Kaklagen i praktiken

Kakor får, med några undantag, endast sättas av en webbplats om användaren fått information om syftet med kakorna och samtycker till detta. Se webbriktlinjen Informera om hur personuppgifter, kakor (cookies) m.m. hanteras (R20). Bestämmelsen är gemensam inom EU och syftar till att användare ska få veta när aktörer på nätet kan kontrollera deras beteende och ge användaren möjlighet att undvika detta.

Här förklarar vi hur ni kan göra för att uppfylla lagkraven så enkelt som möjligt. Bland annat ger vi förslag på vilken information ni bör ge om kakor, i några typiska scenarier.

Kom gärna med återkoppling

Precis som för resten av Vägledningen för webbutveckling gäller:

  • Som namnet antyder är syftet att ge vägledning – inte juridiskt bindande paragrafer.
  • Primärt vänder vi oss till offentlig sektor, men många av rekommendationerna kan med fördel tillämpas även i andra sammanhang.
  • Kom gärna med synpunkter på innehållet. I första hand med epost till info@webbriktlinjer.se.

”Kaklagen” gäller mer än bara kakorLänk hit

Paragraf 18 – den så kallade kaklagen – i sjätte kapitlet i LEK (lagen (2003:389) om elektronisk kommunikation) gäller, förutom traditionella webbkakor som sätts med http-headers eller javascript, även liknande tekniska lösningar där information lagras och hämtas från användarens terminal. Det gäller både standardbaserade lösningar som Web Storage och IndexedDB och andra lösningar (till exempel Flash cookies), även om de inte visas och kontrolleras på samma sätt som traditionella kakor.

Olika sorters kakor

Det som ofta kallas ”kakor” kan se ut på olika sätt. Flera olika tekniska lösningar berörs av samma regler.

De europeiska dataskyddsmyndigheterna har i ett yttrande om digitala fingeravtryck (pdf, 585kB) skrivit att de anser att reglerna även gäller när användaren följs med hjälp av mer eller mindre unikt identifierande egenskaper i till exempel webbläsaren.

Termen kakor används i resten av denna text för alla ovanstående lösningar.

Andra lagar kan också vara relevanta

Den här sidan har fokus på ”kaklagen”, men när kakor och liknande lösningar används är det vanligt att även personuppgifter hanteras. I sådana fall berörs även annan reglering. Framförallt dataskyddsförordningen (GDPR). Mer information om GDPR finns hos Datainspektionen.

Det gäller till exempel när IP-nummer eller ”annonsör-ID” ersätter kakor för att hålla reda på en användare mellan sidbyten och besök. Den här typen av identifiering berörs inte nödvändigtvis av kak-reglerna, men kan medföra mer långtgående integritetsrisker än kakor, vilket kan innebära större krav på information och samtycke (eller annan laglig grund för behandling) än vad som framgår nedan.


Undvik onödiga trösklarLänk hit

Kraven på information och samtycke om kakor upplevs ofta som besvärliga och orsakar en sorts ”trösklar” både för användare och för den som ansvarar för sajten. Men ibland går det att undvika sådana trösklar.

Vissa kakor är undantagna

I lagparagrafen om kakor står att kravet inte ska hindra sådan lagring eller åtkomst som är ”nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt”. Det innebär att vissa kakor kan sättas utan samtycke från användaren. Med ”nödvändig” menas att det inte är möjligt att erbjuda funktionen utan sådan lagring som kakor och liknande teknik erbjuder. Att en viss produkt kräver sådan lagring innebär inte att kakan är nödvändig, om det skulle gå att erbjuda funktionen genom att utveckla funktionen på ett annat sätt.

Här nedan följer några exempel på funktioner som i regel kan lösas med kakor (eller liknande teknik) utan att krav på samtycke följer av ”kaklagen”:

Observera dock

  1. Det är varje enskild funktion som avgör om samtycke behöver inhämtas. Det går alltså inte att slippa undan lagens krav helt genom att låta en och samma kaka ha flera funktioner varav någon täcks av undantaget.
  2. Även om samtycke och information inte krävs enligt ”kaklagen” så kan det eventuellt krävas med anledning av GDPR.
  3. Även om samtycke inte behöver inhämtas för sådan nödvändig lagring så rekommenderar vi att det fullständiga meddelandet innehåller en beskrivning även av sådana kakor.

