Frågor och svar om kakor för webbplatsinnehavare

Informationen avser bestämmelser i lagen om elektronisk kommunikation som trädde i kraft den 1 juli 2011.

Här har vi samlat frågor och svar om kakor (cookies) för dig som har eller ansvarar för en webbplats.

Det finns även frågor och svar för användare.

Vad är kakor?

Vad säger lagen?

Tredjepartsleverantörer

 

Vad är en kaka?

En kaka (cookie) är en liten textfil som en webbplats begär att få spara på besökarens dator. Kakor används på många webbplatser för att ge en besökare tillgång till olika funktioner. Informationen i kakan är möjlig att använda för att följa en användares surfande på webbplatser som använder samma kaka.

Det finns två typer av kakor. Den ena typen sparar en fil under en längre tid på besökarens dator, kakan har då ett utgångsdatum. Den används till exempel vid funktioner som talar om vad som är nytt sedan användaren senast besökte den aktuella webbplatsen. När utgångsdatumet passerats raderas kakan när användaren återkommer till den webbplats som skapade den.

Den andra typen av kakor kallas sessionskakor och saknar utgångsdatum. Under tiden en användare är inne och surfar på en sida, lagras den här kakan temporärt i användarens dators minne exempelvis för att hålla reda på vilket språk denne har valt. Sessionskakor lagras inte under en längre tid på användarens dator, utan försvinner när användaren stänger sin webbläsare.

Vad används kakor till?

Här följer ett antal exempel på vad kakor kan användas till:

  • Kakor används ofta för inloggning på webbplatser. När någon loggar in på en webbplats placeras en kaka på dennes dator. Vid varje sidbläddring skickar användarens dator kakan till den webbplats denne besöker och med hjälp av kakan kan webbplatsen konstatera att användaren är inloggad och användaren slipper använda användarnamn och lösenord för varje ny sida.
  • På webbplatser som säljer varor används kakor för att göra det smidigt att handla. Med hjälp av kakor kan webbplatsen hålla reda på vilka varor användaren har ”lagt i sin varukorg”.
  • Med hjälp av kakor kan webbplatser registrera vilka personer som besökt vilka sidor. Den informationen kan sedan användas för att välja rätt annons eller på annat sätt skräddarsy de sidor personen får se genom annonsering och skräddarsytt innehåll. Många kakor som används för annonsering och skräddarsytt innehåll är tredjepartskakor.
  • Kakor kan användas när en användare själv vill skräddarsy webbplatser efter sina användarpreferenser. Det kan t.ex. gälla önskemål om formgivning på en webbplats som man ofta besöker, om anpassad kontrast eller teckenstorlek eller om anpassad sortering eller urval.
  • De flesta webbplatser följer upp trafiken genom webbstatistik för att kunna förbättra webbplatsen, motivera kostnader och för att lära sig mer om sina målgrupper. Många kakor som används för webbstatistik är tredjepartskakor.
  • Kakor kan också användas för att hålla reda på vem som röstar i en omröstning för att undvika att en användare röstar flera gånger.

Vad är tredjepartskakor?

Kakor som exempelvis används för att samla information för annonsering och skräddarsytt innehåll samt för webbstatistik kan vara s.k. tredjepartskakor. Dessa kakor kommer från någon annan än den som är ansvarig för webbplatsen, t.ex. en annonsfirma, via en s.k. banner. En annonsfirma kan placera ut annonser eller statistiktjänster som kartlägger surfvanor hos användarna på många olika webbplatser. Besökarens surfvanor kan därför potentiellt kartläggas på alla webbplatser som använder sig av samma annons eller statistiktjänst.

Tredjepartskakor gör det möjligt att skapa mer heltäckande kartläggningar av användarens surfvanor och därför anses de mer känsliga ur ett integritetsperspektiv. Det finns i de flesta webbläsare möjlighet att ställa in så att tredjepartskakor inte accepteras.

