Tillsynsbeslut om bristande efterlevnad av lagen om kakor
Såhär bör verksamheter tänka kring användning av kakor med hänsyn till PTS nya bedömningar
Den 26 juni 2023 avslutade Post- och telestyrelsen (PTS) sin granskning av fyra webbplatser, tillhörande både företag och myndigheter, där PTS misstänker att hemsidorna inte följer reglerna om kakor. Webbplatsinnehavarna har fram till den 8 september 2023 på sig att komma med invändningar mot PTS bedömning. Om bristerna inte åtgärdas innan oktober kan det leda till vite.
PTS:s granskning är välkommen eftersom många verksamheter upplever att det är svårt och komplicerat att efterleva lagen om kakor. Den nya ePrivacy-förordningen, som skulle ha kommit samtidigt som EU:s allmänna dataskyddsförordning (GDPR), har dragits ut på tiden och har ännu inte trätt i kraft, vilket har skapat osäkerhet kring rättsutvecklingen på området. Under de senaste åren har dock flera europeiska tillsynsmyndigheter, och nu även den svenska tillsynsmyndigheten PTS, uppmärksammat den reglering som finns om kakor. I det följande reder vi ut vilka krav som ställs på webbplatsinnehavare enligt lagen om kakor och vad dessa krav innebär i praktiken, med utgångspunkt i PTS nya granskning.
Sammanfattning
Enligt PTS:s granskning har ingen av de undersökta hemsidorna fått godkänt för sin användning av kakor. Det som framförallt påverkar giltigheten av samtycket är huruvida webbplatsen underlättar för besökaren att ge ett frivilligt och informerat samtycke. Faktorer som antal klick som krävs för att neka eller godkänna endast nödvändiga kakor, placeringen, den visuella formen på kakbannern och informationen som finns tillgänglig i första lagret av en kakbanner spelar en betydande roll för att avgöra om ett giltigt samtycke kan ges. Det är inte acceptabelt att försöka vägleda användaren till att ge sitt samtycke och att avstå från möjligheten att återkalla det.
GDPR är tydlig med att ansvaret för att säkerställa ett korrekt och lagligt samtyckesförfarande ligger hos ägaren av webbplatsen eller appen, inte hos besökaren av hemsidan. Verksamheter får inte samla in information om användaren och sprida den utan att han eller hon är medveten om och har godkänt det. Genom att tydligt informera besökarna om ändamålen med kakorna och deras rätt att när som helst återkalla sitt samtycke, kan webbplatsinnehavare bygga förtroende och följa lagstiftningen kring dataskydd på ett ansvarsfullt sätt. PTS:s beslut tydliggör nu hur man skapar en transparent och användarvänlig process för att inhämta och hantera samtycken för kakor – och även att man riskerar vite om man brister i sin efterlevnad av reglerna.
Om kakor
Kakor, också kallade cookies eller webbkakor, är små datafiler som används för att lagra eller få åtkomst till information på en användares enhet, såsom en dator eller mobil. Kakor kan på olika sätt minnas en användares aktivitet på exempelvis en webbplats. Det kan till exempel handla om språkinställningar, inloggningsuppgifter eller för att skräddarsy marknadsföring. Kakor kan också användas för att samla in statistik om hur en webbplats används. De kan bland annat ge information om vilka sidor som är mest populära, vilka rubriker användarna klickar på och hur lång tid de spenderar på varje sida.
Vad säger lagstiftningen?
I lagen om elektronisk kommunikation (LEK), som har införlivat EU:s ePrivacy-direktiv (även känt som cookie-direktivet), finns det specifika regler för användningen av kakor. Enligt LEK är det tillåtet att lagra eller hämta uppgifter från en användares enhet, till exempel genom användning av kakor, om användaren ger sitt samtycke och får tillgång till information om ändamålet med behandlingen av uppgifterna. Cookie-direktivet kräver också att användaren ska få tydlig och fullständig information om bland annat ändamålen med behandlingen. Denna information måste vara sådan att användaren enkelt kan förstå konsekvenserna av att ge sitt samtycke och kunna fatta ett informerat beslut. Dessutom ska det sätt som informationen presenteras på vara användarvänligt och lättförståeligt.
Samtycke
Begreppet ”samtycke” har samma innebörd i LEK som i GDPR. Enligt GDPR definieras samtycke som varje frivillig, specifik, informerad och otvetydig viljeyttring från den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, där den registrerade godkänner behandling av sina personuppgifter. Enligt Europeiska dataskyddsstyrelsen (EDPB) innebär ett frivilligt samtycke att den registrerade har en verklig möjlighet och full kontroll att fritt välja att ge sitt samtycke. I GDPR fastställs också att ett villkor för samtycke är att de registrerade har rätt att när som helst återkalla sitt samtycke. Innan samtycke ges ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla samtycket som det var att ge det från första början.
