlar personuppgifter om invånare i Kalifornien fullt ut förstå vilken data de behandlar och för vilket ändamål.

LGPD – Brasiliens dataskyddslag

Brasiliens allmänna dataskyddslag (Lei Geral de Proteção de Dados Pessoais, LGPD) är en brasiliansk dataskyddslag som trädde i kraft 15 augusti 2020.

LGPD förtydligar Brasiliens juridiska ramverk eftersom den försöker förena över 40 olika lagar som reglerar behandlingen av personuppgifter.

Med inspiration från EU:s allmänna dataskyddsförordning (GDPR) ställer LGPD krav på hur företag och organisationer tillåts samla in, hantera, lagra och dela personuppgifter från Brasiliens invånare.

Om du har ett brasilianskt företag – eller ett företag utanför Brasilien med verksamhet på den brasilianska marknaden – och använder cookies på din webbplats så gäller LGPD för dig.

Precis som med GDPR så kräver LGPD att webbplatsägare inhämtar giltigt samtycke till cookies om dessa cookies samlar in personuppgifter från besökarna, så som ip-adress, geografisk plats, användar-id, cookie-id och så vidare.

PDPA – Thailands Personal Data Protection Act

Thailands Personal Data Protection Act (PDPA) publicerades 27 maj 2019 i Royal Thai Government Gazette och är den första lagen om dataskydd i Thailand.

Huvudsyftet bakom Thailands PDPA är att reglera hur företag får behandla personuppgifter för kommersiellt syfte. Den skyddar thailändska invånare från otillåten insamling och användning av personuppgifter.

PDPA gäller alla företag och organisationer som är baserade i Thailand och alla företag med affärsverksamhet i Thailand.

Om din webbplats använder cookies kräver PDPA att du inhämtar samtycke innan några personuppgifter samlas in eller behandlas via cookies eller annan spårningsteknik.

Den thailändska regeringen sköt upp tillämpningen av PDPA till den 31 maj 2022 på grund av konsekvenserna av covid-19.

POPIA – Sydafrikas Protection of Personal Information Act

POPIA står för Sydafrikas Protection of Personal Information Act. POPIA definierar personuppgifter brett för att säkra den sydafrikanska befolkningens rätt till integritet, men lagen är utformad med EU:s allmänna dataskyddsförordning (GDPR) som modell.

POPIA gäller alla organisationer och företag som önskar behandla sydafrikanska invånares personuppgifter, oavsett om företaget är beläget i eller utanför Sydafrika.

Om du använder cookies, på din webbplats, som samlar in och behandlar besökarnas personuppgifter (till exempel använder Google Analytics, Facebook eller Instagram) så måste du inhämta giltigt samtycke.

POPIA definierar samtycke som: “any voluntary, specific and informed expression of will in terms of which permission is given for the processing of personal information”.

Samtycke kan erhållas med hjälp av en cookiepopup för samtycke som informerar om webbplatsens cookies, inhämtar och lagrar alla besökares samtycken.

POPIA trädde i kraft 1 juli 2020 och började tillämpas 1 juli 2021. Brott mot POPIA kan leda till böter om upp till 10 miljoner ZAR (6 miljoner kr).

PIPEDA – Kanadas Personal Information Protection and Electronic Documents Act

Personal Information Protection and Electronic Documents Act (PIPEDA) är Kanadas dataskyddslag om insamling, användning och behandling av personuppgifter inom kommersiell verksamhet.

Den viktigaste aspekten av PIPEDA är att inhämta samtycke för att samla in och behandla personuppgifter.

Det innebär att om du har en webbplats där du använder tjänster som sätter cookies på din webbplats (till exempel Google Analytics, Facebook, Youtube eller någon annan tredjepartstjänst), så måste du inhämta giltigt samtycke till cookies innan cookies sätts på din besökares dator eller telefon.

Inhämta giltigt samtycke med en cookiepopup för samtycke som informerar besökare om webbplatsens cookies och inhämtar och lagrar deras giltiga samtycken.

Personuppgifter kan endast användas för de ändamål de insamlats. Om en organisation ämnar använda dem för ett annat ändamål måste de inhämta ett nytt samtycke.

PIPEDA gäller alla företag och organisationer inom Kanadas landsgränser, men också alla utanför Kanada som gör affärer med invånare i Kanada.

