Juridisk vägledning för cookies

Här har vi samlat juridisk information om cookies och samtycken till dessa som är viktig att ta del av när du använder CookieTractor


Du som använder CookieTractor är personuppgiftsansvarig för de cookies du placerar på din webbplats. Med cookies avses alla cookies, trackers, pixlar och liknande teknik. CookieTractor behandlar inga personuppgifter i syfte att hantera era samtycken.

Det finns krav på dig som personuppgiftsansvarig enligt GDPR att:

  1. Inhämta samtycken då de behövs
  2. Hantera inhämtade samtycken
  3. Se till att det finns en rättslig grund enligt GDPR för den behandling som görs utan stöd av samtycken
  4. Informera om den behandling som görs av besökarnas personuppgifter enligt på förhand bestämda regler

1. Inhämta samtycken

CookieTractor hjälper dig att inhämta de samtycken som behövs direkt i verktyget.

När behövs samtycken?

Nödvändiga cookies

Enligt E-privacydirektiv 2002/58/EG (implementerat i Sverige genom 6 kap. 18 § Lagen om elektronisk kommunikation) krävs inte samtycken för cookies som är nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen begärt. Det kan handla om att:

  • Möjliggöra för en app, ett spel eller annan tjänst att fungera
  • Lagra en varukorg fram till genomfört köp vid e-handel
  • Komma ihåg att besökaren samtyckt (till vissa cookies)
  • Spara andra uppgifter som besökaren själv valt att spara

Besöksstatistik och marknadsföring

Samtycke krävs enligt E-privacyreglerna för aktiviteter såsom:

  • Spårning
  • Analys
  • Annan övervakning av användarbeteende
  • Marknadsföring

Samtycke som rättslig grund för personuppgiftsbehandling enligt Dataskyddsförordning 2016/679/EU (GDPR) krävs nästan alltid för:

  • Sparade varukorgar
  • Påminnelser
  • Marknadsföring till anpassade målgrupper och lookalike-målgrupper
  • Leadsformulär, leadannonser
  • Remarketing, retargeting
  • Annan insamling av personuppgifter i marknadsföringssyfte

Denna typ av aktivitet/cookie ska alltid definieras som besöksstatistik eller marknadsföring i verktyget. Hamnar den inte där automatiskt behöver du gå in och ändra kategori på cookien, vilket kommer att flytta den till en annan kategori. Du måste också anpassa dina integrationer av script så att dessa respekterar de val som görs i samtyckesrutan. Läs om hur du gör det i installationsanvisningarna.

2. Hantera samtycken

För de cookies som kräver samtycke knyts vissa rättigheter. Det innebär att besökaren ska kunna:

  • Välja att inte samtycka
  • Dra tillbaka sitt samtycke
  • Blockera cookies
  • Granska vilka cookies som placerats
  • Radera de cookies som placerats

CookieTractor hjälper till med hanteringen av dina samtycken på följande vis:

Välja att inte samtycka

Besökaren kan direkt i samtyckesrutan välja att aktivt samtycka till besöksstatistik- och marknadsförings-cookies, eller enbart en av dessa kategorier, alternativt att avstå.

Dra tillbaka sitt samtycke

Du placerar en länk för att ändra cookie-inställningarna på din webbplats som möjliggör för besökaren att dra tillbaka sitt samtycke genom förnyade inställningar direkt samtyckesrutan. Läs om hur du gör det i installationsanvisningarna.

Blockera cookies

Genom att inte aktivt välja Besöksstatistik och/eller Marknadsföring kommer dessa cookies att blockeras för besökaren.

Granska vilka cookies som placeras

Genom att följa länken Läs mer om våra cookies som finns i samtyckesrutan kan besökaren granska vilka cookies som placeras.

Observera att den information som lämnas om respektive cookie utgår från CookieTractors standardtexter över kända cookies. Du själv behöver verifiera denna information för respektive cookie. Du kan också behöva komplettera med information om sådan saknas.

Radera de cookies som placerats

Genom att följa webbplatsens länk till samtyckesrutan kan besökaren förnya sina val. Genom att inte aktivt välja Besöksstatistik och/eller Marknadsföring kommer alla cookies utom tredjeparts-cookies
att raderas. Det är inte tekniskt möjligt för CookieTractor att radera tredjeparts-cookies, besökaren måste själv radera dessa i sin webbläsare. Informera om detta i er personuppgiftspolicy eller motsvarande. 

3. Rättslig grund enligt GDPR

Cookies är en teknik som kan medföra personuppgiftsbehandling såsom att lagra en IP-adress eller information om användarbeteende som kan knytas till en enskild individ. För all personuppgiftsbehandling behövs ett uttryckligt lagstöd enligt artikel 6 GDPR, en så kallad rättslig grund.

Samtycke som rättslig grund

Samtycken som följer de krav som framgår av artikel 7 GDPR utgör en rättslig grund för behandling av personuppgifter. Detta innebär att samtycket:

  • Ska kunna bevisas
  • Ska vara frivilligt
  • Ska vara specifikt, klart och tydligt och avskilt från andra samtycken eller godkännanden
  • Ska vara informerat
  • Ska kunna återkallas

Samtycke ska kunna bevisas

Du bevisar att samtycke lämnats genom att lagra vilka samtycken som inhämtats i CookieTractor. Varje samtycke får en specifik nyckel som besökaren kan se när de öppnar samtyckesrutan igen. Om besökaren har frågor om vilka samtycken som lämnats kan denna ange denna nyckel till er, varefter ni kan verifiera samtycket genom att söka fram det i verktyget.