Undantag från kravet på samtycke
Enligt LEK finns det dock två undantag från kravet på samtycke när det gäller användning av kakor. Det första undantaget gäller när behandlingen av kakor är nödvändig för att tillhandahålla den funktion som användaren uttryckligen begär. Det kan inkludera funktioner som inloggning och autentisering, språkinställningar eller säkerhetsåtgärder på webbplatsen. Det andra undantaget är tillämpligt när kakor behövs för att överföra elektroniska meddelanden via ett elektroniskt kommunikationsnät. Det innebär att vissa kakor kan vara nödvändiga för att webbplatsen ska fungera korrekt.
Vad innebär detta i praktiken?
Otvetydig viljeyttring
Eftersom samtycke ska vara frivilligt kan en besökare på en webbplats inte tvingas att acceptera kakor för att kunna använda webbplatsen. Att en besökare scrollar, klickar runt eller på annat sätt använder webbplatsen räcker inte som ett tecken på samtycke - samtycket måste vara uttryckligt. Besökaren måste också ha möjlighet att neka till kakor och ändå kunna använda webbplatsen utan att blockeras från innehåll. Dessutom ska det vara enkelt för besökaren att återkalla sitt samtycke och radera redan placerade kakor, och denna information bör kommuniceras via kakbannern.
Frivilligt
I sin granskning fann PTS att en hemsida hade delat in de kakor som används på webbplatsen i tre kategorier: "Nödvändiga", "Funktioner, prestanda och statistik" och "Relevant marknadsföring". För att undvika lagring av icke-nödvändiga kakor måste en användare först klicka på "Välj själv" i kakbannern. Därefter kan användaren i det andra lagret av kakbannern välja vilka kategorier av kakor denne samtycker till eller inte. Det krävs flera knapptryck för att neka lagringen av icke-nödvändiga kakor, jämfört med ett knapptryck för att ge sitt samtycke. PTS anser att det mer besvärliga och tidskrävande förfarandet för att neka icke-nödvändiga kakor kan avhålla användare från att välja detta alternativ. Samtidigt uppmuntrar utformningen av kakbannern användare att välja alternativet "Godkänn alla cookies" eftersom det är det enklaste och snabbaste sättet att komma vidare till webbplatsens innehåll. PTS misstänker därmed att hemsidan inte inhämtar frivilliga samtycken för icke-nödvändiga kakor. För att följa LEK måste webbplatsinnehavaren göra det lika enkelt och tydligt för användare att neka lagring av icke-nödvändiga kakor som det är att ge sitt samtycke, och detta bör göras i samma vy och vid samma tillfälle som användare ges möjlighet att samtycka till behandlingen.
Designen av kakbannern är också viktig för att bedöma om samtycke ges frivilligt. Användningen av olika färger och kontraster i kakbannern kan påverka hur alternativen för att ge eller neka samtycke framställs för användarna. Om vissa alternativ framhävs mer än andra kan det leda till ett ofrivilligt och därmed ogiltigt samtycke. PTS anser dock inte att det exempelvis är otillåtet att använda olika färger för olika alternativ eller att vissa specifika färger inte får användas. Bedömningen av huruvida den visuella utformningen påverkar frivilligheten i användarens samtycke behöver göras från fall till fall. PTS misstänker också att det finns en risk att användare oavsiktligt lämnar samtycke på grund av brist på andra lika tydligt synliga alternativ. Detta gäller särskilt användare som snabbt vill komma vidare till webbplatsens innehåll. För att säkerställa att frivilliga samtycken inhämtas behöver webbplatsinnehavaren använda färger och kontraster på ett sätt som inte framhäver alternativ för att lämna samtycke framför alternativ för att neka samtycke.
Informerat
Ett samtycke måste också vara en informerad viljeyttring. Om en användare inte får tydlig och fullständig information om ändamålet med kakorna innan de placeras på användarens enhet, anses det inhämtade samtycket inte vara tillräckligt informerat och därmed ogiltigt. Informationen som användaren ska få bör inkludera giltighetstiden för kakorna samt möjligheten för tredje part att få tillgång till kakorna eller inte.
I sin granskning konstaterade PTS att för att uppfylla kravet på användarvänlighet kan informationen om kakornas ändamål presenteras på en mer översiktlig nivå i det första lagret av kakbannern. En mer detaljerad beskrivning av ändamålen för olika kategorier av kakor kan sedan erbjudas i ett andra lager av kakbannern och på en informationssida om kakor. PTS anser dock att beskrivningen av ändamålen i det första lagret av kakbannern inte bör vara så ospecifik att en användare saknar möjlighet att förstå vad samtycket avser och förutse konsekvenserna av sitt samtycke. Det är av särskild vikt att informationen om ändamålen är tillräckligt tydlig och beskrivande i det första lagret av kakbannern eftersom det är för just dessa ändamål som samtycket inhämtas. Även om exempelvis marknadsförings- och statistikkakor kan anses ha ändamål som syftar till att ”förbättra tjänster och skräddarsy användarens upplevelse av webbplatsen”, bedömer PTS att enbart denna formulering inte ger användare tillräcklig information för att förstå att ett lämnat samtycke även kan resultera i riktad marknadsföring och insamling av statistik om deras beteende på webbplatsen.
