12.08.19
uppdaterad den 06.12.23
Mario Steinberg
0 Kommentarer
Tabell
cookie banner PULeprivacy

Cookie banners - men på rätt sätt! Du bör ha följande 7 saker i åtanke

På senare tid har utseendet på cookie-banners förändrats på många webbplatser. Tidigare visade ett litet popup-fönster bara ett kortfattat meddelande om att vissa ospecificerade "cookies" placerades på webbplatsen. Numera får du ofta en lista över de enskilda kakorna och ett val via kryssrutor om vilka som accepteras eller inte. Varför är det så - och vad är rätt nu?

Den här artikeln belyser cookie-banners och förklarar hur man utformar cookie-meddelandet på din webbplats. Innan vi går in på detaljerna är det dock nödvändigt att förstå när och varför du behöver en cookie-banner över huvud taget.

Cookies är information som lagras på webbplatsbesökarens slutenhet (PC, smartphone etc.). Å ena sidan är dessa nödvändiga för att visa en webbplats korrekt ("tekniskt nödvändiga cookies"). Å andra sidan används de även för andra ändamål, t.ex. för att analysera webbplatsbesökarnas beteende, för reklamändamål eller vid integrering av sociala plugins. (Observera: I det följande avser termen "cookies" även jämförbar teknik såsom räknepixlar etc.). 

Låt oss först ta en titt på den nuvarande rättsliga situationen. I detta avseende har följande gällt sedan PUL (förordning (EU) 2016/679) trädde i kraft den 25 maj 2018:

Om cookies inte lagras på webbplatsbesökarens slutenhet för att skydda webbplatsoperatörens eller en tredje parts legitima intressen, krävs webbplatsbesökarens samtycke för detta i enlighet med art. 6 para. 1 PUL .

cookie banner PUL

Eftersom webbplatsoperatörens eller tredje parts legitima intressen måste vägas mot webbplatsbesökarens intressen eller grundläggande rättigheter och friheter, är det ofta oklart i enskilda fall vilka intressen som råder.

Ett berättigat intresse för driften av en webbplats är naturligtvis alltid att webbplatsen visas korrekt. Cookies som krävs för detta omfattas därför alltid av webbplatsoperatörens legitima intresse. 

Svårare blir det när cookies används för att analysera webbplatsbesökarnas beteende eller för reklamändamål. Här är det ofta omöjligt att utesluta möjligheten att webbplatsbesökarnas intressen skulle vägas tyngre av tillsynsmyndigheterna för dataskydd och/eller domstolarna i händelse av en tvist.

Förutom de tekniskt nödvändiga cookies, bör inställningen av cookies därför alltid baseras på samtycke från webbplatsbesökaren. Detta samtycke inhämtas klassiskt via en kryssruta.

Det bör inte döljas att denna rättsliga situation kan förändras när ePrivacy-förordningen träder i kraft. Men eftersom ePrivacy-förordningen för närvarande fortfarande är föremål för politisk diskussion, kommer tillämpningen av PUL - och därmed det förebyggande inhämtandet av samtycke med hjälp av en kryssruta - att förbli på plats för tillfället med avseende på cookies & co. Du kan läsa mer om detta i min artikel "ePrivacy-förordningen: Vad har du att vänta?".

"*" visar obligatoriska fält

Jag vill prenumerera på nyhetsbrevet för att få information om nya bloggartiklar, e-böcker, funktioner och nyheter om WordPress. Jag kan återkalla mitt samtycke när som helst. Observera vår integritetspolicy.
Det här fältet är avsett för validering och bör inte ändras.

Att utforma en cookiebanner på rätt sätt är inte så svårt. Det är bara viktigt att hålla några små saker i åtanke, som jag kommer att visa dig nedan.

#1 Rätt tid

Det är viktigt att cookie-bannern visas omedelbart när webbplatsen öppnas och att inga cookies initialt ställs in och inga uppgifter får överföras till tredje part (t.ex. via ett socialt plugin).

#2 Rätt plats

Man bör också se till att inget annat viktigt innehåll täcks över: Till exempel placeras cookie-bannern ofta i sidfoten - och täcker länken till det juridiska meddelandet och/eller integritetspolicyn.

#3 Frivillighet 

Det är också viktigt att ytterligare besök på webbplatsen inte görs beroende av att webbplatsbesökaren samtycker till att alla cookies ställs in. Även om samtycke endast ges till inställningen av tekniskt nödvändiga cookies, måste det fortfarande vara möjligt att besöka webbplatsen. Naturligtvis är det klart att vissa funktioner på webbplatsen kanske inte fungerar korrekt utan samtycke.  

#4 fullständig lista över alla cookies

I cookiebannern bör de enskilda kakorna eller - om de är för många - åtminstone de enskilda sammanhangen (tekniskt nödvändiga kakor, analyskakor, kakor för reklamändamål etc.) anges; om endast sammanhangen anges bör dessa förklaras mer detaljerat genom att klicka på dem i ett annat fönster och de enskilda kakorna bör anges där.    

#5 kryssrutor med opt-in

Samtycke på webbplatser inhämtas bäst med hjälp av kryssrutor.

Det innebär att det finns en separat kryssruta för varje cookie - eller cookie-kontext - i cookie-bannern. 

