Riktlinje nr 20 Prio 2

Informera om hur personuppgifter, kakor (cookies) mm hanteras

Det finns lagar som reglerar vad du som ansvarig för en webbplats är skyldig att informera besökarna om. Bland annat ska du upplysa om hur personuppgifter och kakor hanteras på webbplatsen.


Rekommendationer för kakor, PuL med mera Länk hit

  • Informera om vilka delar av webbplatsen som använder kakor (Lag (2003:389) om elektronisk kommunikation).
  • Se till att få besökarens samtycke till att du använder kakor.
  • Beskriv hur ni hanterar personuppgifter och förbered er för kommande dataskyddsreglering.

Informera också om

  • hur elektroniska anslagstavlor används, till exempel chatt eller diskussionsforum (Lag (1998:112) om ansvar för elektronisk kommunikation).
  • myndigheten har utgivningsbevis, ger ut periodiska skrifter eller radioprogram.
  • vilka bestämmelser som är tillämpliga på verksamheten, om besökaren kan sluta avtal, eller beställa varor eller tjänster på webbplatsen. (lag 2002:562) om elektronisk handel och andra informationssamhällets tjänster.

Beskriv hur kakor används på webbplatsenLänk hit

Alla som besöker en webbplats eller utnyttjar en tjänst som använder kakor måste få tillgång till information om att kakor används och ändamålet med användningen av dem (Lag (2003:389) om elektronisk kommunikation). Alla som besöker en webbplats med kakor ska få information om att webbplatsen innehåller kakor, vem eller vilka som information utbyts med och ändamålet med användningen av kakorna. Presentera detta i anslutning till informationen eller tjänsten, så att användaren kan se detta innan tjänsten börjar användas.


Se till att få besökarens samtycke till att du använder kakorLänk hit

Som webbplatsägare måste du se till att besökaren samtycker till att du använder kakor. Som huvudregel gäller  att du måste få besökarens samtycke innan  kakor lagras i webbläsaren eller hämtas från webbplatsen.

Reglerna gäller inte bara för vanliga kakor utan även för annan jämförbar teknik som till exempel Flash-kakor och html5 local storage. Europeiska dataskyddsmyndigheter m.fl. rekommenderar att även så kallade digitala fingeravtryck (fingerprinting) hanteras på samma sätt.

Samtycket ska vara individuellt, frivilligt och särskilt (jämför 3 § personuppgiftslagen). Kravet på att samtycket ska vara särskilt innebär att ett generellt samtycke till behandling av uppgifter inte kan godtas.  Samtycket ska gälla behandling för ett eller flera preciserade ändamål. Det krävs därför specifik information om den tänkta användningen av kakor.

Informationen om kakor bör innehålla

  • uppgifter om vad de olika kakorna heter ,
  • till vilket domännamn de hör,
  • för vilka ändamål de används (beskriv även hur besökarens personliga information används),
  • vilka data som lagras i kakorna,
  • hur länge de sparas i besökarens webbläsare,
  • om informationen kommer från eller lämnas ut till tredje part  (till exempel om besökaren kan bli kontaktad av tredje part och/eller om besökarnas surfbanor kan bli kartlagda).

Om ni använder externa tjänster från andra webbplatser, till exempel Youtube, kan det krävas att användaren accepterar kakor även från dessa webbplatser för att er webbplats ska fungera. Lämna därför också information om vilka andra domäner kakor måste tillåtas från.

Informera också om hur det påverkar användarens besök på webbplatsen om hen hindrar användningen av kakor i webbläsarens inställningar.

Det finns inte en teknisk lösning och inte heller en standardtext för att informera om eller hämta in samtycke som passar alla. Det är upp till dig som webbplatsägare att i varje enskilt fall bedöma vad som fungerar för webbplatsen och era användare.

Det finns två undantag från kravet på samtycke. Det ena är när hanteringen är nödvändig för att det ska vara möjligt att tillhandahålla den funktion som användaren uttryckligen begär. Till exempel går det inte att ”lägga en vara i korgen” i en webbutik om inte servern och webbläsaren lagrar och hämtar denna information om varukorgen med hjälp av kakor eller liknande teknik. Det andra undantaget är när kakor behövs ”för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät”. Det kan till exempel röra sig om funktioner för lastbalansering eller likande teknik.

På Post- och telestyrelsens webbplats pts.se finns mer information som webbplatsinnehavare behöver veta om kakor.


Beskriv hur ni hanterar personuppgifter och förbered er för kommande dataskyddsregleringLänk hit

Informera om PUL (Personuppgiftslagen (1998:204)) när du samlar in personuppgifter, till exempel när en användare ingår ett avtal. Även PUL kräver i många fall att du får användarens samtycke för att du ska få samla in personuppgifterna.

Observera att regleringen kring dataskydd håller på att förändras. Läs mer om dataskyddsreformen hos Datainspektionen och förbered er i god tid för att kunna uppfylla kommande lagkrav.


MätbarhetLänk hit

  • Sätts kakor när någon besöker din webbplats?
  • Har besökaren möjlighet att ge ett informerat samtycke?
  • Finns sidan ”Om webbplatsen”, ”Om kakor (cookies)” eller motsvarande?


TerminologiLänk hit

Digitala fingeravtryck (fingerprinting) är en metod för att med relativt god säkerhet känna igen en besökare på en webbplats. Metoden baseras på att webbläsaren lämnar ett stort antal tekniska detaljer (skärmstorlek, webbläsarversion med mera) varje gång en webbsida eller annan resurs hämtas från en server. I och med att mängden detaljer är stor blir det oftast (men inte riktigt alltid) en unik uppsättning information för varje besökare. Därmed kan servern känna igen en besökare, vilket ger nästan samma möjligheter som kakor.

Kakor kallas ibland webbkakor eller http-kakor (http cookies). Regleringen kring kakor har sin bakgrund i EU-direktivet 2009/136/EG, som är en ändring av ePrivacy directive.

Dataskyddsförordningen bygger på en EU-förordning som kallas GDPR (General Data Protection Regulation).



Kommentarer (0)