Samtycke ska vara frivilligt

Webbplatsen måste fungera utan att samtycke lämnas för besöksstatistik- och marknadsförings-cookies. Dessa cookies får aldrig placeras innan samtycket har inhämtats. CookieTractor hjälper er med det, men kom ihåg att du måste anpassa dina integrationer av script så att dessa respekterar de val som görs i samtyckesrutan. Läs om hur du gör det i installationsanvisningarna.

Specifikt, klart och tydligt och avskilt från andra samtycken eller godkännanden

Med CookieTractor avskiljs samtycken för cookies från andra godkännanden som kan göras på din webbplats. Vidare väljer besökaren vilka cookies som samtycke lämnas till på kategorinivå för att det ska vara enkelt att förstå vad man samtycker till. Vi strävar efter att använda ett så enkelt språk som möjligt i CookieTractors standardtexter, om du anser att något är otydligt bör du korrigera det. Samma krav gäller de formuleringar du själv lägger till avseende de cookies som saknar standardtext.

Samtycke ska vara informerat

Se mer under avsnitt 4 Information om personuppgiftsbehandling nedan.

Samtycke ska kunna återkallas

Ett samtycke ska när som helst kunna återkallas på ett lika enkelt vis som det var att lämna samtycket. Det kan göras genom att besökaren följer webbplatsens länk till samtyckesrutan och förnyar sina val. Genom att inte aktivt välja Besöksstatistik och/eller Marknadsföring kommer dessa cookies att raderas. Tredjeparts-cookies raderas i webbläsarens inställningar.

Intresseavvägning som rättslig grund

Om ni inte inhämtar samtycke för cookies som innebär personuppgiftsbehandling behöver ni en annan rättslig grund enligt artikel 6 GDPR. Ett exempel på en sådan är berättigat intresse, även kallad intresseavvägning. En intresseavvägning ska dokumenteras och kan exempelvis tillämpas för att tillhandahålla vissa tjänster, såsom funktionalitet på en webbplats.

4. Information om cookies och om personuppgiftsbehandling

Information om cookies

Enligt 6 kap 18 § Lagen om elektronisk information ska en besökare som få information om vilka cookies som placeras och vilka ändamålen är med den behandling som respektive cookie medför. Denna information lämnas direkt i CookieTractor. Saknas den i våra standardtexter så behöver du fylla i vilka ändamål du har med en cookie.

Information om personuppgiftsbehandling enligt artiklarna 12-14 GDPR

Enligt GDPR finns på förhand bestämda regler om vad du som personuppgiftsansvarig måste informera om när ni behandlar personuppgifter. Det gör ni enklast i en personuppgiftspolicy eller liknande som finns tillgänglig på er webbplats.

Observera att GDPR:s informationskrav gäller utöver kraven i lagen om elektronisk kommunikation i fråga om de cookies som medför personuppgiftsbehandling (t.ex. IP-adresser eller information om användarbeteenden som kan knytas till en enskild individ). Ett exempel på vad informationen ska innehålla enligt artiklarna 13 GDPR och 14 GDPR är, förutom ändamålen med behandlingen, vilken rättslig grund ni har för personuppgiftsbehandlingen, vilka förutom ni själva som kan ta del av uppgifterna och vilka rättigheter som finns för den enskilda enligt dataskyddsbestämmelserna.

Vissa av dessa punkter tillgodoses redan i CookieTractor, såsom ändamål och lagringstider, men de informationskrav som framgår av nämnda artiklar i GDPR är mycket mer långtgående än vad som får plats i en samtyckes-ruta, vars huvudsyfte är att inhämta och hantera samtycken på ett lagenligt vis. Vårt bästa tips är därför att ni ger informationen i olika lager och länkar mellan informationen i CookieTractor och den som finns i er personuppgiftspolicy.

Tips

För att kunna informera måste ni veta vilka cookies ni använder på webbplatsen, varför det är viktigt med en initial inventering och en rutin för att uppmärksamma när ni börjar använda ny spårning. CookieTractor kommer automatisk genomföra en sökning av cookies varje månad och lägga till/ta bort förändringar av era cookies. Ni får ett mejl efter varje sökning som informerar om vilka förändringar som skett. Det är också bra att se över om ni faktiskt använder era cookies eller om vissa kan avvecklas för att de bara finns med i bakgrunden.

Tredjepartstjänster

När ni använder tredjepartstjänster, såsom olika plug-ins, gilla-knappar och liknande är det stor risk att ni är gemensamt personuppgiftsansvariga med den tredje part vars tjänst ni använder. Kraven på gemensamt personuppgiftsansvariga finns i artikel 26 GDPR och innebär att ni behöver ta fram ett gemensamt arrangemang med den tredje parten för att fastställa era respektive ansvarsområden enligt dataskyddsbestämmelserna.

Ni behöver också se över era avtal med den tredje parten för att avgöra om de följer gällande lagar och bestämmelser, exempelvis vad gäller tredjelandsöverföringar. Ni behöver också hålla koll på hur avtalen uppdateras och bevaka de förändringar som görs, som kan ha inverkan på ert personuppgiftsansvar och exempelvis den information som ni har en skyldighet att tillhandahålla.

Tredjelandsöverföringar

Med Schrems II-domen (C-311/18) blev rättsläget för tredjelandsöverföringar till USA oklart. Med tredjelandsöverföring avses att ni (den cookie ni ansvarar för att placera) för ut personuppgifter (såsom IP-adresser eller information om användarbeteenden) till en part (ett företag eller organisation) som har sitt säte i ett land utanför EU/EES. Det spelar ingen roll om parten har sina serverhallar inom EU/EES om någon i företaget eller organisationen har någon typ av åtkomst till personuppgifterna.

Om ni vill använda tjänster som medför tredjelandsöverföringar av personuppgifter måste se till att ni har särskilt lagstöd för det enligt kapitel 5 i GDPR.