Vissa kakor behövs bara på en liten del av sajten

När kakor bara behövs på en begränsad del av sajten, som kanske bara används av en bråkdel av alla besökare, kan informationen om kakorna med fördel lämnas i direkt anslutning till att de behövs. Till exempel i samband med att användaren aktiverar funktionen som utnyttjar kakor.

Vissa kakor är onödiga

Videospelare, kartor, kommentarsfunktioner, delafunktioner och andra komponenter (som ibland kallas för widgets på engelska) erbjuds ofta kostnadsfritt för webbutvecklare. Den som lägger in en sådan komponent på sin webbplats behöver bara klistra in en kort html-kod på sin sida, så hämtas komponenten till besökarens dator från en tredje part, alltså från någon annan webbserver. Sådana komponenter finansieras ofta genom att tredjeparten får möjlighet att samla in användardata, och hanteringen medför i regel kakor.

Men ibland finns alternativa lösningar som gör att ni kan undvika både kakor och liknande teknik. Till exempel går det ofta utmärkt att erbjuda så kallade dela-funktioner utan kakor. De kakor som används i de sociala plattformarnas egna delaknappar är alltså inte alltid nödvändiga för att uppnå den funktion som användaren önskar.

Har du exempel på bra alternativa lösningar utan kakor så hör gärna av dig så kan vi kanske lägga in tips här.




Gå igenom dina kakor så härLänk hit

Start

För varje ändamål som kakor eller liknande teknik används för, gå igenom följande:

  1. Sker det någon behandling av personuppgifter? Du kan då behöva följa dataskyddsreglering. Se vägledning från Datainspektionen. Fortsätt sedan på 2.
  2. Är kakan nödvändig för att tillhandahålla en funktion som användaren uttryckligen begärt? Då är ändamålet undantaget i ”kaklagen”, men det kan ändå vara lämpligt att informera användaren. Fortsätt sedan med nästa ändamål (start).
  3. Finns det alternativ som inte kräver kakor eller liknande teknik? Använd sådant alternativ och fortsätt sedan med nästa ändamål (start), eller fortsätt med nuvarande alternativ och gå till steg 4.
  4. Används funktionen på hela sajten? Lägg till detta ändamål till det korta meddelandet, erbjud fullständig information och se till att inhämta samtycke innan kakan sätts.
  5. Informera och inhämta samtycke i samband med aktuella sidor eller funktioner. Alternativt, om det på grund av andra kakor krävs att besökare får ta ställning till kakor tidigare under besöket så kanske det är smidigare att samla all information till detta tidigare tillfälle.

 


Informera alla kortfattat om kakornaLänk hit

De flesta användare vill fokusera på sajtens huvudinnehåll och har inte tid att läsa igenom fullständig information om kakorna. För att de ändå ska kunna fatta ett rimligt informerat beslut om de ska acceptera eller blockera kakor, eller kanske lämna sajten, bör följande information visas för alla när kakor används:

  • Att kakor används.
  • För vilka ändamål kakor används.
  • Huruvida tredje part använder kakor eller uppgifter som samlats in med hjälp av kakor.
  • Att användaren kan neka till, eller i efterhand radera kakor och
  • om det i så fall får konsekvenser för användaren.
  • Länk till eller annat sätt att få fullständig information om kakorna (se nedan).
Vi använder kakor för att följa upp användningen. Informationen sammanställs anonymiserat hos vår leverantör. Du kan blockera kakor men då visas detta meddelande igen. Detaljerad information

 

Exempel på kort information som visas för alla besökare.

 

Håll informationen så kortfattad som möjligt, men när kakor används för många ändamål är det svårt att undvika att meddelandet tar upp en betydande del av utrymmet. Särskilt om en liten skärm eller ingen skärm används.

