KRÖNIKA – av Karin Schurmann och Lina Sandmark, advokater på Kompass Advokat som arbetar bland annat med personuppgifter och dataskydd.
Cookies och likande tekniker är något som behöver hanteras av de flesta företag. Detta oavsett om man bygger upp hela sin affärsmodell på användandet av cookies eller om cookies t.ex. bara används för att hemsidan ska kunna fungera. Vi ser att regelverken som gäller på området inte följs, något som i allt större utsträckning riskerar att innebära både höga böter och minskat kundförtroende. Så vad kan man göra för att minska sina risker och samtidigt bättre skydda de vars information samlas in och hanteras?
Vilka regler gäller?
Cookies gör det möjligt för företag och andra att till exempel identifiera och kartlägga besökare, erbjuda besökare en mer individualiserad surfupplevelse samt rikta personaliserad marknadsföring. I Sverige gäller lagen om elektronisk kommunikation (LEK) för cookies, och tar sikte på själva tekniken. Regleringen är kortfattad och ställer krav på lämnande av viss information och som huvudregel ska giltiga samtycken inhämtas innan cookies placeras. Inte alla cookies innebär personuppgiftsbehandling men många gör det, t.ex. behandlas ofta IP-adress och olika typer av cookie/marknadsföringsID, vilket betyder att även de omfattande kraven i GDPR behöver tillgodoses. Även andra lagar såsom marknadsföringslagen kan aktualiseras.
I vår rådgivning ser vi ofta att varken kraven i LEK eller GDPR följs när det gäller cookies. Det är vanligt att den personuppgiftsbehandling som sker med hjälp av cookies helt har exkluderats i företagens dataskyddsarbete. Det kan finnas olika skäl till detta, t.ex. att de svenska tillsynsmyndigheterna hittills varit passiva när det kommer till cookies, att företag inte fullt ut förstått att cookies ofta medför personuppgiftsbehandling eller att företag avvaktar den nya lagstiftningen på området (dvs. den många gånger omarbetade ePrivacy-förordningen). Oavsett skäl är det är hög tid att ge era cookies lite mer kärlek.
Ökat fokus och omfattande praxis
Både flera europeiska tillsynsmyndigheter och EU-domstolen har de senaste åren varit aktiva när det gäller cookies. Nya och uppdaterade cookievägledningar samt en mängd tillsynsbeslut och domar har kommit (och fler är att vänta). Några exempel är den omtalade Planet 49-domen om förbud mot förikryssade samtycken samt den franska tillsynsmyndigheten CNIL:s beslut i december om att tilldela Google och Amazon en sanktionsavgift om 100 miljoner euro respektive 35 miljoner euro på grund av att företagen placerat marknadsföringscookies utan inhämtande av giltiga samtycken och lämnande av korrekt information.
I Sverige inledde Integritetsskyddsmyndighetens (IMY) i december en granskning avseende överföring av personuppgifter till tredje land i ljuset av Schrems II-domen. Granskningen tar sikte på sex företag som ska ha använt tekniken/verktygen Facebook Connect eller Google Analytics. Genom användningen ska personuppgifter ha förts över till USA. De frågor som IMY ställt till företagen är mycket omfattande och av teknisk natur.
Vad behöver man göra?
Inledningsvis behöver företag kartlägga alla cookies som används och bl.a. bedöma vilka som behövs/används, vem som ansvarar, vilken typ av cookies det handlar om, varför de behövs och vilken information/personuppgifter som behandlas med hjälp av dem. Arbetet kräver resurser och oftast förutsätts att flera medarbetare och avledningar arbetar tillsammans, däribland marknadsföring, juridik, dataskyddsexperter och IT. Samtyckeslösningen, ofta en s.k. cookiebanner, behöver normalt ses över, liksom både cookiepolicy och integritetspolicy. De etablerade rutiner och organisatoriska åtgärder som tillämpas i det löpande dataskyddsarbetet kan vara till god hjälp. Även den mycket aktuella frågan kring tredjelandsöverföringar (efter Schrems II-domen) behöver hanteras i dessa sammanhang då många av tredjepartsleverantörerna av cookies är amerikanska bolag.
Era cookies, er behandling, ert ansvar
Företag som placerar cookies på sin hemsida har ett eget (eller gemensamt) ansvar för dessa och den eventuella personuppgiftsbehandling cookies ger upphov till. Mot bakgrund av det ökade fokus vi ser på användningen av cookies, samt att IMY nyligen aviserat en omläggning av sitt arbetssätt till ett mer klagomålsbaserat, ser vi en ökad risk för tillsyn och sanktionsavgifter, samt en risk för minskat kundförtroende som följd om tillämpliga regler inte följs. Se därför till att få kontroll över er cookieanvändning och säkerställa att ni följer reglerna.
