7 enkla steg för att följa
de svenska cookie-reglerna:
-
Informera besökarna om cookies
-
Gör det möjligt för användarna att enkelt säga ja eller nej till cookies
-
Inhämta samtycke efter ändamål (marknadsföring, statistik, funktionella)
-
Använd inga förifyllda kryssrutor (för cookie-ändamål)
-
Gör det enkelt att ångra samtycket
-
Inhämta samtycke INNAN cookies sätts eller används
-
Lagra alla samtycken i fem år
Vilka regler gäller för cookies i Sverige?
Det finns två lagar du bör känna till om du använder cookies eller någon annan spårningsteknik på dina webbplatser eller appar i Sverige.
Lagen om elektronisk kommunikation (LEK)
- Den allmänna dataskyddsförordningen (GDPR)
Dessa två lagar innehåller de regler som bestämmer hur du – som webbplats- eller appägare – ska inhämta samtycke till cookies i Sverige.
Lagtext kan dock vara svår att läsa och full med jargong. Vi går därför igenom lagarna på ett mer lättförståeligt sätt i denna text så att du kan vidta de åtgärder som behövs.
Vem riktar den sig till? Alla som äger eller driver en webbplats i Sverige som använder cookies eller annan spårningsteknik.
Vad bör du göra? Informera dina besökare om de cookies du använder och inhämta ett GDPR-giltigt samtycke innan de används.
Även om vi huvudsakligen talar om cookies i den här artikeln så menar vi med “cookies” all typ av teknik avsedd att lagra och samla in personuppgifter från användarna av en webbplats eller app och behandla uppgifterna främst i marknadsföringssyfte (till exempel fingerprinting, webb-beacons och pixlar).
Lagen om elektronisk kommunikation (LEK)
De svenska cookiereglerna finns i lagen (2022:482) om elektronisk kommunikation (LEK).
“Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den.”
De svenska cookiereglerna fastställer att:
- Alla webbplatsbesökare ska informeras om vilka cookies webbplatsen använder, vilka uppgifter de samlar in och för vilket ändamål.
- Alla besökare måste ge samtycke till cookies innan en webbplats kan använda cookies.
Avsnittet kommer till stora delar från det europeiska ePrivacy-direktivet från 2002 som ofta kallas den europeiska “cookielagen”.
LEK är under tillsyn av den svenska Post- och telestyrelsen (PTS).
Detta innebär att alla svenska webbplatser och appar måste ha en cookie-popup som informerar deras besökare om cookies och ber om samtycke till dess användning.
Användningen av cookies regleras också av den allmänna dataskyddsförordningen (GDPR) i de fall cookies samlar in, lagrar och behandlar besökares personuppgifter.
Den allmänna dataskyddsförordningen (GDPR)
GDPR reglerar databehandling och hur du tillåts hantera dina användares personuppgifter.
Ordet “cookie” nämns bara en gång, men GDPR handlar helt och hållet om de uppgifter som de flesta cookies samlar in.
Om de cookies (satta av dig själv eller tredje part) du använder på en webbplats eller app lagrar och/eller samlar in personuppgifter från dina användare så är du skyldig att inhämta ett samtycke i enlighet med GDPR.
Om du använder spårningscookies så gäller reglerna för samtycke i GDPR.
Enligt artikel 4.11 i GDPR ska ett giltigt samtycke vara:
- Frivilligt: Dina besökare måste kunna godkänna eller avvisa cookies.
- Specifikt: Samtycket måste vara ändamålsspecifikt. Du får bara be om samtycke för ett ändamål åt gången (statistik, marknadsföring, funktionella).
- Informerat: Du måste informera dina besökare om vilka cookies du använder, vilka data de samlar in, i vilket syfte, av vilka, och hur länge cookies sparas.
- Otvetydigt: Dina besökare måste aktivt ge samtycke genom att klicka på en ruta eller knapp i din samtyckespopup.
Med “samtycke” från den registrerade menas “varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.
När du använder cookies måste du enligt GDPR:
- Erhålla ett frivilligt, informerat, specifikt och otvetydigt samtycke.
- Inhämta samtycke till cookies innan du sätter några cookies på användarens enhet (dator/surfplatta/telefon).
