Fråga: Cookies från tredje part
Vi har analyserat en hemsida för en kunds räkning för att ta reda på vilka cookies som sätts, en analys som gjorts via ett automatiskt gränssnitt. Detta verktyg upptäckte några av våra egna cookies och identifierade dessa som Non adequate, pga att våra servrar delvis finns utanför Europa. Dessa cookies sparar dock ingen persondata utan endast ett värde för sant/falskt. Däremot sparas en cookie för typsnittet vi använder på sidan och här har vi svårare att veta vad det är för data som sparas. Denna data skickas till företaget som vi har köpt typsnittet av och används för att räkna antalet sidvisningar per år, i enighet med deras affärsplan. Typsnittet är i deras fall en viktig del av deras grafiska profil och används, förutom på webbsidan, även i tryckta medier mm så att byta ut är inget alternativ. Inte heller känns det som det finns möjlighet att vänta tills besökaren accepterat 3e part-cookies innan man visar rätt typsnitt, då det finns risk att flertalet besökare får se sidan utan rätt typsnitt. Kunden vill såklart ha rekommendationer från mig, men jag känner mig osäker. Hänger allt på vad det är för data som sparas i cookien för typsnittet? Är det okej att bara deklarera den som nödvändig cookie som inte kräver acceptans? Eller spelar det ingen roll så fort det skickas utomlands. Jag förstår att det skiljer vad gäller personlig information eller inte men att det ju blir personligt så fort t ex delar av ett IP-nummer eller operativsystem sparas. Det är kort sagt lite snårigt för oss att kunna rekommendera något.
Legalbuddy svarar
Axel Tandberg
Axel Tandberg
Jurist på LW Advisory

Hej, stort tack för att du vänder dig till oss med din fråga. Nedan ges en redogörelse för vad ni bör tänka på vid användning av tredjeparts-cookies.

 

Allmänt om cookies 

Alla personer som besöker en webbplats som använder cookies ska informeras om vilka cookies som används, vilken data de samlar in och varför insamling sker. Vidare då finns det det lagliga krav i Lagen om Elektronisk Kommunikation (LEK) krav på att besökaren ger sitt uttryckliga samtycke till webbsidans användning av cookies.

 

Om insamlingen av data utgör personuppgifter (exempelvis IP-adress, geo-location eller annan information som direkt eller indirekt kan användas för att identifiera användaren) så ska även GDPR beaktas när det gäller den behandlingen.

 

Det är därför viktigt att företag kartlägger, spårar och förklarar användningen av cookies för de som besöker webbsidan.

 

Specifik redogörelse

Det är nödvändigt att utreda om den data som sparas i cookien för typsnittet utgör personuppgifter. Som ni nämner i frågan så räknas data som innehåller information om IP-adress som personuppgifter om de kan identifiera individer vilket innebär att cookien troligen samlar in personuppgifter. Du nämner att data skickas till företaget som ni köpt typsnittet av i syfte att räkna antalet sidvisningar per år. Det leder till frågan vart företaget och dess servar är belägna. Av frågan antyds att de är placerade utanför Europa, vilket innebär att det finns en risk/att det troligen utgör en förbjuden tredjelandsöverföring om det sker en överföring av personuppgifter till detta land.


Situationen liknar ett nyligen avgjort tyskt rättsfall domstolen fastslår att en webbsida åläggs upphöra att skicka besökares IP-adress till Google via verktyget Google Fonts. Företaget använde sig av Google Fonts och för att optimera fonten efter enheten samlade företaget in och delade besökarens IP-adress och enhetsmodell med Google i USA. Som rättslig grund för överföringen av dessa uppgifter hävdade företaget berättigat intresse. I rättsfallet kommer domstolen fram till att GDPR är tillämpligt och att (den dynamiska) IP-adressen tillsammans med andra insamlade data teoretiskt sett kan identifiera individer och därmed utgör personuppgifter enligt GDPR. Vidare poängteras i rättsfallet att företaget måste följa GDPR:s krav vid insamlingen av personuppgifter via hemsidan. Då det finns en lösning där Google Fonts tillåter webbsidor att själva hosta typsnitt för att eliminera överföringen till USA ansåg domstolen att företaget inte kunde hävda ett berättigat intresse utan att det skulle krävas ett samtycke då det sker en överföring till ett tredje land med lägre skyddsnivå än den som GDPR upprätthåller. Domstolen ansåg att all insamling och behandling av personuppgifter, inräknat IP-adress, som skall överföras till tredje land kräver att besökaren informeras och samtycker till insamlingen.


Ett annat fall som behandlar användning av tredjepartstjänster som kan samla in personuppgifter utan att företag/webbsidor är medvetna om omfattningen av insamlingen är användningen av

Google Analytics där Österrikes dataskyddsmyndighet i januari beslutade att användningen kan utgöra ett brott mot GDPR.

 

Möjligt att deklarera den som en nödvändig cookie som inte kräver acceptans?

Du nämner att typsnittet är en viktig del av företagets grafiska profil och att det inte är ett alternativ att vänta tills besökare av hemsidan har accepterat tredjeparts-cookies för att visa rätt typsnitt. Det leder till frågan om det är möjligt att deklarera cookien som en nödvändig cookie som inte uttryckligen behöver accepteras av besökare. Cookies som samlar in information om besökarstatistik har inte ansetts som nödvändiga cookies då den delen av har inget med själva hemsidan funktion att göra. Vilket gör att det snarare blir en cookie som har statiska ändamål.

 

Sammanfattningsvis, cookies för spårning av besöksstatistik har inte ansett utgöra nödvändiga cookies och det krävs därför att besökare uttryckligen samtycker till användningen. För att undvika att besökare inte ser rätt typsnitt direkt kan ni undersöka om det finns möjlighet att begränsa att insamlad data delas med tredje part. I fallet med Google Fonts finns det en lösning där webbplatsoperatörer ges möjlighet att själva hosta typsnitt för att eliminera kommunikation med andra servers och därmed även eliminera risken att personuppgifter delas. Ni är varmt välkomna att boka ett gratis coachingmöte med en av våra jurister specialiserade på cookies,

Prata med en av våra affärsjurister i 30 minuter (gratis).

Kickstarta ditt GDPR-arbete med ett fastpris-paket med viktiga dokument och rådgivning.

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image
Plus
Behöver du snabbare svar?
Testa Legalbuddy Plus gratis i en månad och få snabbare svar, möjligheten att ställa frågor privat och tillgång till vår juridiska avdelning.

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad
- Juridiskt stöd och avtalshantering för företag

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan