Cookiebanners – uppfyller ditt företag kraven? 

Behandling av personuppgifter via kakor ställer krav på klar och tydlig information samt inhämtande av giltigt samtycke genom cookiebanners.

Kortfattat:

• Cookiebanners ska innehålla klar och tydlig information till registerade, inbegripet rätten att återkalla sitt samtycke. Designen får inte vara vilseledande.
• Insamling av personuppifter via cookies ska grundas på samtycke.
• Ett särskilt starkt integritetsskydd gäller vid efterföljande behandling som grundas på samtycke.

Integritetsskyddsmyndigheten (IMY) har nyligen utrett klagomål gällande användning av kakbanners (engelska: cookiebanners). 

Cookiebanners är webbplatsfunktioner som informerar om användningen utav kakor (engelska: cookies). Genom att använda cookiebanners kan företag säkerställa inhämtande av giltiga samtycken för behandling av webbplatsbesökares data enligt lag (2022:482) om elektronisk kommunikation (LEK) och GDPR.

De av IMY genomförda utredningarna gällande användning av cookiebanners bidrar till klarhet i frågor om hur cookiebanners bör utformas för att inte innehålla brister i förhållande till tillämplig dataskyddslagstiftning. Sådana brister kan bestå av avsaknad av laglig grund, tillräcklig information och möjlighet att lämna ett informerat och frivilligt samtycke.

Enligt LEK, som implementerar Europaparlamentets och rådets direktiv 2002/58/EG om integritet och elektronisk kommunikation (ePrivacy-direktivet) i svensk rätt, krävs samtycke för lagring av icke-nödvändiga cookies. Alla webbplatsbesökare ska därför ha möjlighet att lämna sitt samtycke eller neka till att sådana cookies används på webbplatsen. 

För all efterföljande behandling av personuppgifter via cookies (t.ex. för profilering) behöver företaget säkerställa att det finns en laglig grund för behandlingen enligt GDPR. Enligt IMY ger kravet på samtycke enligt LEK/ePrivacy-direktivet ett ”särskilt starkt integritetsskydd”. För att grunda en efterföljande behandling av personuppgifter på ett för företaget eller tredje part berättigat intresse krävs dock att företaget genomfört en intresseavvägning som ger stöd för att ett berättigat intresse faktiskt föreligger. 

Baserat på ovan, kan konstateras att samtycke utgör en lämplig laglig grund för all behandling av personuppgifter som ett företag samlat in med hjälp av cookies. Det räcker dock inte att i en cookiebanner ange att den lagliga grunden är samtycke. En rad villkor måste vara uppfyllda för att samtycket ska anses vara giltigt enligt GDPR. 

Om ditt företag behandlar personuppgifter via kakor, behöver ni säkerställa att en cookiebanner som uppfyller GDPR:s krav på information och samtycke finns tillgänglig på företagets webbplats.

Ett samtycke ska, för att vara giltigt, ha lämnats frivilligt. Därför måste en webbplatsbesökare ha givits möjlighet att neka till behandling av sina personuppgifter. Kravet innebär även att en cookiebanner inte bör ha förvalda kryssrutor.

Vidare bör en cookiebanner inte utformas på ett sätt som kan vara vilseledande. Exempelvis bör inte knappen för godkännande vara mer synlig genom färg och form än knappen för nekande.

Webbplatsbesökaren ska dessutom när som helst ha möjlighet att återkalla samtycket. En sådan funktion bör därför göras lättillgänglig på webbplatsen. 

EY Law hjälper företag och organisationer att efterleva relevant cookie-lagstiftning och GDPR. Tveka inte att höra av er till oss vid frågor eller funderingar. 

Författare: 

• Anna Byström, Partner, +46 73 441 71 59
• Elina Elfstrand, Associate, +46 72 963 41 68