Informera om hur personuppgifter, kakor (cookies) mm hanteras
Det finns lagar som reglerar vad du som ansvarig för en webbplats är skyldig att informera besökarna om. Bland annat ska du upplysa om hur personuppgifter och kakor hanteras på webbplatsen.
Rekommendationer för kakor, dataskydd med mera Länk hit
- Informera om vilka delar av webbplatsen som använder kakor (Lag (2022:482) om elektronisk kommunikation).
- Se till att få besökarens samtycke till att du använder kakor.
- Följ dataskyddsregleringen.
Informera också om
- hur elektroniska anslagstavlor används, till exempel chatt eller diskussionsforum (Lag (1998:112) om ansvar för elektronisk kommunikation).
- myndigheten har utgivningsbevis, ger ut periodiska skrifter eller radioprogram.
- vilka bestämmelser som är tillämpliga på verksamheten, om besökaren kan sluta avtal, eller beställa varor eller tjänster på webbplatsen. (lag 2002:562) om elektronisk handel och andra informationssamhällets tjänster.
Beskriv hur kakor används på webbplatsenLänk hit
Även Post- och telestyrelsen har information samt frågor och svar om kakor.
Alla som besöker en webbplats eller utnyttjar en tjänst som använder kakor måste få tillgång till information om att kakor används och ändamålet med användningen av dem (Lag (2022:482) om elektronisk kommunikation). Alla som besöker en webbplats med kakor ska få information om att webbplatsen innehåller kakor, vem eller vilka som information utbyts med och ändamålet med användningen av kakorna. Presentera detta i anslutning till informationen eller tjänsten, så att användaren kan se detta innan tjänsten börjar användas.
Se till att få besökarens samtycke till att du använder kakor
Som webbplatsägare måste du se till att besökaren samtycker till att du använder kakor. Som huvudregel gäller att du måste få besökarens samtycke innan kakor lagras i webbläsaren eller hämtas från webbplatsen.
Reglerna gäller inte bara för vanliga kakor utan även för annan jämförbar teknik som till exempel Flash-kakor och html5 local storage. Europeiska dataskyddsmyndigheter m.fl. rekommenderar att även så kallade digitala fingeravtryck (fingerprinting) hanteras på samma sätt.
Samtycket ska vara individuellt, frivilligt och särskilt. Kravet på att samtycket ska vara särskilt innebär att ett generellt samtycke till behandling av uppgifter inte kan godtas. Samtycket ska gälla behandling för ett eller flera preciserade ändamål. Det krävs därför specifik information om den tänkta användningen av kakor.
Det finns inte en teknisk lösning och inte heller en standardtext för att informera om eller hämta in samtycke som passar alla. Det är upp till dig som webbplatsägare att i varje enskilt fall bedöma vad som fungerar för webbplatsen och era användare.
Det finns två undantag från kravet på samtycke. Det ena är när hanteringen är nödvändig för att det ska vara möjligt att tillhandahålla den funktion som användaren uttryckligen begär. Till exempel går det inte att ”lägga en vara i korgen” i en webbutik om inte servern och webbläsaren lagrar och hämtar denna information om varukorgen med hjälp av kakor eller liknande teknik. Det andra undantaget är när kakor behövs ”för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät”. Det kan till exempel röra sig om funktioner för lastbalansering eller likande teknik.
Följ dataskyddsregleringenLänk hit
Om du behandlar personuppgifter behöver du följa dataskyddsregleringen. Det kan till exempel innebära att användare behöver informeras om sina rättigheter och samtycka till behandlingen innan den får inledas. Läs mer om dataskyddsförordningen hos Integritetsskyddsmyndigheten (före detta Datainspektionen).
FördjupningLänk hit
- Post- och telestyrelsens information samt frågor och svar om kakor.
- Lag (2022:482) om elektronisk kommunikation
- Lag (1998:112) om ansvar för elektroniska anslagstavlor.
- Lag (2002:562) om elektronisk handel och andra informationssamhällets tjänster.
- Läs mer om dataskyddsförordningen hos Integritetsskyddsmyndigheten.
MätbarhetLänk hit
- Sätts kakor när någon besöker din webbplats?
- Har besökaren möjlighet att ge ett informerat samtycke?
- Finns sidan ”Om webbplatsen”, ”Om kakor (cookies)” eller motsvarande?