Det är viktigt att notera att endast kryssrutan för tekniskt nödvändiga cookies redan får vara ikryssad - alla andra kryssrutor måste vara tomma. Genom att klicka på de andra kryssrutorna kan webbplatsbesökaren nu själv bestämma vilka cookies eller kontexter han eller hon accepterar eller inte.

Den rättsliga bakgrunden till detta är följande: 

Om samtycke inhämtas med hjälp av en kryssruta finns det i princip två alternativ: Opt-in eller opt-out. Skillnaden är att vid opt-in är kryssrutan tom från början och webbplatsbesökaren måste aktivt ge sitt samtycke genom att klicka på rutan eller kryssa i rutan. Vid opt-out är kryssrutan redan ikryssad som standard - dvs. samtycke har redan getts - och webbplatsbesökaren måste aktivt ta bort krysset genom att klicka på kryssrutan.

Många webbplatsoperatörer använder opt-out som standard. Förmodligen för att de vet att de flesta av deras besökare vill komma åt webbplatsen snabbt och därför klickar på OK-knappen på cookie-bannern - utan att läsa bannertexten eller tänka på vad de ger sitt samtycke till.

Varför opt-outen inte räcker

Även om detta förfarande är utbrett är det inte juridiskt korrekt. Samtycke kräver en aktiv handling från webbplatsbesökarens sida. Därför är endast opt-in juridiskt korrekt, dvs. att webbplatsbesökaren aktivt ger sitt samtycke - t.ex. till användningen av ett analysverktyg som Google Analytics - genom att kryssa i rutan.

Man skulle kunna hävda att det faktiska samtycket ges genom att klicka på OK-knappen på cookie-bannern när man väljer bort opt-out. Men detta är att trampa på tunn is. Enligt skäl 32 i PUL gäller följande för samtycke( min understrykning):

infobox för rad

"Samtycke bör ges genom en otvetydig bekräftande handling somfrivilligt, för det specifika fallet, på ett informerat och otvetydigt sätt anger att den registrerade samtycker till behandling av personuppgifter som rör honom eller henne, till exempel i form av en skriftlig förklaring, som också kan göras elektroniskt, eller en muntlig förklaring .

Detta kan t.ex. göras genom att kryssa i en ruta när man besöker en webbplats, genom att välja tekniska inställningar för informationssamhällets tjänster eller genom någon annan förklaring eller något annat beteende med vilket den registrerade tydligt signalerar sitt samtycke till den avsedda behandlingen av sina personuppgifter i det aktuella sammanhanget.

Tystnad, redan ikryssade rutor eller inaktivitet från den registrerades sida bör därför inte utgöra samtycke. Samtycket bör avse all behandling som utförs för samma ändamål eller ändamål. Om behandlingen tjänar flera syften bör samtycke ges för alla dessa behandlingsändamål. Om den registrerade uppmanas att ge sitt samtycke på elektronisk väg, måste begäran göras på ett klart och koncist sätt och utan onödigt avbrott i den tjänst för vilken samtycket ges."

infobox för rad

#6 anpassning av integritetspolicyn

När du utformar din cookie-banner får du inte glömma att anpassa din integritetspolicy. Detta innebär att detaljerna om de enskilda cookies som ställs in också måste förklaras i sekretesspolicyn. 

#7 särskilt problem socialt Plugins

Det finns ett särskilt problem med integrationen av sociala plugins, eftersom dessa inte bara sätter cookies, utan också automatiskt skickar personuppgifter om dina webbplatsbesökare till motsvarande sociala nätverk etc.

Enligt ett färskt avgörande från EU-domstolen den 29 juli 2019 får webbplatsbesökarens personuppgifter endast överföras till det sociala nätverket etc. efter att motsvarande samtycke har lämnats. Det är därför viktigt att se till att det sociala insticksprogrammet endast blir aktivt om webbplatsbesökaren tidigare har gett sitt samtycke genom att kryssa i den relevanta kryssrutan. (Denna dom hänvisar fortfarande till "dataskyddsdirektivet", dvs. föregångaren till PUL; resultatet gäller dock även PUL). 

Slutsats

Att utforma en cookie-banner korrekt, dvs. i enlighet med lagen, är inte raketforskning. Och det är inte heller en nackdel för webbplatsoperatören. När allt kommer omkring bör webbplatsens besökare också behandlas rättvist. Och detta inkluderar att tillhandahålla transparent information om vad som händer när webbplatsen nås. Först då kan webbplatsbesökarna fatta ett välgrundat beslut om huruvida och i så fall vilka uppgifter de vill lämna ut. Precis som många webbplatsutvecklare och operatörer ogärna vill bli spionerade på av tredje part, bör de också ge besökare på sin egen webbplats möjlighet att själva bestämma vilka uppgifter de vill lämna ut eller inte.

Bild: Emily Wilson | Unsplash
Andra bilder:Rawpixel | pexels, Raidboxes

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Mario Steinberg

Mario Steinberg är advokat och specialistjurist för förvaltningsrätt på advokatbyrån LIEB. Advokater. Hans verksamhet fokuserar på dataskyddsrätt, IT-säkerhetsrätt och IT-rätt.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.