Väljer du som webbplatsinnehavare att installera komponenter av olika slag på din webbplats (annonsfunktioner, statistikfunktioner, enkätverktyg osv.) finns risk att dessa medför tredjepartskakor. Då är det särskilt angeläget att ta reda på vad dessa kakor används till och se till att de som levererar komponenterna är seriösa och inte missbrukar personuppgifter de kan tänkas komma över.

Vad är Flash-kakor?

Flash-kakor är en teknisk konstruktion som liknar kakor. Nästan alla webbläsare har en så kallad Flash player som används för att kunna visa Flash-presentationer. Ett välkänt exempel på Flash-presentation är videospelaren på videosajten YouTube. (Flash-kakor är inte bara förknippade med YouTube, utan gäller alla webbplatser som använder Flash-kakor).

En Flash-kaka kan användas till att spara användarpreferenser t.ex. ljudvolym. Skillnaden mellan vanliga kakor och Flash-kakor är bl.a. att när användare konfigurerar hanteringen av kakor i webbläsaren omfattas bara vanliga kakor, inte Flash-kakor. En Flash-kaka är också mycket större än en vanlig kaka och tar därför större plats på hårddisken. En Flash-kaka saknar också tidsbegränsningar. De består tills någon raderar dem.

Vilka risker är förknippade med kakor?

Kakor är små textfragment som i sig är harmlösa om man jämför med till exempel virus. En dator blir inte förstörd av kakor. Men det finns ändå en del risker. Huvudsakligen finns riskerna inom följande kategorier:

  • Kakor ger webbplatser möjlighet att kartlägga användares aktiviteter på nätet. Detta kan uppfattas som intrång i den personliga integriteten och vissa användare kan välja att inte acceptera kakor på sin dator. Detta kan vara något att tänka på när din webbplats utformas och när du väljer hur du använder kakor.
  • Avlyssning och förfalskning av kakor kan under vissa förutsättningar användas som verktyg av en elektronisk brottsling. Dessa verktyg kan då användas t.ex. för obehörig inloggning, obehörig modifiering av innehåll i varukorg, snedvridning av statistik och obehörig röstning.

Det ligger i webbplatsinnehavarens intresse att vidta åtgärder för att förhindra avlyssning och förfalskning av kakor, liksom andra metoder för intrång och bedrägerier. Likaså måste du som webbplatsinnehavare säkerställa att personliga uppgifter som inhämtas via kakor inte missbrukas, vare sig av dig eller dina samarbetspartners.

Om du använder Flash-presentationer (t.ex. en You Tube-video) på din webbplats och den hämtats från en annan webbplats kan ägare till Flash-presentationen registrera besök på din webbplats och koppla samman denna information med information från andra webbplatser som innehåller samma Flash-presentation. Detta kan ske även om användare blockerat användningen av kakor i sina webbläsare. Det är viktigt att du som webbplatsinnehavare är medveten om Flash-kakor används på webbplatsen samt att du informerar besökarna om detta.

Vad säger lagen?

Enligt lagen om elektronisk kommunikation ska alla som besöker en webbplats med kakor få tillgång till information om att webbplatsen innehåller kakor och ändamålet med användningen av kakor. Besökaren ska också samtycka till att kakor används.

Vad är syftet med bestämmelsen om kakor?

Bestämmelsen i lagen syftar till att skydda användarens integritet. Kakor används på många webbplatser för att ge en besökare tillgång till olika funktioner. Informationen i kakan är möjlig att använda för att följa en användares surfande. Kakor kan därför även användas för att sammanställa och analysera den information som en användare lämnar efter sig när han eller hon surfar på nätet.

Måste vi bygga om mitt företags/min organisations webbplats för att uppfylla lagen?

