Varför bör man inhämta samtycke till cookies?
Det blåser nya vindar i det juridiska landskapet och det påverkar hur du som webbplatsägare ska inhämta samtycken till cookies i Sverige.
Mycket har hänt sedan GDPR trädde i kraft 2018! Nya domar och riktlinjer har implementerats runtom i Europa och Sverige är inget undantag.
I den här artikeln går vi igenom varför du måste inhämta samtycke till cookies i Sverige.
Länk: Förklaring av de svenska cookiereglerna [2022]
Nästan alla webbplatser använder cookies. De flesta är spårningscookies. Dessa cookies samlar dina besökares personuppgifter (ip-adress, enhets-id, geografisk plats och så vidare) och skickar denna information till tredje part, där den sedan delas och säljes för att möjliggöra riktade annonser.
“Om du använder cookies
måste du ha dina besökares samtycke”
Enligt den svenska lagen (2003: 389) om elektronisk kommunikation (LEK) ska alla som besöker en webbplats som använder cookies ha full tillgång till information om vilka cookies som används, vilka data de samlar in och varför de samlar data.
Utöver det krävs att besökaren ger sitt samtycke till webbplatsens användning av cookies.
Om en webbplats använder cookies som samlar in personuppgifter som exempelvis ip-adresser, enhets-id, geografisk plats eller annan information som direkt eller indirekt kan användas för att identifiera användaren måste webbplatsen inhämta samtycke i enlighet med reglerna i GDPR.
“Om du använder spårningscookies,
inhämta ett GDPR-giltigt samtycke”
Hur ser ett GDPR-giltigt samtycke ut i Sverige?
Om din verksamhets webbplats använder tredjepartstjänster som exempelvis Google Analytics, Google Ads, Facebook och Hubspot så ansvarar din verksamhet för att inhämta giltigt samtycke.
Det är också din verksamhets ansvar att kunna dokumentera att dina besökare har givit samtycke till användningen av cookies.
Granskningar genomförs av Post- och telestyrelsen (PTS) och Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen). De kommer att be dig tillhandahålla nödvändig dokumentation för giltiga samtycken.
Ett giltigt samtycke innebär enligt beaktandesats 32 i GDPR:
Ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne.
Vad betyder det?
I cookiesammanhang betyder det att det ska visas en cookiebanner för besökaren som frågar om webbplatsen får använda cookies.
En sådan banner ska ha en knapp för att tacka ja till cookies, men också en nej-knapp.
Användarens val ska sedan respekteras på så sätt att inga cookies sätts och ingen data samlas in innan besökaren har givit sitt samtycke.
Om besökaren tackar nej ska din samtyckeslösning förhindra att cookies sparas.
Att inte säga något, på förhand ikryssade rutor eller inaktivitet utgör inte ett giltigt samtycke (jfr. EU-domstolens avgörande i målet mot Planet49).
Det är inte ett giltigt samtycke att bara skriva “Vi använder cookies” och sedan visa en “ok”-knapp. Ett samtycke är inte heller giltigt om det enda som krävs är att besökaren fortsätter använda webbplatsen (skrolla eller svepa vidare).
Hur inhämtar man ett giltigt samtycke till cookies?
- Samlar in alla dina besökares samtycken till cookies
- Följer alla krav som ställs på cookies i lagen (2003:389) om elektronisk kommunikation (LEK)
- Lever upp till alla krav på samtycke i GDPR (2016/679)
- Sparar alla samtycken som dokumentation inför eventuell granskning av Integritetsskyddsmyndigheten
Med en lösning från Cookie Information får din verksamhet en professionell samtyckeslösning och en cookiebanner till webbplatsen som du kan anpassa efter din verksamhets färger och logotyp.
Boka ett möte med oss så kan vi berätta hur din verksamhet och din webbplats kan uppnå full regelefterlevnad.
Lever din webbplats upp till GDPR?
Vi kan kolla det åt dig. Säkra webbplatsens regelefterlevnad med Cookie Information.
6 enkla steg för att följa
de svenska cookiereglerna:
-
Informera besökarna om cookies
-
Gör det enkelt att dra tillbaka eller ändra samtycket
-
Spara besökarnas samtycken i fem år
-
Inga förikryssade rutor
-
Samtycke måste lämnas aktivt (det är antingen ett ja eller nej till cookies)
-
Inhämta samtycke innan du använder cookies!
Vanliga frågor (FAQ):
- Mitt företags webbplats använder inte cookies!
- Om ni använder tredjepartstjänster (t ex Google Ads, Google Analytics, Facebook Pixel, LinkedIn Insight Tag, Hotjar, Adobe Analytics eller nästan vilket tillägg som helst till populära CMS), så sätter de tjänsterna cookies via er webbplats. Och ansvaret för att inhämta giltigt samtycke för dessa cookies är ert!
- Men vi samlar inte in personuppgifter!
- Kanske inte direkt. Men alla de tidigare nämnda tjänsterna samlar in personuppgifter från dina besökare via cookies (t ex ip-adress, enhets-id, geografisk plats). Kanske samlar ni också in andra personuppgifter via ert CRM (t ex HubSpot, Pipedrive, Salesforce) – det kräver också samtycke.
- Vad är personuppgifter egentligen?
- Personuppgifter är alla data som er webbplats eller tredjepartstjänster (t ex Google Analytics, Google Ads och Facebook) samlar in om besökarna som – direkt eller indirekt – kan användas för att identifiera personen.
- GDPR gäller inte oss!
- Om ni använder cookies på er webbplats så gäller både svensk lag och GDPR. Sveriges lag om elektronisk kommunikation kräver att du informerar besökarna om användningen av cookies och att du inhämtar samtycke (6 kap, 1 §). Hur ett sådant samtycke ska se ut för att vara giltigt är bestämt i GDPR (beaktandesats 32).