IAB Transparency and Consent Framework TCF 2.0

IAB står för Interactive Advertising Bureau (IAB). Den 15 augusti 2020 lanserade de den uppdaterade versionen av deras Transparency and Consent Framework (TCF 2.0). Syftet med TCF 2.0 är att standardisera processen för hur hemsidor hämtar in samtycke från sina besökare.

I flera år har IAB:s TCF accepterats som ett standardiserat ramverk för hur man följer de europeiska regleringarna. Men sedan våren 2022 har DSB, (Belgien Data Protection Authority) deklarerat att IAB:s TCF inte håller måttet. Det betyder att den inte är kompatibel med GDPR.

Beslutet har tvingat reklambranschen i Europa att skyndsamt se sig om efter nya lösningar. De fick 6 månader på sig. Med DSB:s beslut har europeiska dataskyddsmyndigheter rekommenderat eller instruerat webbplatsägare att överge TCF.

Vi rekommenderar att den som använt TCF istället använder en plattform för samtycke  en så kallad Consent Management Platform, som det heter på ren engelska.

Sedan våren 2022 har DSB deklarerat att IAB:s TFC inte håller måttet. Det betyder att den inte är kompatibel med GDPR.

Schrems II – data till osäkra tredjeländer

I juli 2020 meddelade EU-domstolen sitt utslag i fallet Schrems II. Domstolen ogiltigförklarade omedelbart Privacy Shield-avtalet mellan EU och USA. Det är ett avtal som många företag förlitat sig på för överföring av personuppgifter mellan de två territorierna.

Privacy Shield-avtalet ogiltigförklarades för att man inte kunde utesluta att EU-medborgares data skulle kunna övervakas av USA:s federala myndigheter och säkerhetsmyndigheter.

Domen kallas för Schrems II efter den österrikiske juristen och aktivisten Max Schrems som gjorde en anmälan mot Facebook för deras dataöverföringsmetoder av personuppgifter.

Med Schrems II-domen måste europeiska företag ta ansvar för och bedöma om dataöverföringar till länder som inte anses säkra kan ske.

Den 4 juni 2021 ersatte EU-kommissionen det gamla Privacy Shield-avtalet med standardavtalsklausuler (Standard Contractual Clauses, SCC) för överföring av personuppgifter mellan EU och osäkra tredjeländer (inklusive USA).

Utslaget i Schrems II är relevant för dig som personuppgiftsansvarig om du:

Överför personuppgifter från EU/EES till länder som EU-kommissionen inte bedömt vara säkra tredjeländer.

Kan jag överföra data till tredje land? Hur gör jag?

 

Börja med att skaffa en översikt över vilka data din organisation överför till länder utanför EU/EES.

Undersök sedan grunden till överföringarna. Regleras grunderna till överföring i de så kallade standardavtalsklausulerna?

Om du har en webbplats som använder cookies som sätts av tjänster baserade i USA eller delar data med företag i USA bör du:

  • Undersöka vilka cookies som överför data till länder utanför EU/EES.
  • När du hittat dem, kontakta tjänsteleverantören och be dem gå över till att använda standardavtalsklausulerna.

Om det inte är möjligt att använda standardavtalsklausuler kan du gå vidare på följande sätt:

  • Du stoppar dataöverföringen och låter datan stanna inom EU/EES.
  • Du inhämtar samtycke från slutanvändaren för dataöverföringen till USA.
  • Du stoppar dataöverföringen genom att byta till en annan tjänsteleverantör.

PIPL – Kinas Personal Information Protection Law

Kinas Personal Information Protection Law (PIPL) är landets första nationella dataskyddslag.

PIPL trädde i kraft 1 november 2021 och kommer dramatiskt förändra hur företag och organisationer samlar in, hanterar och behandlar kinesiska invånares personuppgifter.

PIPL är utformad med EU:s allmänna dataskyddsförordning (GDPR) som modell och inför tydliga restriktioner för hur data får samlas in, behandlas och överföras. Lagen fokuserar huvudsakligen på hur personuppgifter används på webbplatser och i appar i marknadsföringssyfte och att förbjuda överföring av personuppgifter till osäkra länder.

Målet med PIPL är att skydda den kinesiska befolkningens rättigheter och intressen och reglera behandlingen av personuppgifter.

