Introduktion
Nya riktlinjer kring cookiehanterare
Vad får webbplatsinnehavare egentligen göra när det kommer till tveksamma cookiebanners med samtyckesalternativ som påverkar besökare att i högre grad tacka ja till cookies? Det svarar PTS granskning av webbplatser på.
Det var i oktober förra året som PTS beslutade att inleda tillsyn mot Swedbank, Tele2, Folkhälsomyndigheten och Konsumentverket. PTS konstaterade då att ingen av de granskade webbplatserna uppnår kraven i cookielagstiftningen. I den här artikeln reder vi ut vad PTS underrättelser innebär och hur webbplatsinnehavare kan säkerställa att inte hamna på fel sida om lagstiftningen.
GDPR eller LEK – Vilken reglering gäller?
Till att börja med kan det vara bra att känna till vilken reglering som gäller på cookieområdet. I Sverige är det lagen om elektronisk kommunikation (LEK) och framför allt 9 kap. 28 § som reglerar cookies och andra liknande tekniker. Den brukar kallas för “cookielagen”. Här gäller det dock att hålla koll på när lagstiftningen blir tillämplig. Reglerna i LEK gäller nämligen så fort en webbläsare automatiskt hämtar en cookie och den lagras på enheten. En cookie är en liten textfil som en webbserver sparar i en webbplatsbesökares dator som bland annat gör det möjligt att hålla reda på besökarens preferenser och identitet. Det är den som utvecklar en webbplats som bestämmer vilka cookies som ska vara knutna till webbplatsen, och därför behöver varje webbplatsinnehavare känna till och ta ansvar för sina cookies och andra tekniker som fungerar på samma sätt, så som pixlar, web beacons och HTML5 Local Storage.
Två tillsynsmyndigheter
Den data som samlas in via cookies kan i vissa fall klassas som personuppgifter, exempelvis när en besökare har tilldelats ett unikt ID som går att följa mellan flera webbsidor. För den efterföljande behandlingen av dessa uppgifter gäller även GDPR, vilket betyder att hanteringen av cookies måste följa både GDPR och LEK i dessa fall. Det betyder också att det finns två tillsynsmyndigheter som övervakar efterlevnaden kring cookies, varav Post- och Telestyrelsen har tillsyn över reglerna enligt LEK och Integritetsskyddsmyndigheten över reglerna enligt GDPR.
PTS granskning – ingen följer cookielagstiftningen
I oktober 2022 inledde PTS tillsyn mot fyra webbplatsinnehavare som sedan dess har fått möjlighet att yttra sig över PTS tillsynsfrågor. I juni 2023 kom resultatet av granskningarna. En gemensam faktor för alla granskade organisationer var att ingen av webbplatserna inhämtade giltiga samtycken. För att inhämta ett giltigt samtycke måste det enligt PTS vara lika enkelt att tacka ja som nej till cookies. Det innebär att om webbplatsen har en cookiebanner måste det finnas en nej-knapp jämte ja-alternativet i det första lagret som besökaren möter när cookiebannern poppar upp, som i bilden nedan. Nej-alternativet får inte finnas ett klick eller flera klick bort.
Det ska även finnas möjlighet för besökaren att välja vilka kategorier av cookies som placeras i webbläsaren, när det inte rör sig om strikt nödvändiga cookies.
PTS har beslutat att besökaren ska kunna göra specifika val till vilka kategorier av cookies som besökaren vill acceptera, baserat på vilket syfte cookien har. Att kategorisera cookies baserat på ändamål, exempelvis ”funktionella”, ”statistik”, ”marknadsföring” uppfyller det kravet.
Något som PTS också har anmärkt på i samtliga fall är att det måste ges information om att besökaren har rätt att när som helst återkalla ett samtycke. Den informationen ska ges i samma vy som samtycket inhämtas. Själva möjligheten att faktiskt återkalla ett samtycke ska finnas enkelt åtkomligt på webbsidan hela tiden för att kraven ska uppfyllas enligt lagstiftningen.
Ett mer svårbedömt område är vad som är tillåtet att göra rent visuellt i sin cookiebanner.
Är det okej att exempelvis ha en stor färgad ja-knapp, medan nej-knappen inte har någon färg alls och därmed är mindre framträdande för besökaren? Eller är det tillåtet att göra textstorleken större för ja-alternativet och väldigt litet för nej-alternativet?
Att ha kontraster och färger som framhäver ett val framför ett annat (som i bilden nedan), kan göra att besökarens samtycke inte ses som frivilligt. En cookiebanner som ingick i tillsynen hade ja-alternativet i en tydlig mörkblå färg och möjligheten att tacka nej i en mindre framträdande vit knapp. I det här fallet ansåg PTS att samtycket inte var frivilligt på det sätt som krävs eftersom besökaren på webbplatsen tenderar att klicka på det alternativ som framhävs mest.
Viktiga regler att följa
Utifrån PTS granskningar kan följande viktiga punkter lyftas fram:
- Placera inga cookies som inte är strikt nödvändiga före besökaren har gett sitt samtycke.
- Låt det vara lika enkelt och tydligt att tacka ja som nej till cookies.
- Informera om att besökaren när som helst kan återkalla ett samtycke på samma plats som samtycket inhämtas (i cookiebannern).
- Gör det lätt för besökaren att kunna återkalla ett samtycke, exempelvis genom att implementera en liten cookiesymbol som följer med på webbplatsen som besökaren kan klicka på för att komma tillbaka till cookiebannern.
Sammanfattning
Sammanfattningsvis har PTS granskning gett en del klarhet i hur tillsynsmyndigheten bedömer frågor om vad som utgör ett giltigt samtycke och vilseledande till att tacka ja till cookies. Här gäller cookielagen oavsett om den information som cookies samlar in utgör personuppgifter eller inte. Däremot måste ni som organisation vara medveten om användningen av era cookies innebär att ni behandlar personuppgifter, och se till att även den behandlingen efterlever GDPR i så fall.
Min rekommendation är att ni som organisation går igenom vilka cookies som placeras på er webbplats och vad de fyller för syfte, samt gör nödvändiga ändringar i er cookiebanner för att linjera utformningen med PTS granskningar. Överväg att ta ett ledningsbeslut om organisationen kommer att balansera på linan mellan vad som är lagligt och inte. Se över er hantering för att inte gå i fallgropar som enkelt hade kunnat åtgärdas. Har ni tagit ett beslut gällande er cookiebanner är det viktigt att ni dokumenterar det.
Om du vill få hjälp med att granska din organisations cookiebanner och cookiehantering kan du vända dig till mig eller någon i vårt team av jurister och rådgivare på Secify. Läs mer om vår cookietjänst här