Presentera meddelandet för alla människor, men inte för robotar

Kom ihåg att det korta meddelandet om kakor behöver kunna uppfattas och hanteras av alla människor, oavsett om besökaren till exempel använder tangentbordet för att navigera eller använder andra hjälpmedel såsom skärmläsare. Se de många webbriktlinjer som handlar om tillgänglighet.

Däremot är det inte så lyckat om sökmotorer och sociala medier presenterar information om kakor i sin korta förhandsvisning av din sida. Testa hur förhandsvisningen ser ut med en simulator om du inte vill eller kan göra en skarp publicering och granska resultatet. Det går att påverka hur robotar uppfattar sajten med hjälp av metadata, prata med en utvecklare om det.


Erbjud fullständig information om kakornaLänk hit

För en del användare räcker inte den kortfattade informationen för att kunna ta ställning till kakorna. Ge därför besökarna möjlighet att även ta del av följande information:

Innehåll Förklaring Exempel
1. Vilken typ av kakor som används? Är det vanliga http-kakor eller flash-kakor, fingerprinting, webstorage, indexeddb eller något annat? ”På vår webbplats används vanliga kakor och även så kallad localStorage.”

”Vårt webbanalysprogram använder så kallad fingerprinting, det vill säga den avläser nästintill unika egenskaper hos besökares webbläsare för att vi ska kunna analysera hela besök och inte bara enskilda sidvisningar.”

2. Vilket är ändamålet med användningen av kakor? Varför använder ni och era eventuella partners kakor och liknande teknik?

Redovisningen kan vara uppdelad per kaka, men inte nödvändigtvis. Det är viktigare att ange vilken partner som gör vad än vilken kaka som har vilken funktion.

Ju mer begriplig, sanningsenlig och meningsfull information ni anger desto lättare att vinna användarens förtroende och samtycke.

”Våra kakor används för webbstatistik och för att lagra inställningar som du gör på sajten.”

”Våra annonspartners analyserar din aktivitet på nätet för att kunna exponera budskap för dig (både här och på andra webbplatser) med sådant innehåll, utformning och tajming som ökar värdet av annonseringen. Annonseringens ändamål är att finansiera tjänsten.”

3. Försvinner spåren av besöket efter besöket? Förklara hur länge kakorna lagras och om informationen som lagras kopplas ihop med eller används för att skapa en bestående användarprofil.

Exemplen här intill är sorterade med avseende på integritetsskydd. Observera att ”vi” i exemplen avser både sajtägaren och eventuella tredjeparter.

Observera att dataskyddsförordningen (GDPR) och andra lagar kan ställa mer detaljerade krav på den här typen av information än vad ”kaklagen” gör.

”Kakorna raderas efter besöket och vi kartlägger inte din aktivitet.”

”Några av kakorna sparas i din utrustning för att komma ihåg dina val vid nästa besök, men vi behandlar inte informationen på vår sida.”

”Din och andras aktivitet på sajten loggas aggregerat men kan inte kopplas ihop till enskilda individer.”

”Din aktivitet på sajten kopplas ihop med en anonym användarprofil.”

”Information om en del av det du gör på sajten lagras i historiken för ditt konto, i enlighet med den integritetspolicy som du godkände när du öppnade kontot.”

”Viss aktivitet loggas och kan kopplas till din identitet.”

4. Vilka uppgifter samlas in med hjälp av kakor? Observera att dataskyddsförordningen (GDPR) och andra lagar kan ställa mer detaljerade krav på den här typen av information än vad ”kaklagen” gör. ”Vi samlar in uppgifter om vilka sidor du besöker, hur länge du stannar på webbplatsen och från vilket land du surfar.”
5. Vilka tredjeparter använder kakorna eller uppgifter som samlats in med hjälp av dem? Ange i första hand företagets eller organisationens namn, och komplettera gärna med vilka domännamn som används av respektive partner.

