EU: EU-domstolen beslutar att användningen av cookies kräver ett aktivt samtycke

EU-domstolen har i mål C-673/17 (Planet 49-målet) slagit fast att användning av cookies kräver ett aktivt samtycke från webbplatsbesökare. En på förhand ikryssad ruta är alltså inte tillräckligt. EU-domstolens beslut innebär att de flesta webbplatserna i Sverige måste se över hur de hämtar in webbplatsbesökares samtycke för cookies som används för analysverktyg, marknadsföring, reklamnätverk och andra ändamål.

Vad handlar domen om?

Den tyska sammanslutningen av konsumentskyddsorganisationer har invänt mot att det tyska bolaget Planet49 GmbH använder en på förhand ikryssad ruta genom vilken webbplatsbesökare som vill delta i en reklamtävling online ger sitt samtycke till lagringen av cookies. Dessa cookies syftar till att samla in information för reklamändamål för produkter som företagets samarbetspartners erbjuder.

Vad säger domstolen?

Domstolen slår nu fast att en på förhand ikryssad ruta som webbplatsbesökaren måste avmarkera för att inte lämna samtycke inte utgör ett giltigt samtycke till webbplatsens användning av cookies. En på förhand ikryssad ruta räcker alltså inte. Detta gäller oavsett om den information som hanteras av en cookie utgör personuppgifter eller inte.

Domstolen betonar att samtycket måste vara särskilt. Att en webbplatsbesökare trycker på en knapp för att delta i reklamtävlingen innebär inte att denna har lämnat ett giltigt samtycke till lagring av cookies.

Domstolen slår också fast att den information som tjänsteleverantören ska lämna till webbplatsbesökaren omfattar en cookies funktionstid, samt möjligheten för tredje part att få tillgång eller inte till dessa cookies.

Vad innebär domen för din verksamhet?

De flesta webbplatser använder i dagsläget analysverktyg som Google Analytics, Adobe Analytics, Matomo eller liknande. Enligt domstolens förtydligande kräver användning av sådana verktyg ett aktivt samtycke från besökaren på webbplatsen. Detta gäller även när analysverktyg endast använder sig av pseudonmyiserad eller avidentifierade data eftersom kraven även gäller när cookies inte hanterar personuppgifter.

Men samtyckeskraven gäller inte bara för cookies som användas för analysverktyg. De gäller för alla cookies som inte är nödvändiga för att tillhandahålla den tjänsten som webbplatsbesökaren efterfrågar.

Organisationer bör omgående kartlägga sin användning av cookies i alla digitala kanaler och anpassa sin samtyckeshantering.

Vill du lära dig mer om GDPR och individers rättigheter kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.