Det är inte förbjudet att använda kakor. Du måste dock informera webbplatsens besökare om att webbplatsen innehåller kakor och ändamålet med användningen av kakor. Du måste också se till att besökaren samtycker till att du använder kakor.
Eftersom den aktuella bestämmelsen har ändrats från och med den 1 juli 2011 går det ännu inte att säga i detalj hur regeln ska tillämpas för en viss webbplats. PTS vill ge dig som har en webbplats tid och utrymme för att ta fram en lösning som fungerar för både webbplats och användare.

Den information du lämnar dina besökare om användningen av kakor bör åtminstone innehålla uppgifter om vad de olika kakorna heter, till vilket domännamn de hör, vilka data som lagras i kakorna och hur länge de sparas i besökarens webbläsare. Det bör också tydligt framgå vilket syfte kakorna fyller på din webbplats liksom om informationen kommer från eller lämnas ut till tredje part.

Hur formulerar jag information till användarna på min webbplats?

En användare ska informeras om att webbplatsen använder kakor och ändamålet med användningen av kakor. Eftersom den aktuella bestämmelsen har ändrats från och med den 1 juli 2011 går det ännu inte att säga i detalj hur regeln ska tillämpas för en viss webbplats. PTS vill ge dig som har en webbplats tid och utrymme för att ta fram en lösning som fungerar för både webbplats och användare.

Den information du lämnar dina besökare om användningen av kakor bör åtminstone innehålla uppgifter om vad de olika kakorna heter, till vilket domännamn de hör, vilka data som lagras i kakorna och hur länge de sparas i besökarens webbläsare. Det bör också tydligt framgå vilket syfte kakorna fyller på din webbplats liksom om informationen kommer från eller lämnas ut till tredje part.

Hur ska användare ge sitt samtycke till hantering av kakor på webbplatsen?

Som webbplatsinnehavare är du skyldig att se till att användare samtycker till den hantering av kakor som sker på webbplatsen. Samtycke innebär något förenklat ett medvetet godkännande. Exakt hur den tekniska utformningen ska se ut eller fungera för att möjliggöra detta är inte något som PTS i förhand kan säga. PTS anser att det är innehavarna av webbplatser som har bäst förutsättningar att ta fram fungerande och säkra lösningar för hur samtycket ska ske. PTS vill ge de som ansvarar för webbplatser tid och utrymme för att ta fram sådana lösningar.

Hur tar jag reda på vilka kakor som används på min webbplats?

Som webbplatsinnehavare måste du vara medveten om att vissa av de tekniska plattformar som används för att bygga webbplatser skapar kakor oavsett om de behövs eller inte. Installeras färdiga webbapplikationer används troligen kakor på dessa.

Du kan själv undersöka din webbplats för att ta reda på vilka kakor som används. Genom att konfigurera din webbläsare så att du får möjlighet att ta ställning varje ny kaka som din webbplats skickar till din dator kan du själv gå igenom din webbplats. På Macromedias webbplats (företaget som har utvecklat Flash-kakor) erbjuds möjlighet att begränsa användningen av Flash-kakor. PTS har utvecklat en webbtjänst för att hjälpa dig som har en webbplats att hitta de kakor som används på din webbplats, hittakakor.pts.se

Som webbplatsinnehavare måste du veta vilka kakor som förekommer på den egna webbplatsen. Förutom att själv undersöka webbplatsen ska du även samråda med de personer som utvecklat den eller de webbapplikationer som används.

Vilka frågor kan jag ställa till leverantören av min webbplats?

Följande frågor kan ställas till leverantören av varje komponent på webbplatsen:

1. Vilka kakor kan hamna i webbläsaren hos en besökare på min webbplats med anledning av att vi använder er komponent <infoga namnet på komponenten här>?

För var och en av dessa kakor skulle jag vilja veta:

  • Vad heter den?
  • Vilka syften har denna kaka?
  • Är det en tredjepartskaka? I så fall, varifrån kommer den?
  • Är det en Flash-kaka eller en vanlig kaka?
  • Vad blir konsekvensen av att en besökare väljer att inte acceptera kakor i sin webbläsare?