- Spara användarnas samtycken i fem år (som dokumentation).
Cookies och GDPR – vad innebär det för dig?
Det innebär:
Om du använder cookies som sätts av dig själv eller av tredjepartstjänster som:
- Google (till exempel Analytics)
- YouTube
- TikTok
- Amazon
- och många andra …
som samlar in personuppgifter från dina besökare, så som:
- Användar-id
- Cookie-id
- Ip-adress
- Geografiskt plats
- Andra onlineidentifikatorer
i syfte att rikta annonser på internet, så måste du inhämta ett GDPR-giltigt samtycke till cookies (med hjälp av cookiebannern).
Hur du efterlever den svenska cookielagen
Du kan efterleva de svenska cookiereglerna och GDPR genom att inhämta giltiga samtycken till cookies.
Men hur gör man det?
För det första behöver du en cookiebanner.
Men det räcker inte med en cookiebanner som bara visar texten “vi använder cookies – genom att använda sidan godkänner du”.
Ett giltigt samtycke måste vara frivilligt, specifikt, informerat och otvetydigt.
Rent praktiskt innebär det att din cookiebanner måste leva upp vissa krav.
Din cookiebanner måste ge användarna möjligheten att:
- Säga JA eller NEJ till cookies (frivilligt).
- Lämna samtycke för ett särskilt ändamål åt gången, som statistik, marknadsföring och så vidare (specifikt).
- Göra sitt val på ett informerat sätt (informerat). Berätta vilka cookies du använder och vilka data de samlar in.
- Användaren måste vara fullständigt medveten om att de lämnar samtycke (otvetydigt). Samtycke är inte att skrolla, svepa eller bara fortsätta använda webbplatsen eller appen.
Förutom det måste den:
- Göra det enkelt för användarna att ändra eller återkalla samtycket till cookies.
- Spara alla samtycken i fem år (för den händelse att myndigheterna vill se dem).
En banner som lever upp till GDPR kan se ut ungefär så här:
Du kan alltid kontakta oss med frågor om hur du skaffar en GDPR-giltig cookiebanner till din webbplats eller app.
Vanliga frågor om cookies och samtycke i Sverige
[Fråga] – Vi använder inte cookies på vår webbplats!
[Svar] – De flesta webbplatser använder cookies. Antingen är de tekniskt nödvändiga för webbplatsens funktion (till exempel för att komma ihåg språkval, inloggningar eller kundkorgar) eller så sätts de på din webbplats av de tjänster du använder, så som Google Analytics, Facebook, Instagram, LinkedIn och Hotjar.
[Fråga] – Vår webbplats varken samlar in eller behandlar personuppgifter!
[Svar] – Kanske inte, men tredjepartstjänster som Google Analytics, Facebook, Hotjar och Amazon gör! Om ni använder en tredjepartstjänst som sätter cookies via er webbplats är ni personuppgiftsansvarig (enligt GDPR), så det är ert ansvar att erhålla samtycke till dessa cookies.
[Fråga] – Kan vi använda Google Analytics utan samtycke?
[Svar] – Nej. Google Analytics använder flera cookies som samlar in personuppgifter från besökarna, som används för att ge insikter i din målgrupp, värvningar och användarbeteende. Det är endast möjligt med beständiga cookies som spårar användaren på din webbplats. Om du använder Google Analytics borde du definitivt inhämta GDPR-giltiga samtycken till cookies.
[Fråga] – Vad är tekniskt nödvändiga cookies?
[Svar] – Tekniskt nödvändiga cookies är nödvändiga för att dina besökare ska kunna navigera på webbplatsen och använda dess funktioner. Det kan till exempel röra sig om cookies för inloggningar eller kundkorgar (så att informationen inte försvinner när besökaren byter sida). Google Analytics är inte tekniskt nödvändiga cookies. Tyvärr.
[Fråga] – Hur vet jag om min webbplats följer GDPR?
[Svar] – Genom att låta den undersökas av en leverantör av samtyckeshanteringsplattformar som Cookie Information. Vi kan snabbt och enkelt avgöra om din webbplats använder cookies som det inte inhämtas samtycke för. Få en gratis efterlevnadskontroll från Cookie Information här. Helt utan förpliktelser.