Observera att ni även bör redovisa i vilken utsträckning information som tredjepart samlat in kan komma att spridas vidare, till exempel till deras affärspartners.

Ibland erbjuder tredjeparter detaljerad information om sina kakor. Länka gärna vidare till sådan information, men se till att ha koll på om den ändras. Kanske behöver du då uppdatera dina texter.

”Information som samlas in med hjälp av kakor på vår webbplats hanteras av följande aktörer, förutom oss själva:

För webbanalys och annonsdistribution: Google (som använder domännamnen doubleclick.net, google-analytics.com, myndigheten.se). Mer om hur Google använder kakor.

För prestandaoptimering och tester: Optimizely (optimizely.com, log.optimizely.com, myndigheten.se). Mer om hur Optimizely använder kakor.”

6. Kan användaren neka till användningen av kakor, granska vilka kakor som redan har lagrats samt radera lagrade kakor? Hur då? Denna information kan vara  gemensam för många webbplatser (till exempel för alla i en bransch), och om någon aktör håller en sådan redovisning uppdaterad kan det vara resursbesparande att alla länkar dit istället för att publicera och uppdatera egen information. Men det är ditt ansvar.

Glöm inte bort att det finns flera olika typer av lagring som räknas som kakor.

”Du kan neka till kakor, granska vilka kakor som lagrats samt radera dessa med hjälp av funktioner i din webbläsare. Se webbläsarens dokumentation.

På sajten minacookies.se finns länkar som leder till instruktioner om hur du kan neka till användningen av kakor, granska vilka kakor som redan har lagrats samt radera lagrade kakor i några av de vanligaste webbläsarna.

Your online choices kan du tacka nej till skräddarsydd reklam från våra annonspartners, men däremot inte blockera kakor.”

7. Vilka konsekvenser får det för användaren att neka till eller blockera kakor? ”Utan de kakor som vi betecknat som nödvändiga i beskrivningen ovan kan du inte logga in och använda våra tjänster. Övriga kakor kan du blockera men då minskar våra förutsättningar att anpassa sajten för användare med dina behov.”

”Om du blockerar kakor kommer du att om och om igen få frågan om du vill godkänna kakor.”

 

Kom ihåg att uppdatera informationen när hanteringen förändras, till exempel när ni lägger in ny funktionalitet på sajten. Se även Ange när webbsidorna har publicerats eller uppdaterats (R23), Uppdatera webbplatsens innehåll och länkar regelbundet (R26) och Se till att infogade externa tjänster följer webbriktlinjerna (R67).

Var ska informationen om kakorna finnas?

Ofta passar det att ha den fullständiga information om kakor på sidan ”Om webbplatsen” eller på en undersida till denna. Se webbriktlinjen Beskriv hur webbplatsen fungerar och vad den innehåller (R19). Men det är också tänkbart att lägga informationen i exempelvis en ruta som visas dynamiskt när användaren efterfrågar den.

Överväg att utforma tjänsten så att den fullständiga informationen kan nås utan att besökaren först accepterar kakor. Annars blir det svårt för den som vill informera sig innan den samtycker.


Några vanliga kakfunktionerLänk hit


Här följer några resonemang om användning av kakor för olika vanliga ändamål:

  1. Lagra användarens preferenser angående kakor
  2. Statistikfunktion för webbanalys
  3. Delafunktioner
  4. När användaren har ett konto
  5. När användaren vill anpassa webbplatsens utformning
  6. Notifieringar
  7. Varukorg
  8. Andra funktioner som användaren uttryckligen begär

 


Lagra användarens preferenser angående kakor

Oavsett om en användare säger ja eller nej till kakor så finns det inget annat sätt att respektera denna önskan och minnas svaret än att använda kakor eller liknande teknik. Det innebär, paradoxalt nog, att en kaka får användas för att minnas svaret, på grund av undantaget för nödvändiga kakor!

Observera att detta även innebär att en användare som just sagt nej till kakor kan få en sådan kaka, men då ska kakan enbart ha som ändamål att lagra detta nej, och ingenting annat. Dessutom bör information om denna hantering finnas i det fullständiga meddelandet.

