Sortera dina kakor rätt

2019-12-16

När och hur får man lämna webbkakor hos en användare? Den frågan kommer titt som tätt till PTS. Kakor regleras i en särskild bestämmelse i lagen om elektronisk kommunikation och även delvis av dataskyddsförordningen, men det är ett område där mycket händer i omvärlden. PTS vill därför passa på att ge lite uppdaterad information om läget.

Domstol förtydligade regler om samtycke

I oktober 2019 kom det ett klargörande domstolsavgörande från EU-domstolen om inhämtande av samtycke för att få hämta eller lagra information från/i webbplatsanvändarens utrustning (den s.k. kaklagen). Domstolen menade att all information som finns lagrad i en användares terminalutrustning är en del av privatlivet och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Skyddet gäller all sådan information, oavsett om informationen är personuppgift eller inte.

Domstolsavgörandet gällde bland annat huruvida en förikryssad ruta, som användaren måste avmarkera för att vägra samtycke, kunde anses som ett giltigt samtycke i den mening som avses i kaklagen jämförd med dataskyddsförordningen. Svaret var nej. Förikryssad ruta uppfyllde inte förutsättningarna. Skälet till den slutsatsen var bland annat att det genom det tillvägagångssättet var omöjligt att avgöra om webbplats­användaren lämnat ett välinformerat samtycke, vilket är ett krav.

PTS tar bort sin vägledning om samtycke

PTS gav år 2015 ut en vägledning för inhämtande av samtycke vid tillämpningen av integritets­bestämmelserna i lagen om elektronisk kommunikation. Vid den tidpunkt som vägledningen togs fram var det personuppgiftslagens innebörd som skulle tillämpas. Numera gäller dock dataskyddsförordningen, och begreppet samtycke ska därför numera ha samma innebörd som det har i den.

Det oberoende rådgivande EU-organ som har till uppgift att bidra till en enhetlig tillämpning av regelverket inom EU har tagit fram en vägledning som tydliggör tolkningen av begreppet samtycke enligt dataskyddsförordningen. Vägledningen finns tillgänglig här.

PTS ser inte längre ett behov av att självt ge ut någon vägledning i frågan, och  myndighetens tidigare vägledning är inte uppdaterad utifrån de nya reglerna. PTS avpublicerar därför sin tidigare vägledning från myndighetens webbplats.

DIGG har tagit bort råden om kakor ur webbriktlinjerna

PTS har tidigare gett ut riktlinjer (Kaklagen i praktiken) om tillämpningen av den s.k. kaklagen. Riktlinjerna var en del av Vägledning för webbutvecklare som Myndigheten för digital förvaltning (DIGG) under 2019 tog över ansvaret för. DIGG har nu i samråd med PTS beslutat att lyfta bort kakriktlinjerna från webb­riktlinjerna.

PTS överväger just nu hur myndigheten bäst ska kunna ge vägledning om kakor i framtiden, och om PTS ska ta fram nya och uppdaterade riktlinjer.

Ta hjälp av rådgivare i juridiska frågor!

PTS får många frågor om kaklagen, och det märks att många tycker den är svår. Som myndighet kan dock inte PTS lämna rådgivning i enskilda fall. Du bör därför överväga att vända dig till en rådgivare i juridiska frågor, antingen till internt stöd inom din organisation eller advokatbyråer/juristfirmor eller andra som erbjuder en sådan tjänst.  

Tre grunder för att lämna kakor

Det kan avslutningsvis vara värt att påminna om är att grunden för kaklagen är elektronisk kommunikations motsvarighet till posthemlighet. Dvs. det är inte tillåtet att ta del av annans kommunikation – den är en sak mellan de parter som kommunicerar. Det finns dock tre grunder för att få hämta eller lagra information från/på en användares terminalutrustning:

  1. Det är nödvändigt för att kunna leverera en tjänst som uttryckligen efterfrågas av användaren.
  2. Användaren får tillgång till information om ändamålet med behandlingen och samtycker till behandlingen.
  3. Det behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät.

Även om det verkar komplext och invecklat så är det ändå tre förhållandevis tydliga grunder för när kakor får lämnas. Kan en kaka inte sorteras in under någon av grunderna så är den inte tillåten.

Sist men inte minst bör nämnas att det för närvarande pågår förhandlingar i EU om en ny förordning för att ersätta det nuvarande direktivet om integritet och elektronisk kommunikation. Vi vet dock inte när dessa förhandlingar kommer att vara klara.



Kommentarer [1]
Paul
2020-06-15

Hi Ann-Sofie In light of the ECJ "Planet49" judgement and the recent cases in Germany reinforcing that judgment - can you please clarify the issue of consent for non-essential cookies in Sweden? Most websites in Sweden do not give a consent option - and "presume" consent by browsing or simply referring to a lengthy policy with instructions on "how to remove cookies". This means that cookies are already placed and data collected in the same way that pre-ticked boxes activate cookies without any action by the data subject. This appears to be a clear breach of Art 7 and the Kaklagen and also contradicts the ECJ decision. An example of a compliant cookies notice, policy and consent mechanism is found on the ICO (UK data protection authority) website, and a growing number of GDPR solutions (e.g. One Trust) are adjusting their banners and policies. Is the PTS going to issue clear guidance on this point? Datainspektionen simply refer to the PTS website. Grateful for any clarification you can provide. Kind regards, Paul Graham