Hoppa till innehållet

Samtycke ska kunna bevisas enligt GDPR

När en webbplats sätter nödvändiga cookies behöver besökaren informeras om det. För cookies för ökad funktionalitet, statistik och marknadsföring ska webbplatsen invänta besökarens samtycke innan cookies sätts eller script som hör till kategorin läses in.

När samtycke används som grund för personuppgiftsbehandling gäller även GDPR:s krav på samtycke. Det innebär bland annat att webbplatsägaren behöver kunna visa att samtycke har lämnats.

Det är därför viktigt att skilja på två saker:

  • att webbplatsen kommer ihåg besökarens val
  • att webbplatsägaren kan visa samtycket i efterhand

En cookie-banner kan spara besökarens val i webbläsaren. Det är användbart för att webbplatsen ska veta vilka script som får laddas vid nästa besök. Men ett lokalt sparat val är inte samma sak som dokumentation av samtycket.

Vad säger GDPR?

Enligt GDPR artikel 7.1 ska den personuppgiftsansvarige kunna visa att den registrerade har lämnat samtycke när behandlingen bygger på samtycke. Det brukar kallas bevisbörda för samtycke.

I praktiken innebär det att webbplatsägaren behöver ha kontroll över hur samtycke inhämtas, dokumenteras och kan följas upp.

Det räcker alltså inte alltid att besökaren har klickat på en knapp i en cookie-banner. Webbplatsägaren behöver också kunna visa vad valet avsåg.

Vad behöver kunna visas?

Det finns inget krav på att alla samtyckeslösningar måste dokumentera information på exakt samma sätt. Men om samtycke ska kunna följas upp behöver det normalt gå att förstå:

  • när samtycket lämnades
  • vilka kategorier samtycket omfattade
  • vilken webbplats eller domän samtycket gällde
  • vilken information besökaren fick vid tillfället
  • om samtycket senare ändrades eller togs tillbaka

Syftet är inte att samla in mer information än nödvändigt. Syftet är att kunna visa att ett samtycke faktiskt har lämnats och vad det omfattade.

Lokalt sparat val är inte bevisbart samtycke

Många cookie-banners sparar besökarens val lokalt i webbläsaren, till exempel i en cookie eller annan lagring i webbläsaren.

Det kan vara nödvändigt för att webbplatsen ska fungera korrekt. Webbplatsen behöver veta om besökaren har lämnat samtycke till cookies för ökad funktionalitet, statistik eller marknadsföring.

Men om valet bara sparas lokalt hos besökaren kan webbplatsägaren inte själv ta fram samtycket i efterhand. Det lokala valet kan styra webbplatsens beteende, men det ger inte webbplatsägaren en egen dokumentation av vilket samtycke som lämnades, när det lämnades och vilken information som gällde vid tillfället.

Samtycke behöver kopplas till rätt information

När besökaren lämnar samtycke behöver det vara tydligt vad samtycket omfattar. Informationen ska vara begriplig nog för att besökaren ska kunna göra ett medvetet val.

Om informationen i cookie-dialogen, kategorierna eller cookielistan ändras kan det påverka vad besökaren tidigare har tagit ställning till. Därför behöver webbplatsägaren kunna se vilken information som gällde när samtycket lämnades.

Det kan till exempel handla om vilka kategorier som fanns, vilka ändamål som beskrevs och vilken cookieinformation som visades vid tillfället.

Ändring och återkallelse behöver också hanteras

Besökaren ska kunna ändra eller ta tillbaka sitt samtycke.

När det sker behöver webbplatsen respektera det nya valet. Script som kräver samtycke ska inte fortsätta läsas in om samtycket har tagits tillbaka.

Det behöver också gå att förstå att samtycket har ändrats. Annars kan det bli svårt att visa vilken status som gällde vid en viss tidpunkt.

Bevisbarhet påverkar hela implementationen

Bevisbart samtycke är inte bara en juridisk fråga. Det påverkar hur cookie-bannern och cookielösningen bör byggas.

Om samtycke ska kunna visas i efterhand behöver lösningen hänga ihop med:

  • kategorierna i cookie-dialogen
  • informationen i cookielistan
  • de script som villkoras mot samtycke
  • möjligheten att ändra eller ta tillbaka samtycke
  • dokumentationen av besökarens val

En cookie-banner som bara visar en ruta och sparar ett val lokalt löser därför inte hela behovet.

Sammanfattning

När samtycke används behöver webbplatsägaren kunna visa att samtycke har lämnats.

Det innebär att en samtyckeslösning bör hjälpa er att:

  • dokumentera vilket samtycke som lämnades
  • visa när samtycket lämnades
  • förstå vilka kategorier samtycket omfattade
  • koppla samtycket till informationen som gällde vid tillfället
  • hantera ändrade eller återkallade samtycken

Att komma ihåg besökarens val i webbläsaren är viktigt. Men det är inte alltid samma sak som att kunna visa samtycket i efterhand.