 


Statistikfunktion för webbanalys

Webben är en av de viktigaste kontaktytorna mot kunder eller medborgare och det kostar en del pengar att utveckla och förvalta den. Webbanalysverktyg gör det möjligt att följa upp hur sajten används och successivt förbättra kvaliteten. För myndigheter är detta ett sätt att säkerställa god service och för privata aktörer ett sätt att attrahera och behålla kunder. Webbriktlinjen Följ upp hur webbplatsen används (R37) uppmanar därför sajtägare att kontinuerligt utföra trafik- och sökordsanalys.

De flesta moderna webbanalysverktyg använder kakor för att kunna följa användares beteende under och mellan besök.

För- och nackdelar med några vanliga förhållningssätt till kakor

Olika webbplatser förhåller sig på lite olika sätt till kravet på samtycke för användning av kakor. Vi har kunnat urskilja följande huvudsakliga kategorier, och kommenterar kortfattat några för- och nackdelar med var och en:

1. Samtycke krävs vid första besöket

Information om kakor visas omedelbart när användarens första besök på sajten inleds. Besökaren måste godkänna kakorna för att komma vidare.
Denna lösning är vanlig i bland annat Holland.
Fördelar:

  • Alla som fortsätter använda sajten ingår i besöksstatistiken. När besökaren godkänt kakorna kan kakinformationen döljas.

Nackdelar:

  • Räckvidden kan försämras: ”Kakväggen” kan göra så att många användare vänder innan de ens kommit in på sajten, vilket kan påverka varumärke och marknadsföring. Den kan även utgöra ett hinder för både indexering av sökmotorer och förhandsvisning i samband med till exempel delning i sociala medier.
  • För information som måste kunna nå alla medborgare (till exempel samhällsservice) kan krav på sådant samtycke innebära ett olämpligt villkor: Om besökaren måste använda tjänsten är det inte säkert att ett samtycke kan anses vara frivilligt, och kan därmed vara ogiltigt.

2. Erbjud besökare att inte få sina besök loggade

Information om kakor visas omedelbart när besöket inleds. Besökaren kan gå vidare även utan att acceptera kakor, och då används inte kakor.
Användare kan erbjudas möjligheten att säga nej till statistikhantering och i så fall kan faktiskt detta ställningstagande till kakor lagras i en kaka – utan samtycke. En variant av detta används av Karlstads universitet på kau.se med hjälp av gratisprogrammet Cookie Consent by Insites.
Fördel:

  • Tillvägagångssättet ger användaren valfrihet.

Nackdel:

  • En ganska stor andel av besökarna kommer troligen att försvinna från besöksstatistiken, som därmed inte blir lika användbar.

    Graf som visar påtaglig minskning av trafik vid införande av samtycke till kakor

    Statistikunderlaget minskade med ca 90% när Regeringskansliet 2011 började spåra enbart besökare som givit samtycke.

3. Betrakta fortsatt användning som samtycke

Information om kakor visas från besökets inledning till dess att användaren bekräftat informationen. Besökaren kan gå vidare och anses i så fall ge samtycke, om inte hen spärrat kakor i webbläsaren. Detta är idag den vanligaste modellen.

Fördel:

  • Användaren blir informerad men kan fortsätta använda sajten utan att utsättas för den relativt stora kognitiva belastning som ett aktivt beslut medför. Användare som störs av informationen kan dölja den.

Nackdelar:

  • Det är osäkert om detta är ett juridiskt godtagbart samtycke, så länge ingen domstol prövat frågan. För de tillfällen då personuppgifter behandlas är det inte tillräckligt. Informationen kräver dessutom utrymme och uppmärksamhet som skulle kunnat användas till annat, särskilt när skärmen är liten, och i röstbaserade sammanhang.

En variant av ovanstående används på EU-kommissionens webbplats. Sajten sätter förstapartskakor för webbanalys såvida inte användaren aktivt väljer bort spårning, vilket går att göra med hjälp av en kryssruta på kommissionens sida ”Rättsligt meddelande”.

