Vad har cookies och GDPR gemensamt egentligen? En hel del faktiskt. Cookies har funnits ibland oss ute på internet under en lång, lång tid men sedan GDPR:s inträde har cookies, eller i alla fall cookie-texter, blivit allt vanligare ute på cyberspace. Utan GDPR hade vi inte sett lika många cookie-texter. När den nya dataskyddslagen, även känd som GDPR (General Data Protection Regulation) trädde i kraft den 25 maj 2018 så ritades den digitala kartan om för alla internetanvändare. Både de som driver hemsidor och de som besöker hemsidor.
Relationen mellan GDPR och cookies är komplex. I den här artikeln kommer vi därför gå igenom kopplingarna mellan cookies, GDPR och andra lagar och regler som gäller i Sverige och i Europa.
Som vi kommer återkomma till längre ned i texten så har cookies funnits i princip lika länge som internet har funnits. I internets linda hade webbläsare inget minne. Det problemet löstes med cookies som lagrade användarens information åt en. Följden blev att kundkorgar, tidigare sökningar och andra preferenser kunde sparas på ett effektivt sätt. Cookies har med andra ord länge använts för att spara information på nätet. Däremot är det först på senare år som de kommit att regleras lite hårdare än tidigare.
För att förstå vad det finns för koppling mellan Cookies och GDPR gäller det att förstå varför GDPR finns överhuvudtaget. Grunden i GDPR är att personuppgifter ska hanteras på ett mer försiktigt sätt. Den som blir registrerad med sina uppgifter hos en organisation får ett större skydd för sin integritet och mer makt att kunna bestämma över sina uppgifter. Vad som ska sparas och inte samt hur det ska sparas och om det ska raderas.
Vad menas då med personuppgifter? I stora drag är personuppgifter allt som på ett eller annat sätt kan användas för att identifiera en person. Det gäller allt ifrån mer självklara uppgifter såsom personnummer, namn och adress till ljud, bilder, fysiologiska attribut och så vidare. I takt med att vår närvaro på internet blir allt större så lämnar vi fler och fler digitala fotavtryck. Dessa fotavtryck – i form av sidor vi ofta besöker eller mailadresser vi registrerar oss med – anses som personuppgifter eftersom de sammantaget kan identifiera oss som personer.
Mot bakgrund av det ovanstående måste därför organisationerna som sparar dina uppgifter på nätet vara tydliga mot dig med vilka uppgifter de tar in, varför de tar in dem samt om du samtycker till det. Annars finns risken att de straffas med sanktionsavgifter. Insamling av information på nätet har skett så länge internet har funnits. Speciellt genom cookies. Skillnaden är att informationen om dessa cookies numer uttrycks särskilt explicit samt att du uttryckligen måste samtycka till insamlingen.
Titeln till trots handlar det här stycket inte om kak-relaterade lekar. Tvärtom, skulle man kunna säga. I svensk lag regleras cookies genom LEK, även känd som lagen om elektronisk kommunikation. LEK stipulerar att alla webbsidor som använder sig av cookies måste informera användaren om detta samt ge användaren möjlighet att neka användningen av cookies.
I flera länder runtom i EU har det här blivit en aktualitet i samband med inträdet av GDPR. Sverige var däremot på flera sätt ett föregångsexempel i och med LEK. De här reglerna har nämligen varit gällande rätt i Sverige sedan 2003. Hela 15 år innan GDPR kom in i bilden med andra ord.
Fastän Sverige kan anses som ett föredöme så skiljer sig LEK något jämfört med GDPR sett till hur hanteringen av samtycket fungerar. LEK stadgade nämligen förut att användaren skulle ges möjlighet att vägra cookies, även kallat opt-out, men att användningen av webbkakor skulle vara standard om inget annat svar gavs från användaren.
GDPR har däremot stadgat det motsatta. Internetanvändaren ska genom GDPR samtycka till användningen av cookies. Det motsatta ska vara standarden, alltså att cookies inte ska användas, vilket kallas opt-in. Detta har numer också blivit standard i Sverige.