Att få grepp om lagarna som reglerar en webbplats kan kännas överväldigande, men så måste det inte vara. Särskilt nu, när tillsynsmyndigheten i Sverige har fått ned i skrift vad de faktiskt tittar på.
Att sätta sig in i dessa regler är inte bara en juridisk nödvändighet – det stärker också kundförtroendet, optimerar användarupplevelsen och minskar affärsrisker.
Låt oss börja med att kika på vad lagen säger.
Cookielagen eller Lagen om elektronisk kommunikation och ePrivacy – vad du behöver veta
Eprivacy-direktivet – eller e-dataskyddsdirektivet – gäller, som sagt, för alla EU och EES-länder. Varje land har ansvar för att direktivet integreras i den nationella lagstiftningen.
Sverige har integrerat den i Lagen om elektronisk kommunikation (LEK 2022:482).
Eftersom det rör sig om ett EU-direktiv strävar varje medlemsland att vara samstämmiga i sin tolkning och tillämpning av reglerna. Genom att följa den svenska versionen ska du i stort också vara i överensstämmelse med vad som gäller i till exempel Danmark, Finland, Frankrike osv.
Läs också: Cookie lagen i Sverige – Sally Stenberg på Post- och telestyrelsen berättar
LEK, och delar av dataskyddsförordningen (GDPR), reglerar hur cookies och andra liknande teknologier får hanteras på till exempel webbplatser, i Sverige. Men ordet är ”terminalutrustning”, varför lagen, exempelvis, även, reglerar mobila applikationer.
Ett av de mest centrala begreppen i lagen rör konceptet informerat samtycke. Det betyder att en webbplats inte får placera cookies på en användares enhet utan att informera om syftet med cookien och be om ett frivilligt samtycke – som gör det lika enkelt för användaren att säga ja som att säga nej.
Hur inverkar GDPR på cookielagen?
Dataskyddsdförordningen – GDPR – kom 2018. En EU-förordning är, till skillnaden från ett direktiv, en starkare och mindre flexibel lag som i princip ska antas av medlemsländerna direkt.
GDPR värnar den mänskliga rättigheten till integritet/privacy. Den reglerar hur personuppgifter får hanteras. E-privacy-direktivet fokuserar också på integritet och konfidentialitet – men särskilt i elektronisk kommunikation.
GDPR och e-Privacy-direktivet tangerar således varandra.
Mer specifikt och konkret gifter sig lagarna genom konceptet “samtycke”:
Enligt skäl 17 i e-dataskyddsdirektivet 2022/58/EG7 bör en användares samtycke ha samma betydelse som den registrerades samtycke enligt vad som definieras och i övrigt fastställs i dataskyddsdirektivet (95/46/EG)8. Dataskyddsdirektivet ersattes av GDPR år 2018.
PTS har därför valt att tolka hänvisningen till samtycke i 1 kap. 8 § LEK till samtycke i GDPR både som en hänvisning till definitionen av samtycke i artikel 4 GDPR och villkoren för samtycke i artikel 7 GDPR.
Notera också att GDPR har sex lagliga grunder som man kan använda sig av för att hantera personuppgifter. En av dessa grunder är ”samtycke”. Och eftersom samtycke, enligt ovan, är central i hur cookies och sådan teknologi får användas har GDPR-definitionen, blivit central för hur ”cookie-lagen” tolkas.
Läs även: Vad är GDPR?
Vad är ett samtycke enligt GDPR?
Enligt artikel 4(11) av GDPR definieras samtycke som:
”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,”
Det finns fyra nyckelkoncept i definitionen:
- Frivilligt: Samtycket ska ges frivilligt utan något tvång eller under påtryckning. Detta innebär att den registrerade ska ha ett verkligt val när det gäller att ge sitt samtycke.
- Specifikt: samtycket bör vara specifikt för det avsedda behandlingsändamålet och inte vara för brett eller vagt.
