Cookie-lagen i Sverige

Blogg
Sally Stenberg, jurist på Post- och telestyrelsen. Den myndighet som har ansvar för “cookie-lagen” i Sverige.
Innehållsförteckning
Bild på Sally Stenberg, jurist på Post och telestyrelsen

Varför kom Post- och telestyrelsen ut med riktlinjer i sommar, och inte redan 2018 när GDPR slog in dörrarna på Svea rike? Sally Stenberg, jurist på Post- och telestyrelsen, förklarar. Hon svarar också på frågan: Men kommer vi att få några böter om vi inte följer riktlinjerna?

I Danmark har 80 % av de 500 största företagen en korrekt lösning för cookie-användning på sina webbplatser. I Sverige är motsvarande siffra 20%, visar en uppskattning vi gjort. Sally Stenberg är förvånad över att siffrorna är så höga i Danmark, men menar att det nu finns en positiv trend också i vårt land där allt fler börjar inse vikten av ett ordentlig samtycke. Förhoppningen är, säger hon, att den ska bli mycket högre i Sverige också. Hennes myndighet står redo att dra igång ett ordentligt arbete för att öka regelefterlevnaden på området.

För det råder väl ingen tvekan om saken? Den som vill använda sig av icke nödvändiga cookies eller kakor på sin webbplats för att spåra en besökare måste först få tillåtelse till det, inte sant?

Integritet – grundläggande inom telekom

– Ja, svarar Sally Stenberg och förklara att integritet är en viktig grundläggande princip inom telekom. – Din kommunikation ska vara sekretessbelagd och inte komma på avvägar. Om man tittar på våra traditionella områden, telefoni och internet är det mycket tydligt att en operatör vare sig får ta del av din kommunikation eller sprida den. – Men när det kommer till de så kallade OTT-tjänsterna …

Vänta, vad är OTT-tjänster?

– Det står för “Over the top-tjänster”. Det vill säga tjänster som ligger som ett lager ovanpå “nätet”, till skillnad från telefoni som är en tjänst “i sig”. Ett annat namn för OTT-tjänster är nummer-oberoende tjänster. En webbplats eller en app är två OTT-tjänster.

– OTT-tjänster har varit mindre reglerade, säger Sally Stenberg och förklarar att människor överlag därför inte är lika medvetna om att det inte funnits samma skydd för kommunikation som går över en tjänst som WhatsApp än ett “vanligt” sms som går genom mobiloperatören.

Riktlinjerna kom först sommaren 2022

2003 införlivades ePrivacy* direktivet i svensk lag. Varför är det först sommaren 2022 som Post- och Telestyrelsen gett ut tydliga riktlinjer på området?

*ePrivacy direktivet kallas inofficiellt för den europeiska cookie-lagen.

Sally, som har en bakgrund inom konsumenträtt, började arbeta på PTS 2017. För att svara på denna fråga har hon därför fått gräva lite i arkiven.

– När ePrivacy införlivades i Lagen om elektronisk kommunikation (LEK) 2003 gjorde vi i Sverige bedömningen att den hör till Post- och telestyrelsens ansvarsområde. Men 2016 kom en ny utredning fram till att cookie-frågan borde ligga hos Datainspektionen. Det som idag är Integritetsskyddsmyndigheten (IMY).

Sally Stenberg förklarar att man aldrig gjorde den ansvarsöverlämningen eftersom “alla” först ville invänta den nya europeiska ePrivacy-förordningen*. Den skulle ha kommit samtidigt som GDPR, men har dragit ut på tiden.

En faktaruta som förklarar skillnaden mellan direktiv och förordning. Det vill säga skillnaden mellen ePrivacy direktivet och GDPR förordningen.

– Man ansåg att det skulle bli mer naturligt att föra över kakfrågan till IMY i samband med att ePrivacy-förordningen verkställdes.

– Jag vet inte om man kommer dra samma slutsats idag, men 2015 höll även PTS med om att kakfrågan borde ligga hos IMY, säger Sally Stenberg.

Ok, betyder det att (dåvarande) Datainspektionen hade synpunkter på hur PTS hanterade kakfrågan?

– Ja. När ePrivacy blev en del av LEK 2003 pratade vi om vikten av att dessa regler inte skulle stoppa upp surfandet. Det fick inte bli en börda för användarna. Därför var PTS inne på att det skulle räcka om man som individ ställde in och blockerade cookies via sin egen webbläsare. Men det höll inte Datainspektionen med om.

Sally understryker att Datainspektionen hade rätt, eftersom GDPR, när den kom 2018, skärpte fråga-först-plikten. Det blev tydligare att ansvaret inte låg hos den enskilde surfaren, utan hos den som äger webbplatsen eller appen.

Så förutom att man velat invänta ePrivacy-förordningen har det rått en osäkerhet kring vilken myndighet som bör äga frågan. Men nu är det PTS som äger frågan, och riktlinjerna kom ut nu i sommar. Riktlinjer som speglar andra EU-länders motsvarighet, och på ett tydligt sätt förklarar vad man får och inte får göra som webbplatsägare. 

Jag noterar samtidigt att LEK har fått en uppdatering, vad betyder den för kakfrågan? 

 – Tanken är inte att den nya LEK (LEK 2022:482) ska innebära någon förändring i (kak)sak(en). Den nya LEK bygger på EU:s direktiv 2018/1972 om inrättandet av en europeisk kodex för elektronisk kommunikation. Den nya LEK betyder en viss utökning av vilka aktörer eller tjänster som omfattas av den. Förutom telefoni och internet så omfattar nya LEK också OTT-tjänsterna som jag nämnde tidigare.

 

Vad kommer PTS göra nu?

– Med stor sannolikt kommer vi nu i höst att fokusera på de fall man finner särskilt anmärkningsvärda i hur de hanterar och placerar cookies.

Är förhoppningen att ert arbete ska skapa uppmärksamhet och på så vis öka medvetenheten?

– Ja, och då kan vi utveckla informationen både på vår webbplats och i rapportform så att det blir lätt att sprida hur man får agera i den här frågan.

Böter

Men skulle ni kunna bötfälla någon som bryter mot cookie-lagen? Hur går det i så fall till?

– Om vi ser att ett företag verkar bryta mot reglerna börjar vi med att skicka ut ett frågeformulär. När vi fått in informationen vi behöver gör vi en bedömning om personen är compliant eller inte. Om det är ett negativt beslut skickar vi ut en underrättelse till företaget som får en viss tidsrymd på sig att svara på informationen.

– Om företaget inte håller med om vår bedömning kan vi förelägga att de ska göra en förändring. Ett sådant föreläggande kan innehålla ett vite.

Ett föreläggande är ett tvingande beslut, förklarar Sally Stenberg. Där den undersökte är tvungen att vidta vissa åtgärder inom ett visst tidsutrymme.

– Om de inte gör vad vi kräver kan vi ta det till domstolen där företaget eller den granskade webbplatsägaren får möjlighet att yttra sig, och även överklaga.

Det kan låta drastiskt med domstol, men Sally Stenberg förklarar att värdet av sådana prövningar är att man då får en etablerad rättspraxis på området, vilket hjälper till i det fortsatta arbetet med cookies.