Två skärmbilder som visar hur användaren med hjälp av kryssrutor kan välja att bli inkluderad eller exkluderad från webbanalys.

På EU-sajter kan användaren välja bort (opt out) spårning för webbanalys.

I Europa Analytics, som är EU-institutionernas anpassade version av Matomo (före detta Piwik) kallas, lagras inga personuppgifter, IP-nummer avidentifieras, endast förstapartskakor används och sajtägarna delar inte med sig av några insamlade uppgifter. Sajterna redogör utförligt för kakornas ändamål och funktion, och respekterar eventuell webbläsar-inställning att inte bli spårad (enligt standarden Do Not Track). All trafik sker över krypterad https. EU-institutionerna gör alltså betydande ansträngningar för att skydda användarens integritet och ge denne kontroll över spårning.

Fördelar:

  • Få besökare kommer att märka av den. Alltså slipper de besväras av ”trösklar”.
  • Användarens integritet kommer med stor sannolikhet inte att bli skadad.

Nackdelar:

  • Det är inte helt säkert att lösningen uppfyller lagkraven.

4. Avstå från webbanalys

Fördel:

  • Då slipper användaren ägna uppmärksamhet åt informationen om kakor och kan fokusera på innehållet.

Nackdel:

  • Svårt att följa upp användningen.

5. Använd analysverktyg som inte använder kakor eller jämförbar teknik

Det finns till exempel verktyg som utgår från loggar över http-anrop. Detta kan ske på några olika sätt:

  • Utan sessions-id. Då framstår varje sidhämtning som ett separat besök, och det blir svårt att analysera flöden och beteenden, men däremot går det fortfarande att se hur ofta och när olika delar av sajten används, vilka sökord som används med mera. För vissa räcker detta.
  • Med trunkerade (delvis anonymiserade) IP-nummer som identifierare. Den här metoden kan ge ganska bra resultat, men medför att flera besök från samma nät (till exempel från samma organisation) kan se ut som ett och samma besök.
  • Med IP-nummer som identifierare. Metoden kan ge bra resultat, men kräver sannolikt samtycke och information ändå, på grund av annan reglering eftersom IP-nummer räknas i många fall räknas som personuppgift.
  • Med sessions-id som inte hämtas från kakor utan från sidans adress. Detta torde vara att likställa med kakor, och medför dessutom att adresser blir svårbegripliga.

Känner du till fler alternativ?

Meddela oss gärna, så att vi kan komplettera listan!

Eftersom det finns för- och nackdelar med alla alternativ får du själv bedöma hur din sajt på bästa sätt kan både uppfylla lagens krav och användarnas behov.

Förslag på utformning av information om webbstatistik-kakor

Här är två exempel  på information som skulle kunna användas för att presentera information om webbstatistik-kakor:

Exempel 1

Vi använder kakor för att följa upp användningen. Informationen sammanställs anonymiserat hos vår leverantör. Du kan blockera kakor men då visas detta meddelande igen. Detaljerad information

 

Exempel 2

För att kunna förbättra sajten använder vi webbstatistik. Besöken loggas anonymt med hjälp av kakor. Om du blockerar kakor kan vi inte se hur personer med dina behov använder sajten. Mer om våra kakor.

Om du känner till någon webbplats som har ett bra kort meddelande så meddela oss gärna så kanske vi kan ta upp det som exempel här.

Här är ett förslag på utförlig information om webbstatistik-kakor, bland annat baserat på Bolagsverkets informationssida om kakor.

Exempeltext: Om kakor på vår webbplats

På vår webbplats används kakor (bara vanliga webbkakor som sätts med http-headers och javascript) och därför behöver vi enligt Lag (2003:389) om elektronisk kommunikation lämna information så att du kan bedöma om du vill samtycka till kakorna eller ej.

