I dagsläget är det nästintill omöjligt att driva en webbplats utan att använda cookies eller liknande teknologier (“cookies”) som pixlar eller digitala fingeravtryck. Men kräver användning av cookies per automatik att man måste hämta in ett samtycke från webbplatsbesökarna? Det korta svaret på denna fråga är nej, alla typer av cookies kräver inte ett samtycke.
Nödvändiga och icke-nödvändiga cookies
Vissa cookies är absolut nödvändiga för att tillhandahålla funktioner som uttryckligen begärts av webbplatsbesökaren. För dessa cookies behövs inget samtycke. Exempel på sådana cookies är:
- Cookies som kommer ihåg användarinmatning
- Autentiseringscookies
- Användarcentrerade säkerhetscookies
- Sessionscookies för multimediaspelare
- Sessionscookies för lastbalansering
- Cookies för användning av användargränssnitt
- Cookies för innehållsdelning via insticksprogram i sociala nätverk
Det finns också cookies som inte klassas som absolut nödvändiga. Om du vill använda sådana cookies krävs ett samtycke från webbplatsbesökaren. Exempel på sådana cookies är:
- Cookies för tredjepartsannonsering
- Cookies för marknadsföring
- Cookies för beteendeanalys av webbplatsbesökare
Google Analytics och Facebook pixel
Populära verktyg som används för beteendeanalys och statistik (t.ex. Google Analytics, GetClicky och Adobe Omniture) klassas inte som absolut nödvändiga för att tillhandahålla en funktion som uttryckligen begärts av webbplatsbesökaren. Dessa verktyg kräver alltså ett samtycke från webbplatsbesökaren innan de kan användas.
Ibland hävdas det att dessa verktyg inte använder personuppgifter varför ett samtycke inte är nödvändigt. Detta stämmer dock inte då verktygen kan särskilja mellan enskilda individer som exempelvis nya och återkommande besökare, åldersgrupper, kön m.m. Även populära verktyg för reklam och direktmarknadsföring (t.ex. Facebook pixel) kräver ett samtycke på grund av samma anledning.
Externa videotjänster
Många webbplatser använder externa tjänster för att visa videoinnehåll för webbplatsbesökarna. Användning av sådana tjänster innebär i många fall att webbplatsen använder cookies för att spåra webbplatsbesökarens beteende. Beteendeinformationen används därefter för att tillhandahålla webbplatsbesökaren individanpassad reklam. Ett exempel på en tjänst som använder sådan teknik är YouTube. Data om användarens beteende samlas även in när YouTube används i så kallat ”sekretessläge”. Användning av sådana tjänster kräver således ett samtycke från webbplatsbesökaren.
Hur ska samtycket hämtas in?
Samtycket måste hämtas in enligt reglerna i dataskyddsförordningen (“GDPR”). Detta innebär bland annat att samtycket ska vara frivilligt. Frivilligheten kan inte uppnås med en enkel cookie-banner som endast informerar om att uppgifter samlas in, delas med tredje parter och används för riktad direktmarknadsföring på andra webbplatser. Webbplatsbesökaren måste istället kunna tacka nej till de nämnda ändamålen innan cookien placeras på dennes digitala enhet.
Det är viktigt att webbplatsbesökaren ska kunna använda webbplatsen även om denne tackar nej. Webbplatsbesökarna måste också kunna återkalla sitt samtycke enligt reglerna i GDPR. EU-domstolen har nyligen förtydligat vad som gäller för samtycke för cookies, se vår analys av domen C-673/17 (Planet 49).
Cookies och överföringar till USA
Användning av cookies innebär i många fall att personuppgifter överförs till USA. En sådan tredjelandsöverföring kan strida mot GDPR:s regler för tredjelandsöverföringar och leda till sanktionsavgifter. Läs mer om detta här.
Cookies som inte behandlar personuppgifter
Ett samtycke för cookies krävs också för icke-nödvändiga cookies som inte behandlar personuppgifter. Detta regleras inte av GDPR, utan av ePrivacy-direktivet som har implementerats i svensk lagstiftning genom lagen (2003:389) om elektronisk kommunikation (“LEK”).
Vill du lära dig mer om GDPR, cookies och samtycke kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om GDPR och digital marknadsföring kan du läsa mer här.