2. Används kakan för att på något sätt kartlägga besökaren, och i så fall hur?

3. Är det en sessionskaka, eller hur länge består den i användarens dator?

Att ställa frågor till leverantörer är en bra metod för att få reda på vilket eller vilka syften varje kaka har. Det är dock möjligt att leverantören inte själv vet vilka kakor dennes komponent sätter. Det är därför viktigt att du som webbplatsinnehavare själv kartlägger alla kakor enligt den metod som angivits ovan eller med hjälp av PTS webbtjänst hittakakor.pts.se.

Finns det alternativ till att använda kakor på min webbplats?

Du kan stänga av dina kakor. Är det så att webbplatsen inte kräver inloggning, inte behöver anpassa innehållet efter besökaren, inte behöver hålla koll på en varukorg eller har begränsade behov av att analysera trafiken, så är det inte säkert att kakor tillför någonting av värde.  Vissa användare väljer att inte acceptera kakor på sin dator och du kan genom att stänga av kakor nå även dessa användare.

Om du däremot vill ha någon av ovanstående funktioner på din webbplats kan det bli dyrt och/eller krångligt att hitta lösningar som inte involverar kakor, men du kan ersätta kakor med annan teknik. Vissa plattformar erbjuder alternativa sätt för dig att följa dina besökare. Detta innebär att webbservern istället för att lagra en identitetskod i en kaka lägger in motsvarande identitetskod som en extraparameter på alla webbadresser.

På en webbplats med många olika språk, kan informationstexten vara på engelska eller måste den översättas till samtliga språk?

Informationen ska ges klart och tydligt. Det är rimligt att kräva att texten ska förstås av svenskar eftersom lagstiftningen omfattar Sverige. Det kan knappast förutsättas att alla svenskar förstår engelska.

Måste vi sluta avtal med våra besökare?

Nej, men däremot måste webbplatsens besökare få information om användningen av kakor och samtycka till användningen, se ovan. Det finns inga formkrav för hur samtycket ska se ut.

Hur fungerar lagen om vi lägger ut en webbsida på en utländsk server?

Den som tillhandahåller webbplatsen är ansvarig för att lämna tillräcklig informationen om användningen av kakor och att besökarna samtycker till denna. Utgångspunkten är var den ansvarige för webbplatsen är verksam, inte var servern är placerad. I vissa fall kan det dock bli fråga om gränsdragningar som får avgöras från fall till fall.

Är webbplatser som är utvecklade innan lagen trädde i kraft reglerade av lagen?

Ja, det saknar betydelse när webbsidorna är tillverkade eftersom lagen berör varje enskilt tillfälle som kakor används.

Den ansvarige får inte spara kakor i användarens dator utan användarens vetskap, men får en sida sparas i användarens dator utan att information ges?

Ja, den tekniska funktionen som innebär att delar av en webbsida sparas i en s.k. cache undantas från bestämmelsen. Det utgör en sådan lagring som behövs för att underlätta att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät.

Tredjepartsleverantörer 

Hur påverkar bestämmelsen en webbplats som förser besökarna med kakor från tredje part, t.ex. en annonsförmedlare som sköter annonseringen på webbplatsen eller från statistikföretag som gör trafikmätningar? 

För att leva upp till bestämmelsen som gäller användningen av kakor behöver den som har en webbplats säkerställa att information lämnas och samtycke ges gällande samtliga kakor som skickas till eller hämtas från användarnas datorer när de besöker webbplatsen. Det gäller även om vissa kakor skickas från tredje part, såsom annonsförmedlare eller statistikföretag. Det är upp till varje webbplatsinnehavare att, i samarbete med sådan tredje part, finna lösningar för att leva upp till lagens krav som fungerar på den enskilda webbplatsen.

Hur påverkar bestämmelsen företag som erbjuder annonsörer att synas med bannrar på ett stort antal webbplatser som dessa företag samarbetar med?

Se ovan.