Ändamål och tredjepart

Vårt publiceringssystem sätter som standard en sessionskaka, som används för vår sökfunktion och för att komma ihåg dina inställningar på sajten. För närvarande sparas enbart möjligheten att välja större teckensnitt. Kakan heter cmssessionid och den serveras från sajtens egen domän. Den är alltså en förstapartskaka och den försvinner från din webbläsare efter besöket.

Vi använder dessutom ett webbanalysverktyg från Företag X för att följa upp hur våra besökare använder webbplatsen. Följande information som skapas av dessa kakor genom din användning av webbplatsen skickas vidare till och lagras av Företag X:

  • när du besökte webbplatsen första gången
  • när du besökte webbplatsen senast
  • när ditt nuvarande besök påbörjades
  • hur många gånger du besökt webbplatsen
  • vilken webbläsare du använder
  • vilka sidor du besöker och hur länge
  • hur du hittade till webbplatsen.

Kakorna sparas i upp till två år. Nedräkningen börjar om vid varje besök, så återkommande besökare loggas i praktiken tills de raderar sina kakor eller byter webbläsare. Den insamlade informationen anonymiseras men det finns en teoretisk möjlighet att en analytiker ändå kan koppla samman ditt agerande på sajten med dig som person.
Företag X använder informationen främst för att kunna erbjuda webbanalysfunktionen, men även för att själva kunna analysera beteenden på nätet.

Om du vill undvika kakor

Om du inte vill acceptera kakor kan din webbläsare ställas in så att du automatiskt nekar till lagring av kakor eller informeras varje gång en webbplats begär att få lagra en kaka. Genom webbläsaren kan också tidigare lagrade kakor raderas. Se webbläsarens hjälpsidor för mer information.

Den ena konsekvensen om du undviker kakor är att vi får sämre underlag för att följa upp användningen av sajten och förbättra den. Den andra konsekvensen är att funktionen för att skräddarsy teckenstorlek på sajten kan sluta fungera utan kakor.

Vill du ha information från oss utan att använda dig av webbplatsen är du välkommen att kontakta vår kommunikationsavdelning för hjälp med att beställa material, info@myndigheten.se eller telefon 012-345 67 89.

Observera att annan reglering kan ställa krav på ytterligare information när personuppgifter hanteras.

 


Dela-funktioner

Många av de så kallade dela-funktioner som enkelt kan läggas in med hjälp av kod som kopieras från plattformar eller med tillägg i publiceringssystem finansieras genom att de samlar in personuppgifter. Men delafunktioner behöver inte medföra kakor och spårning.

Istället för att lägga in en delafunktion som gör externa http-anrop när den visas kan du helt enkelt länka till sociala mediesajters delningsadress. Baka in adressen till din sida i delningsadressen (i argumentet, det vill säga innehållet efter frågetecknet). När användaren klickar på en sådan länk hamnar hen på en förhandsvisning av delningen. Här är tre exempel på delningsadresser som kan användas för att dela en sida med adress http://myndigheten.se (som du givetvis kan byta ut mot din egen sidas adress):

 


När användaren har ett konto

För webbplatser och andra digitala tjänster där användaren registrerar ett konto gäller att själva inloggningen, utifrån kaklagen, kan hanteras med hjälp av kakor utan särskild information eller samtycke om användaren uttryckligen begär att få bli inloggad. Då är nämligen kakor eller motsvarande nödvändigt för att kunna tillhandahålla den funktion som användaren begär.

Ofta används dock sådana sessionskakor samtidigt även för andra ändamål än just att minnas vilket konto som är inloggat, och i så fall behövs information och samtycke ändå. Och nästan alltid förekommer personuppgifter när konton används, vilket gör att även de krav som följer av dataskyddsreglering måste beaktas. Det kan bland annat innebära att användaren behöver lämna flera separata samtycken, till olika behandlingar av personuppgifter, eller att annan laglig grund för behandlingen behöver finnas. Läs mer om GDPR hos Datainspektionen.

