Cookies – Behöver man samtycke? | JP Infonet

Cookies – Behöver man samtycke?

En av de mest problematiska frågorna inom dataskyddsområdet är förekomsten av cookies och de lagkrav som gäller för användningen av denna typ av teknik. Dessutom rör sig frågan allt högre upp på dagordningarna bland de europeiska tillsynsmyndigheterna. Här reder vi ut vad som krävs för att kunna använda sig av cookies.

 dataskydd_Cookie_16x9.jpg

Nyligen agerade den brittiska tillsynsmyndigheten mot bland annat Washington Posts användning av cookies. I början av 2019 publicerade även den nederländska tillsynsmyndigheten ett uttalande om förbudet mot villkorade samtycken för placering av cookies i utbyte mot att användaren får tillgång till en hemsida. Frågan om laglig användning av cookies får alltmer uppmärksamhet och kommer troligtvis att utgöra en del av myndigheternas tillsynsarbete framöver.

Samtycke för placering av cookies


För att placera en cookie, som inte är strikt nödvändig, behöver ägaren av en sajt ett samtycke från användaren. Tidigare reglerades kriterierna för samtycke i dataskyddsdirektivet och personuppgiftslagen. När nu båda dessa lagar ersatts av GDPR rasar debatten om vilka kriterier som egentligen gäller.

Svaret är att hänvisningar som tidigare gjordes till den äldre lagstiftningen ska ersättas med hänvisningar till GDPR. Ett samtycke för placering av cookies behöver därmed uppfylla kraven på samtycke enligt den nya lagstiftningen. 

Praktiska konsekvenser


Införandet av GDPR har i praktiken medfört striktare krav för giltiga samtycken. Därmed ställs det nu även högre krav på samtycke för placerande av cookies.

För att ett giltigt samtycke ska föreligga krävs det att 

  1. användaren tillhandahålls information om placering av cookies (vilket bör kunna göras genom en cookie-banner där länk till utförlig policy infogas),
  2. samtycke lämnas genom aktivitet från användaren,
  3. samtycket till placeringen av cookies är specifikt (särskils från eventuella andra samtycken),
  4. det specifika samtycket lämnas frivilligt av användaren och,
  5. samtycket inhämtas innan cookien placeras.

Villkor I) är det som debatterats livligast under de senaste åren. En vanlig lösning är att anse att användaren lämnar sitt samtycke genom att besöka en hemsida samtidigt som användare har inställningar som tillåter placerandet av cookies. Många anser även att surfandet i sig utgör ett aktivt samtycke. Men med tanke på den nya lagstiftningens höjda krav för giltigt samtycke bör dessa typer av samtycke inte längre anses lagenliga.

Villkor III) är just nu aktuellt i ett rättsfall som behandlas i EU-domstolen. Fallet handlar om ett företag som erbjudit användare att delta i ett online-lotteri, där godkännandet av cookies och deltagandet i lotteriet gjordes med samma accept-knapp. Generaladvokat Szpunar publicerade nyligen ett yttrade i fallet och menar att detta inte kan ses som ett specifikt samtycke till placering av cookies.

Enligt villkor IV) måste ett giltigt samtycke lämnas frivilligt av användaren. Generell vägledning är att samtycket inte får ”buntas ihop” med andra villkor för tillhandahållande av en vara eller tjänst. GDPR reder ut detta närmre och uttrycker att det inte är önskvärt att samtycke krävs vid ett avtal, om behandlingen inte är nödvändigt för utförandet av avtalet vilket även framgår av artikel 29-gruppens vägledning om samtycke. Detta blir även tillämpligt gällande samtycke för placering av cookies som andra former.

Vill du ta del av en längre analys om det här ämnet?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 25 apr 2019

Mer om IT och dataskydd
Utbildningar
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet.

    Stockholm 1-dagskurs Kursledare: Laura Gashi
  • Kursen riktar sig till dig som arbetar som personuppgiftsombud, IT-chef eller jurist, m.fl. inom kommun.  Den behandlar kommunens ansvar för personuppgifter i allmänhet och vilken påverkan dataskyddsförordningens införande har på skyldigheterna.

    Stockholm 1-dagskurs Kursledare: Sören Öman
  • Utbildningen syftar till att ge deltagarna fördjupade kunskaper om innehållet i den nya dataskyddsförordningen utifrån ett skolperspektiv kompletterat med de ändringar som tillkommit/föreslagits från regeringens sida.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon, Simon Jernelöv

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området