Specifikt
Kravet på att samtycket ska vara specifikt innebär att ett allmänt samtycke till behandling av uppgifter inte är tillräckligt. Samtycket måste gälla behandling för ett eller flera tydligt specificerade ändamål. I det första lagret av kakbannern på en av de granskade webbplatserna stod följande: ”Vi använder cookies för att göra din upplevelse här på webbplatsen smidig och säker. En del cookies används för att tjänster ska fungera eller kunna förbättras, andra för att skräddarsy din upplevelse.” I det andra lagret av kakbannern, som en användare når genom att klicka på alternativet ”Välj själv” som presenteras i det första lagret av kakbannern, ges närmare information om ändamålen för respektive kategori av kakor. Den aktuella informationen i det första lagret av kakbannern på den granskade hemsidan ger inte tydliga anvisningar om att samtycke inhämtas för de två separata ändamål som respektive kategori av icke-nödvändiga kakor används för. PTS anser att kompletterande information i det första lagret av kakbannern, genom att ange kategorierna av icke-nödvändiga kakor, det vill säga "Funktioner, prestanda och statistik" och "Relevant marknadsföring", skulle ge användaren en klarare bild av vilka ändamål som de ger samtycke till eller inte.
Återkalla sitt samtycke
Enligt GDPR är det viktigt att ett samtycke kan återkallas när som helst, och information om denna rättighet måste lämnas innan samtycket samlas in. Enligt EDPB utgör information om möjligheten att återkalla ett samtycke ett nödvändigt beslutsunderlag för att erhålla ett informerat samtycke.
Vid granskningen av flera av hemsidorna noterade PTS att det inte stod något i kakbannern om användarnas rätt att när som helst återkalla samtycket. Istället lämnas information om denna möjlighet på webbplatsinnehavarens sida om kakor, som nås via en länk i det första eller andra lagret av kakbannern. PTS anser att det under sådana omständigheter inte är tillräckligt att endast lämna information om återkallanderätten på informationssidan om kakor. PTS misstänker att flera användare av webbplatsen ger sitt samtycke i det första eller andra lagret av kakbannern utan att först ha läst informationssidan om kakor. Eftersom detta rör information som är av betydelse för användarnas möjlighet att utöva en lagstadgad rättighet, nämligen att återkalla ett samtycke, anser PTS att det är särskilt viktigt att denna information ges innan användare fattar beslut om att ge eller inte ge sitt samtycke till icke-nödvändiga kakor.
PTS anser också att aktuell information kan presenteras på ett kortfattat sätt i det första lagret av kakbannern utan att påverka användarvänligheten negativt. För att säkerställa att samtycken inhämtas på ett informerat sätt behöver webbplatsinnehavaren informera om möjligheten att återkalla samtycket i samma vy där samtycket ges, och detta bör ske i samband med att användaren ges möjlighet att ge eller neka samtycke.
PTS granskning visar att det är svårare att tacka nej än ja till kakor
Metoden för att återkalla samtycke till kakor måste vara likvärdig med den metod genom vilken samtycket ursprungligen inhämtades. Enligt PTS kan flera faktorer påverka bedömningen av om det är lika enkelt att återkalla samtycke som att ge det, inklusive antalet knapptryck, den tidsmässiga åtgången och placeringen på webbplatsen. Vid en jämförelse med hur samtycken inhämtas på webbplatserna fann PTS att det krävs färre knapptryck för att lämna samtycke än att återkalla det. För att återkalla samtycket måste en användare vidta en extra åtgärd, vilket innebär att läsa eller scrolla förbi flera informationsavsnitt, innan denne kan återkalla sitt samtycke. Eftersom användaren först måste hitta länken till informationssidan om kakor i sidfoten av webbplatsen och sedan navigera till avsnittet "Ändra dina cookiesinställningar" på denna sida, anser PTS att förfarandet för att återkalla samtycke är mer svårtillgängligt än metoden för att ge samtycke.
Mot bakgrund av att knappen "Ta tillbaka samtycke" inte är direkt åtkomlig för användaren på alla sidor av webbplatsen, och att alternativet för att återkalla samtycke inte heller är synligt när användaren når informationssidan om kakor, anser PTS att det inte är lika enkelt för en användare att återkalla som att ge samtycke. För att uppfylla kravet behöver webbplatsinnehavaren se till att det är lika enkelt att återkalla samtycke till icke-nödvändiga kakor som att ge samtycke på webbplatsen.