I regel ingår användaren avtal med sajtägaren i samband med kontoregistrering, och både det korta meddelandet och den fullständiga informationen kan placeras i anslutning till den funktion som används för att godkänna avtalet.

Det är ovanligt att användare tar sig tid att faktiskt läsa igenom avtalet i sådana lägen. Vi rekommenderar alla att utgå från användarens behov vid utformning av sådana system. Överväg att använda partsförhandlade standardavtal och branschgemensamma förhållningsregler. Fundera på vilka förväntningar användaren rimligen kan ha på dataskydd och information, och ansträng er för att respektera dessa.

 


När användaren vill anpassa webbplatsens utformning

Vissa webbplatser erbjuder användaren möjlighet att skräddarsy teckenstorlek, radmellanrum, färgskala, ljudvolym och så vidare. För att en sådan anpassning inte ska trilla bort mellan varje sidvisning måste kakor eller liknande teknik användas. När användaren själv är den som tar initiativ till anpassningen faller hanteringen därmed under undantaget för nödvändiga kakor. Om det däremot är sajtägaren som väljer att skräddarsy tjänsten så är det inte säkert att undantaget gäller.

 


När användaren uttryckligen ber om att få notifieringar

Det finns en webbstandard för notifieringar och ett förslag på API för push-meddelanden som kan vara användbara när användaren behöver bevaka viktiga händelser utan att behöva ladda om en sida, till exempel få information om förseningar, nya meddelanden eller nödsituationer. Sådana meddelanden innebär i praktiken att servern får möjlighet att lagra information i användarens terminal, och skulle alltså kunna beröras av ”kaklagen”.

En liten siffra i skärmens nedre högra hörn visar att det finns ett nytt meddelande.

Exempel på notifiering från webbplats i Windows 10/Edge.

Webbstandarden för notifieringar är utformad på så vis att användaren aktivt måste tillåta sådana meddelanden för att de ska kunna aktiveras. Det sker genom att webbplatsen anropar ett javascript-API med följden att en samtyckesdialog presenteras för användaren. Den dialogrutan är utformad på ett sätt som bestäms av operativsystemet, webbläsaren, språkinställningar med mera. Vi rekommenderar ett designmönster som kallas dubbel tillåtelse. Det innebär att endast användare som efter skräddarsydd information från webbplatsen ber om notifieringar får upp den standardiserade dialogrutan som registrerar samtycket. Den skräddarsydda informationen innan API-anropet kan användas antingen som placering för det ”korta meddelandet” eller för att säkerställa att användaren uttryckligen begär funktionen. Då täcks hanteringen nämligen av undantaget för nödvändiga kakor.

Så här ser samtyckesdialogen för notifieringar ut i webbläsarna Edge och Firefox på Windows 10.

 


När användaren lägger en vara i en varukorg

För att den vanliga funktionen ”varukorg” ska fungera måste det finnas något sätt att minnas varukorgens innehåll mellan sidbläddringar. Detta görs lämpligen med kakor eller liknande teknik, och om användaren själv lagt varan i varukorgen så måste hen anses ha begärt funktionen, som därmed täcks av undantaget för nödvändiga kakor. Men, precis som med alla andra funktioner, undantaget gäller bara för just denna funktion hos kakan. Om samma kaka används för andra ändamål är det inte säkert att dessa ändamål täcks av undantaget.

 


Andra funktioner som användaren uttryckligen begär

Det finns även andra sammanhang då kakor eller liknande teknik är nödvändiga för att kunna erbjuda funktioner som användaren uttryckligen begär.

Ett exempel från webbriktlinjer.se gäller möjligheten att lagra inmatade uppgifter och därmed slippa ange samma uppgifter igen. Med den formulering vi valt vid kryssrutan täcks lagringen av undantaget för nödvändiga kakor. Tänk dock på att samtycke kan krävas ändå utifrån GDPR om lagringen innebär behandling av personuppgift.

Kryssrutan Spara mina svar i webbläsaren är vald.

Det finns ett undantag i ”kaklagen” för funktioner som användaren uttryckligen begär som kräver att kakor används.