Cookies och GDPR - vad gäller?
Omfattar GDPR hantering av cookies och i så fall, vilka krav är det som ställs? Det står ganska lite uttryckligen om cookies i GDPR men i ett ”recital” kan man i alla fall läsa att ett av skälen till att GDPR tagits fram är att reglera situationen då fysiska personer knyts till (bland annat) ”cookie identifiers” som i sin tur kan användas för profilering och identifiering av personer.
Om en cookie kopplas till information som kan användas för att identifiera en person (vilket är fallet för många cookies, IP-nummer är ett sådant exempel) så betraktas informationen alltså som personuppgifter enligt GDPR. Exakt vilka krav som ska ställas på sajtägarna var länge oklart men under 2019 kom det förtydliganden från de franska och brittiska integritetsskyddsmyndigheterna (CNIL resp ICO). I korthet innebär dessa att:
-
Cookies för besökarstatistik och reklam kräver samtycke
Utfärdande av cookies som inte är nödvändiga (”strictly necessary”) för att tillhandahålla den tjänst som användaren efterfrågar kräver samtycke från användaren, enligt ICO. Man anger också explicit att cookies för besökarstatistik och reklam ingår i den kategori av cookies som kräver samtycke. -
Underförstått samtycke är ogiltigt
ICO hänvisar här till de omfattande krav på samtycke och hantering av samtycke som funnits i GDPR sedan införandet. Bland annat innebär dessa att
- samtycke ska vara frivilligt
- det ska vara lämnat genom en aktiv handling
- frågan om samtycke ska vara tydligt ställd
- lämnat samtycke ska kunna återkallas
Översatt till cookie-sammanhang så betyder det att
- det inte längre räcker med formuleringar av typen ”genom att använda webbplatsen godkänner du att vi utfärdar cookies”
- formulären för samtycke till cookies inte får ha förvalda alternativ av typen ”acceptera allt”
- det måste finnas ett sätt att ändra de val man har gjort tidigare -
S k Cookie-walls bryter mot samtyckesreglerna
Detta är egentligen en konsekvens av den föregående punkten men CNIL tar upp detta explicit: Om sajtägaren blockerar tillgång till en sida för de användare som inte vill samtycka till lagring av cookies så bryter det mot kravet på frivilligt samtycke.
br>Det är Post- och telestyrelsen (PTS) som ansvarar för att tolka GDPR-reglerna på den svenska marknaden, och vi vet ännu inte exakt hur de kommer att förhålla sig till vad myndigheterna i andra EU-länder har sagt om cookies. Det kan dock vara klokt att som sajtägare redan nu se över sin cookie-hantering för att säkerställa att behandlingen av besökarnas personuppgifter sker på ett säkert och integritetsmässigt tillfredsställande sätt!
/Erik Pettersson, systemarkitekt Sublime
Är du intresserad av att veta mer och få konkreta råd kring hur just ni bör agera vad gäller hantering av cookies? Kontakta oss!