Vad säger cookielagen
EU har varit pådrivande vad gäller skyddet för privatlivet inom EU vilket har lett till att ett antal direktiv, uppdateringar och regleringar har införts. Det har också påverkat Sveriges lagstiftning på området.
Cookielagen historiskt
2002 antogs 2002/58/EC (Regulation on Privacy and Electronic Communications) "ePrivacy Regulation" som bland annat berörde informationssekretess vid elektronisk kommunikation, hantering av trafik-data, spam och cookies.
2003 antogs Lag (2003:389) om elektronisk kommunikation (LEK) i Sverige. LEK är Sveriges lag för att implementera 2002/58/EC och berör därför samma ämnen. Det blev vanligt att skriva att användaren accepterade användningen av kakor genom att fortsätta surfa på webbplatsen, så kallat underförstått medgivande (implied consent).
2009 antogs Directive 2009/136/EC som en ändring av 2002/58/EC. Här nämndes specifikt cookies och vikten av tydlig information till användare om dessa samt rätten att neka användandet av sådan informationslagring (i cookies) populärt kallat "cookie directive".
2011 uppdaterades LEK, lagen om elektronisk kommunikation, populärt kallad Cookie-lagen, och tydliggjorde att information(cookies) endast får lagras på användarens enhet efter tydlig information och ett uttryckligt samtycke. Kravet på samtycke gör alltså att ett passivt godkännande av typen "vi använder cookies om du fortsätter att surfa godkänner du detta" inte längre godtas. Det är nu pop-ups med tydligare information om cookies och aktivt godkännande börjar dyka upp.
GDPR antas
2018 i maj antogs GDPR som skärpte webbplatsägarnas ansvar att informera om hur personuppgifter hanterades. Cookies innebär inte per definition personuppgifter men kan innehålla det och omfattas därför av GDPR. Dessutom kopplas Cookies ofta genom någon typ av identifikation till andra datauppgifter som innehåller personuppgifter.
Efter införandet av GDPR började webbplatsägare i än större utsträckning implementera kakhantering, till exempel med hjälp av tjänster som Cookiebot. Då tillkommer oftare en ordentlig listning av cookies och fler valmöjligheter för användaren att styra vilken spårning som sker genom att blockera oönskade cookies. En viktig aspekt som många fortfarande missar är att webbplatsägaren måste ha ett godkännande Innan de börjar sätta cookies. Dessutom skall besökarna ha möjlighet att justera sitt medgivande i efterhand på ett enkelt och lättillgängligt vis. För att fullt uppfylla GDPR räcker det givetvis inte med att hantera bara cookies utan det är en verksamhetsövergripande genomlysning gällande personuppgiftshantering som behövs.
Vad gäller idag?
I juni 2022 ersattes lag 2003:389 med den nya lagen 2022:482. Fortsatt gäller att cookies endast får användas om användaren får tillgång till information om ändamålet med behandlingen av uppgifterna och samtycker till hanteringen. Funktionella cookies behöver inte samtycke om de används för leverans av tjänst på uttrycklig begäran från användaren.
E-Privacy Regulation (EPR) var tänkt att antas i samband med GDPR men har ännu inte antagits. EPR är tänkt att tydliggöra ett antal områden däribland användningen av cookies. Så det är inte omöjligt att Sverige kommer justera LEK återigen med hänsyn till EPR.