- Informerat: Innan samtycke ges ska den registrerade ges tydlig information, inklusive informationen om behandlingsändamålet och vilka uppgifter som kommer att behandlas.
- Otvetydig viljeyttring: Det måste vara klart att den registrerade verkligen vill ge sitt samtycke. Det kan vara genom en uttrycklig handling, som att klicka i en kryssruta (inte förvald) eller genom en annan liknande aktiv handling.
GDPR kräver även att du kan bevisa att du samlat in ett samtycke. Dessutom måste den registrerade också kunna återkalla sitt samtycke när som helst. Och det ska vara lika enkelt att återkalla ett samtycke som att ge det.
Både PTS och IMY kan granska vad du gör på din webbplats
Medans PTS har tillsynsansvar för att du inte aktivt spårar dina besökare utan informerat samtycke, granskar Integritetsskyddsmyndigheten (IMY) vad du gör med de personuppgifter du samlar in, exempelvis med hjälp av kakor.
De båda myndigheternas ansvarsområden tangerar således varandra. Situationen är snarlik i flera andra länder, till exempel Danmark.
Låt oss kika närmare på vad PTS granskar när de utreder om en webbplats följer lagen om elektronisk kommunikation.
Vad granskar PTS på en svensk webbplats?
Förra året börja PTS granska ett antal svenska webbplatser utifrån LEK. Och sommaren 2023, delgav de respektive företag ”underrättelse om misstanke gällande bristande efterlevnad av 9 kap. 28 § LEK.”
De granskade företagen har i olika utsträckning brustit i efterlevnaden av 9 kap. 28 § LEK. Därför har PTS, enligt 11 kap. 5 § LEK underrättat respektive företag.
Varje underrättelse är gedigna utredningar på mellan 8 och 13 sidor. Varje webbplats fick till oktober 2023 på sig att inkomma med svar på vad man har gjort.
Utredningarna klargör hur PTS tolkar regelverket. Vilket i stort stämmer överens med hur de flesta andra EU/EES-länders tolkning.
Så vad betyder det – konkret – för dig som har en webbplats eller en app? Vad måste du göra för att få alla rätt i cookie-frågan.
1. Du måste göra det möjligt för användare att neka till lagring av icke-nödvändiga kakor på ett lika enkelt sätt och vid samma tillfälle och i samma vy som användare gest möjlighet att lämna samtycke till behandlingen.
2. Du måste kategorisera kakornas ändamål genom att ange de kategorier av kakor som används på webbplatsen, vanligtvis: funktionella cookies, statistik-cookies och marknadsförings-cookies.
En webbplatsägare ska inte tvingas säga ja till “grisen i säcken”. Hen ska förstå vilka slags kategorier av kakor du vill placera eller använda.
3. Det måste finnas information på bannern om, och hur, besökaren, när som helst, kan återkalla ett samtycke. Besökaren ska också kunna återkalla ett samtycke när som helst.
4. Det är inte tillåtet att placera kakor eller aktivera dem innan besökaren svarat på frågan. Det är inte heller tillåtet att placera eller aktivera kakor trots att besökaren sagt nej till kakorna.
5. Det är inte tillåtet att använda färger och kontraster på ett sätt som framhäver alternativ för att lämna samtycke framför alternativ för att neka samtycke.
Det betyder inte att PTS förbjuder att man använder olika färger och kontraster, det får bara inte gå så långt att det inverkar på principen om frivillighet. Därför kan en bedömning behöva göras från fall till fall.
Konsekvenser om granskade webbplatser inte följer lagen?
Om respektive företag inte svarar eller vidtar de ändringar som PTS kräver kan ”PTS komma att fatta beslut på det underlag som står till myndighetens förfogande.
PTS kan ”meddela ” om ”föreläggande” och dessa kan ”eventuellt förenas med vite”, skriver PTS i respektive utredning och således underrättelse till varje företag.