För att samla in och behandla personuppgifter i Kina eller när du riktar dig till kinesiska kunder, behöver du inhämta ett giltig samtycke.

Det innebär att om du använder cookies på din webbplats måste du inhämta giltig samtycke.

Besökarna måste informeras om de cookies du använder och ge samtycke till användningen även om de sätts av tredjepartstjänster som Taobao, Tmall eller någon annan tjänst i eller utanför Kina.

Samtycke definieras i PIPL med liknande strikta krav som ställs på samtycke i GDPR. Samtycke måste vara informerat, frivilligt, specifikt och otvetydigt.

Google samtyckesläge

Google samtyckesläge är ett API från Google som presenterades i september 2020. Det är ett sätt för Google att upprätthålla sina digitala annonseringstjänster samtidigt som man bemöter kraven på personlig integritet.

API:et gör det möjligt för webbplatser att få data från Google-tjänster som Google Analytics och Google Ads samtidigt som de lever upp till kraven i GDPR.

För att använda Googles samtyckesläge behöver den integreras med webbplatsens samtyckesplattform. Det gör det möjligt för sidan att skicka anpassad data, till exempel anonymiserad data, beroende på om webbplatsbesökaren har sagt ja eller nej tack till cookies. 

Den låter dig mäta webbplatstrafik och konverteringar mer effektivt samtidigt som du respekterar dina besökares samtyckesval för analys och annonsering.

Reglerna för hur du inhämtar giltigt samtycke till cookies och annan spårningsteknik blir alltjämt mer samstämmiga runtom i världen. Samtidigt kan reglerna för att inhämta giltigt samtycke, och respektera andra aspekter av dataskyddslagar, vara komplexa. Det finns olika tolkningar av hur de ska efterlevas.

Fler och fler länder uppdaterar eller implementerar dataskyddslagar för att ge företag tydliga riktlinjer för hur personuppgifter ska insamlas och behandlas.

Regler om cookies och samtycke i Danmark – en snabbguide

I Danmark redogörs cookiereglerna i den danska cookielagen (“Cookiebekendtgørelsen”), under tillsyn av den danska företagsmyndigheten Erhvervsstyrelsen.

Behandlingen av de personuppgifter som de flesta cookies och spårare samlar in är dock under tillsyn av den danska integritetsskyddsmyndigheten (“Datatilsynet”) och reglerna är samstämmiga med reglerna för databehandling i den allmänna dataskyddsförordningen (GDPR).

Om du använder cookies eller annan teknik för att samla in och behandla personuppgifter om dina webbplatsbesökare måste du inhämta giltigt samtycke innan du sätter några cookies på besökarnas datorer.

Riktlinjerna för att inhämta giltigt samtycke i Danmark är ganska hårda och har nyligen uppdaterats av den danska integritetsskyddsmyndigheten.

I den här artikeln gör vi en djupdykning i riktlinjerna för hur du inhämtar giltigt samtycke till cookies i Danmark.

Regler om cookies och samtycke i Norge – en snabbguide

I Norge finns reglerna för cookies i den norska lagen om elektronisk kommunikation (lov om elektronisk kommunikasjon, Ekomloven)

År 2013 lades ett nytt beslut till i ekomlagen gällande de uppgifter som sparas i cookies, den så kallade “cookieparagrafen” i 2 kap. 7 b §.

Den fastställer att du måste informera besökarna om cookies
och inhämta samtycke för användningen av cookies.

I november 2019 fastslog den norska kommunikationsmyndigheten (“Nasjonal kommunikasjonsmyndighet, Nkom”), som är tillsynsmyndighet för lagen, uttryckligen att samtycke krävs innan webbplatser får sätta cookies.

Om cookies insamlar och behandlar personuppgifter ska reglerna för samtycke följa den allmänna dataskyddsförordningen, tillade den norska integritetsskyddsmyndigheten (“Datatilsynet”).

Regler om cookies och samtycke i Sverige – en snabbguide

Enligt den svenska lagen (2003:389) om elektronisk kommunikation måste alla webbplatser som använder cookies ge besökarna full tillgång till information om de cookies som används, vilka som äger dem och vilka uppgifter de samlar in. 2022 uppdaterades lagen om elektronisk kommunikation 2022:482. I samma veva fick Post- och telestyrelsen huvudansvaret för de svenska cookie-reglerna och efterlevnaden av dem.

