Nya regler för cookies – tre saker att tänka på
Allt fler ställer sig negativa till att deras aktiviteter online övervakas – något som i stor utsträckning sker med hjälp av cookies. Ett nytt avgörande från EU-domstolen förtydligar spelreglerna för hur cookies får användas i sådana syften. Vi ger er tre handfasta råd utifrån domstolens förtydligande:
Kategorisera alla cookies ni använder och fundera på om de är nödvändiga.
Utforma era besökares samtycke i enlighet med GDPR, undvik till exempel förkryssade ”Jag godkänner”-knappar.
Säkerställ att informationen om hur cookies används är tydlig och riktig.
Nytt EU-avgörande förtydligar hur företag får använda cookies
Hur cookies får användas framgår av lagen om elektronisk kommunikation, som är baserad på ePrivacy-direktivet. Lagen säger att besökaren behöver lämna sitt samtycke innan icke-nödvändiga cookies, som exempelvis används för statistik- eller marknadsföringsändamål, lagras på eller hämtas från en besökares enhet. Utöver cookies omfattas liknande tekniker som ”web beacons” och ”pixel tags”.
Ett samtycke kan inhämtas på flera olika sätt, men det har sedan lagen infördes varit oklart hur samtyckeskravet ska tolkas. För ett par veckor sedan kom ett förhandsavgörande från EU-domstolen, som prövade om insamling av samtycken för cookies kan göras genom en på förhand ikryssad ruta, alltså att besökaren inte själv klickar i rutan.
Det gjordes framförallt tre klargöranden som är viktiga att ta med sig för den som använder cookies på sin hemsida:
En på förhand ikryssad ruta som godkänner användningen av cookies utgör inte ett giltigt samtycke.
Ett samtycke ska inhämtas i enlighet med den allmänna dataskyddsförordningen, alltså GDPR. Det betyder att samtycket ska vara baserat på en aktiv handling från besökaren och att denna handling ska vara särskild för det aktuella ändamålet. Innan samtyckes lämnas ska besökaren också vara informerad om vad samtycket innebär.
Oavsett om cookien samlar in personuppgifter eller inte ska samtycket inhämtas i enlighet med GDPR. Det innebär att de strikta kraven som följer av GDPR även omfattar mindre integritetskränkande användning av cookies, exempelvis insamling av anonym statistik från besökare av en hemsida.
Vad behöver ni göra?
Kategorisera alla cookies ni använder och säkerställ att ni faktiskt är i behov av samtliga. Samtycke krävs inte för cookies som är nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen har begärt att få använda, t.ex. en cookie som används för att spara innehållet i en varukorg. Det är alltså endast icke-nödvändiga cookies som behöver ett samtycke, exempelvis cookies för statistik- och marknadsföringsändamål. Kraven gäller oavsett om personuppgifter samlas in eller inte, men om personuppgifter samlas in blir GDPR gällande i dess helhet.
Efter att ni har kategoriserat era cookies behöver ni utforma samtycket i enlighet med GDPR. Det innebär att besökaren ska utföra en aktiv, särskild och informerad handling för att samtycket ska vara giltigt:
Ett aktivt samtycke innebär att det krävs en specifik och aktiv handling. Det förutsätter alltså att ni inte placerar cookies på besökarens enhet innan samtycket faktiskt har lämnats. En cookie får alltså placeras först när besökaren klickat på en ”Jag godkänner”-knapp eller motsvarande.
Ett särskilt samtycke innebär att besökaren ska ges möjlighet att godkänna eller neka varje specifikt ändamål som cookies används för. Glöm inte att eventuella val av ändamål inte får vara ikryssade på förhand! För att kunna erbjuda besökare denna valmöjlighet krävs det att det finns en ”kontrollpanel” eller motsvarande på er hemsida, vilket också bekräftats av den spanska dataskyddsmyndigheten (AEPD) som sanktionerade ett företag som enbart gav besökare möjlighet att ta bort samtliga eller inga cookies.
Ett informerat samtycke förutsätter att information lämnats om era cookies ändamål, lagringstid och vilka tredje parter som kan ta del av informationen.
Är ert upplägg tillåtet?
Det vanligaste upplägget på hemsidor idag är att besökaren anses ha lämnat sitt samtycke genom att fortsätta använda hemsidan. Ett sådant upplägg placerar cookies antingen direkt vid besöket eller då en ”cookiebanner” klickats bort, men gemensamt är att samtliga ändamål för behandlingen på förhand är ikryssade. Med anledning av avgörandet är det är högst osannolikt att detta upplägg kommer tillåtas i fortsättningen.
EU-domstolen påpekade att en på förhand ikryssad ruta inte gör det möjligt att säkerställa att besökaren faktiskt har läst den information som presenteras, eller att besökaren ens har noterat rutan, eftersom det inte utförs en särskild och aktiv handling för det specifika ändamålet på det sätt som redogjorts för ovan. Ett upplägg där cookies placeras direkt vid besök på hemsidan eller genom förkryssade rutor är med andra ord inte tillåtet, eftersom det blir svårt att hävda att besökaren är informerad och därmed medveten om konsekvenserna av ett lämnat samtycke.
Värt att nämna är att EU-domstolen vid tidpunkten för avgörandet själv samlade in samtycken från sina besökare genom denna metod, vilket tydligt visar på den tidigare oklara situationen.
Vilka praktiska åtgärder behövs?
Många företags marknadsstrategi bygger till stor del på insamling av data genom cookies. Företagen använder informationen för att lära känna sin målgrupp och för att samla in statistik för att utveckla sin hemsida. Det är inte ovanligt att pixlar eller motsvarande teknik används för riktad marknadsföring till besökaren över flera kanaler och plattformar.
I takt med att allt fler ställer sig negativa till extensiv övervakning av aktiviteter online är en sannolik konsekvens av EU-domstolens avgörande att färre besökare kommer godkänna cookies för marknadsföringsändamål. Statistik från den engelska dataskyddsmyndigheten (ICO) visar att antalet besökare som gav samtycke till användningen av cookies för anonyma analysändamål (Google Analytics) minskade med hela 90% efter att de bytt teknik med anledning av avgörandet.
Om du vill veta mer eller behöver hjälp att se över ditt företags användning av cookies - hör gärna av dig till oss på Fondia.