Har ni full kontroll över era cookies?

Cecilia Margenberg 28 april, 2022

Introduktion

Använder ni cookies på ert företags webbplats eller app?

Då kan det vara läge att se över vilka cookies ni placerar och att ni inhämtar samtycke när det behövs. Cookies kan användas som ett verktyg för företag som vill utveckla sin webbplats eller app och skapa relevant marknadsföring till besökare. Men det finns en del saker som man bör känna till.

Cookieämnet har fått en ökad betydelse sedan organisationen None Of Your Business (NOYB) har anmält över 500 företag i olika EU-medlemsstater för att använda sig av olagliga cookiebanners på sina webbplatser. Även dataskyddsmyndigheter runt om i Europa har under den senaste tiden varit flitiga utfärdare av sanktioner och den franska dataskyddsmyndigheten har bötfällt både Google och Facebook för att bryta mot lagstiftningen.

Använder ditt företag cookies från exempelvis Google Analytics eller liknande verktyg kan det därför vara klokt att se över er hantering och samtyckesinhämtning av cookies.

Ordlista

Cookies
Är en liten textfil med information om ditt besök som sparas på din dator när du går in på en webbsida som använder cookies.

Google Analytics
Verktyg för att samla in, analysera och generalisera besöksstatistik och beteenden på webbplatsen

Cookiebanner
En ruta eller ett område på webbsidan där besökaren aktivt kan godkänna eller neka hanteringen av cookies

Vad är egentligen cookies?

Nästan alla webbplatser och andra onlinetjänster använder cookies, små textfiler som lagrar information om din användning av tjänsten. Syftet är att komma ihåg de val som du gör och minnas den aktivitet som äger rum på tjänsten, exempelvis för att göra användarupplevelsen mer personlig och anpassad för dig. Ofta används cookies också för att skapa en profil av en användare genom att samla data från olika webbplatser i syfte se vilket innehåll som är relevant att visa i reklam och annan marknadsföring. Det finns liknande tekniker som Flash, pixels, web beacons, finger printing och HTML5 Local Storage som har samma syften som cookies som också omfattas av lagstiftningen.

Hur är cookies reglerat?

Cookies och liknande tekniker är reglerade i lagen om elektronisk kommunikation (LEK). Bakgrunden till lagstiftningen kommer från ett EU-direktiv med målet att skydda användares integritet på internet och göra dem medvetna om hur uppgifter och information från cookies samlas in och sprids, ibland utan att användaren får någon information om hur det sker. Direktivet är ämnat att låta användaren ta kontroll över sin egen data.

I Sverige är det Post- och Telestyrelsen (PTS) som har tillsyn över att företag och organisationer som använder cookies gör det på rätt sätt. PTS kan utfärda ett föreläggande om en tillsyn från PTS resulterar i att ett företag inte lever upp till lagkraven.

Vad behöver ni göra?

Regleringen kring cookies kräver att användaren får information om de cookies som placeras på exempelvis en webbplats eller app. Enligt lagen ska användaren också få möjlighet att samtycka till det. Både informationen och samtycket ska vara i enlighet med dataskyddsförordningen, vilket

innebär höga krav på information och samtycke för att få placera cookies. Exempelvis ska ett samtycke vara aktivt, frivilligt, och specifikt. Här har EU-domstolen i en dom från 2019, ”Planet49”, slagit fast att det inte är tillräckligt att använda sig av förkryssade rutor eller på andra sätt passiva samtycken i en cookiebanner. Det ska även vara möjligt för användaren att lämna ett särskilt samtycke till de cookies som har olika ändamål. Kraven på information och samtycke gäller såväl när du som innehavare av tjänsten sätter egna cookies som när eventuella tredjeparter placerar cookies för egna ändamål, s.k. tredjepartscookies.

Om ert företag i dagsläget inte ger någon information eller inhämtar samtycke till cookies behöver ni se över att ni agerar på rätt grunder. En del cookies krävs det nämligen inte samtycke till. Det gäller cookies som antingen:

behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, exempelvis för att se till att ett e-postmeddelande går från en dator till en annan, eller
är nödvändiga för en tjänst som användaren uttryckligen begär. Det kan till exempel handla om att användaren gör ett val att ställa in tjänsten på ett visst språk som gör det nödvändigt att sätta en cookie för att komma ihåg det språkvalet.

Viktigt att uppmärksamma är att det är sådana funktioner som användaren begär som omfattas av undantagen. Det betyder att det exempelvis inte är funktioner som innehavaren av webbplatsen eller appen tycker är nödvändiga för tjänstens funktion som åsyftas. Något som har blivit populärt är att utnyttja Google Analytics för att samla in statistik om hur webbplatsen används. Många tror också att samtycke till cookies från Google Analytics inte kräver samtycke, eftersom eventuella personuppgifter kan anonymiseras. Som lagstiftningen (LEK) ser ut gör den dock inte skillnad på om uppgifterna som inhämtas utgör personuppgifter eller inte, vilket innebär att ett samtycke till anonyma statistikcookies blir nödvändigt även om inga personuppgifter behandlas.

Framtiden för cookies

Just nu pratas det väldigt mycket om tredjepartscookies som ofta används för att bygga användarprofiler över individers intressen och beteenden. Det har setts som ett problem ur ett integritetsperspektiv att mycket precisa kartläggningar av individer har blivit vardagsmat på internet. Google har därför annonserat att man slopar tredjepartskakor från år 2023. Däremot är det mycket troligt att annonsering och riktad marknadsföring kommer att leva vidare i andra former. För cookies som du själv och ditt företag använder kommer det också fortsättningsvis att vara viktigt att jobba på användarvänlighet och transparens i cookiebanners och policys för att uppfylla lagstiftningen och minska risken för förelägganden från tillsynsmyndigheter.

Sammanfattning:

Se till att få koll på vilka cookies ert företag använder och vad de gör för att se om de tjänar ett legitimt syfte och inte samlar in onödig information.
Om ni använder andra cookies än sådana som antingen behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, eller sådana som är nödvändiga för en funktion som användaren uttryckligen begär, måste du inhämta samtycke innan cookies placeras. Användaren måste ha möjlighet att lämna ett aktivt, frivilligt och specifikt samtycke.
I dessa fall måste ni även lämna tydlig och fullständig information om vilka cookies som placeras och varför. Ett råd är att se över er cookiebanner eller cookiepolicy och kontrollera att ni ger all nödvändig information. Att vara öppen och ärlig mot användarna brukar löna sig.

Vill du ha hjälp?

Om du önskar hjälp med att få din cookiebanner eller policy granskad och få konkreta råd om hur den bättre kan leva upp till lagkraven kan du vända dig till vårt team av jurister och rådgivare på Secify. Kontakta oss på https://www.secify.com/kontakt/.

Om
Senaste inläggen

Cecilia Margenberg

Cecilia är utbildad jurist och arbetar som dataskyddskonsult på Secify. Genom hennes tidigare jobb på post och telestyrelsen (PTS) har hon blivit en riktig fena på cookies.

Senaste inläggen av Cecilia Margenberg

Efter PTS granskning – så här följer du cookiereglerna - 14 november, 2023
Fem år med GDPR – Var är vi nu? - 28 juni, 2023
Har ni full kontroll över era cookies? - 28 april, 2022

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.