Webbplatsen måste dessutom inhämta ett giltigt samtycke från besökaren för att kunna sätta cookies.

Om din webbplats använder cookies som samlar in personuppgifter som ip-adress, enhets-id, geografisk plats eller andra uppgifter som kan använas för att direkt eller indirekt identifiera användaren måste du inhämta samtycke i enlighet med reglerna i GDPR.

I den här artikeln gör vi en djupdykning i riktlinjerna för att inhämta giltigt samtycke till cookies i Sverige.

Regler om cookies och samtycke i Finland – en snabbguide

Om din webbplats använder cookies måste du inhämta giltigt samtycke. Den 4 maj 2021 publicerade det finska Transport- och kommunikationsverket förändringar i de finska råden om cookies.

Den efterlängtade uppdateringen innebär ett slut på den finska cookiesagan eftersom anvisningarna nu är i linje med reglerna för samtycke så som de är formulerade i dataskyddsförordningen (GDPR).

Om din webbplats använder cookies måste du inhämta giltig samtycke enligt de nya anvisningarna. Samtycke måste ges via en cookiepopup för samtycke och leva upp till kraven på samtycke i GDPR.

Samtycke till cookies kan inte längre lämnas via webbläsarens inställningar utan måste följa kraven i GDPR.

Samtycke till cookies måste vara frivilligt, specifikt, informerat och otvetydigt. Det nya beslutet förväntas påverka webbplatser för tusentals företag och förändra sättet samtycke till cookies inhämtas.

Regler om cookies och samtycke i Frankrike – en snabbguide

I Frankrike är det Commission nationale de l’informatique et des libertés (CNIL) som ansvarar för cookie-riktlinjerna. De franska riktlinjerna är i linje med reglerna för samtycke i den allmänna data-skyddsförordningen (GDPR).

Med de senaste franska riktlinjerna för cookies fastslog CNIL att webbplatser inte får sätta cookies för att spåra besökare innan besökaren uttryckligen har lämnat sitt samtycke.

För att använda cookies på en webbplats krävs att webbplatsen informerar besökarna om cookies och inhämtar deras samtycke för dess användning.

CNIL reviderade riktlinjerna för cookies den 1 oktober 2020 och reglerna för samtycke är nu huggna i sten. Fyra viktiga saker att lyfta fram från CNIL:s riktlinjer är:

  • Att skrolla eller svepa vidare anses inte längre utgöra ett giltig samtycke.
  • Användare måste aktivt lämna sitt samtycke genom att klicka på “Jag accepterar”.
  • Användare måste kunna avvisa cookies (klicka “Nej”).
  • Alla samtycken måste sparas som dokumentation.

CNIL har delat ut några av de största GDPR-böterna i Europa. Böter som gått till tech-giganter, för hur de olovlig använt cookies och behandlat sidbesökarnas personuppgifter.

Regler om cookies och samtycke i Italien – en snabbguide

De italienska riktlinjerna för cookies hanteras av Italiens integritetsskyddsmyndighet Il Garante. Den 10 juli 2021 publicerade Il Garante nya riktlinjer för användning av cookies på webbplatser.

Den huvudsakliga förändringen består i att alla som äger en webbsida måste inhämta ett samtycke från webbplatsens besökare – om webbsidan använder cookies och vill behandla personuppgifter.

Webbplatser måste inhämta användarens samtycke innan cookies sätts (förutom tekniskt nödvändiga cookies).

Den italienska integritetsskyddsmyndigheten lyfter fram ett antal krav för inhämtningen av samtycke till cookies. De är i linje med riktlinjerna från Frankrikes CNIL, Spaniens AEPD och Danmarks Datatilsynet.

Syftet med de reviderade riktlinjerna är att säkerställa att italienska webbplatsägare och företag får tydlig information om hur de kan efterleva GDPR och ePrivacy-direktivet (den “europeiska cookielagen”) när de använder cookies och annan spårningsteknik.

I den här artikeln gör vi en djupdykning i riktlinjerna för att inhämta giltigt samtycke till cookies i Italien.

Här hittar du allt du behöver veta om nationella riktlinjer, internationella dataskyddslagar och ramverk.