TerminologiLänk hit
Digitala fingeravtryck (fingerprinting) är en metod för att med relativt god säkerhet känna igen en besökare på en webbplats. Metoden baseras på att webbläsaren lämnar ett stort antal tekniska detaljer (skärmstorlek, webbläsarversion med mera) varje gång en webbsida eller annan resurs hämtas från en server. I och med att mängden detaljer är stor blir det oftast (men inte riktigt alltid) en unik uppsättning information för varje besökare. Därmed kan servern känna igen en besökare, vilket ger nästan samma möjligheter som kakor.
Kakor kallas ibland webbkakor eller http-kakor (http cookies). Regleringen kring kakor har sin bakgrund i EU-direktivet 2009/136/EG, som är en ändring av ePrivacy directive.
Dataskyddsförordningen bygger på en EU-förordning som kallas GDPR (General Data Protection Regulation). Tidigare gällde personuppgiftslagen (PUL) på detta område.
Kommentarer till denna riktlinje
Kommentarer (7)
First of all, sorry for writing in English – my Swedish is not that great. 🙂
I am a Dane living in Denmark and I have recently launched a Swedish website.
Do I still have to inform my visitors about cookies if I don’t collect any at all.
Thanks on beforehand!
Hej Mads!
Om webbplatsen inte använder kakor behöver ingen information lämnas till användaren. Lagen kräver inte det. Det skadar dock inte om du informerar om att kakor inte används, så att det är tydligt för den som besöker webbplatsen.
Hej!
Syftet med den här lagstiftningen är toppen, men konsekvenserna för oss som använder internet eller äger en webbplats är horribla.
Mängden cookies-notiser man tvingas acceptera/klicka bort för varje besök på nätet är helt orimlig eftersom i princip varje ny sajt man besöker använder cookies. Användarupplevelsen är fruktansvärd och syftet att man som besökare ska förstå/godkänna hur ens personliga information lagras blir urholkat eftersom i princip ingen längre orkar eller hinner ta del av detaljerna i denna information.
Har ni tips på hur man som internetanvändare och webbplatsägare kan påverka lagstiftningen i ”rätt” riktning inom detta område?
Hej
Jag undrar om det finns ett krav på att storleken på rejct knappen skall vara lite stor som acceptera knappen eller om det ens finns en rekommendation om detta?
Hej Charlotte
Rent juridiskt saknas det krav på hur stor en knapp ska vara eller om det ska vara en viss storlek på primär respektive sekundär knapp.
Det enda krav som omfattar just knappar är WCAG 2.5.5 som handlar om storleken på klickytor, t.ex. knappar eller andra interaktiva element. Detta krav ligger dock på nivå AAA och omfattas därför inte av EN-standarden (EN301549) och därmed inte heller av DOS-lagen.
Att följa WCAG är dock alltid bra, även om just detta inte är ett lagkrav.
Av och till, men väldigt sällan, kommer jag till sidor som i stället för att låta användaren acceptera/välja kakor, bara har ett meddelande som informerar användaren om att sidan använder cookies och säger att genom att använda sidan accepterar man alla cookies (i dag var det Leos lekland). Är detta acceptable praxis? Om det är ok, varför gör inte alla så?
Hej Anna.
DIGG är inte tillsynsmyndighet för cookies. Vi kan informera om hur liknande meddelanden ska presenteras så det fungerar med hjälpmedel (t.ex. hur modaler ska utfomas, var fokus ska placeras osv).
När det kommer till hur meddelande om cookies ska vara utformade för att stämma överens med aktuell lagstiftning så måste jag hänvisa dig till Post- och telestyrelsen eller till Integritetsskyddsmyndigheten som har tillsynsuppdraget.
Skriv kommentar
Funktionen för att skriva kommentarer använder kakor. Läs mer om kakorna. Enbart förstapartskakor används. Vill du inte godkänna kakor så kan du ställa in din webbläsare att blockera dem. Funktionen går ändå att använda men den kommer då att ställa vissa frågor om och om igen, och kan inte förhandsvisa dina kommentarer.
För att kunna erbjuda denna funktion behöver vi lagra de uppgifter som du själv skriver in (namn, e-post, eventuell webbadress och själva kommentaren) samt IP-nummer. Den rättsliga grunden är samtycke och informationen ligger kvar så länge DIGG bedömer att den tillför förståelse för riktlinjen, eller tills du begär att den raderas. Läs mer om DIGGs behandling av personuppgifter.