Effekter av reglerna om kakor

Rapportnummer PTS-ER-2012:28 Datum 2012-12-19 Effekter av reglerna om kakor Förändringen i 6 kap. 18 lagen om elektronisk kommunikation

Förändringen i 6 kap. 18 lagen om elektronisk kommunikation Rapportnummer PTS-ER-2012:28 Diarienummer 11-9591 ISSN 1650-9862 Författare Björn Scharin och Staffan Lindmark Post- och telestyrelsen Box 5398 102 49 Stockholm 08-678 55 00 pts@pts.se www.pts.se Post- och telestyrelsen 2

Innehåll Sammanfattning 4 Abstract 5 1 Inledning 7 1.1 Uppdraget 7 1.2 Metod och avgränsning 7 1.3 Samrådsförfarande 8 1.4 Läsanvisningar 8 2 Kaka en textfil som sparas i webbläsaren 9 2.1 Olika typer av kakor 9 2.2 Vad kakor används till 9 3 Ändrade regler om kakor 11 3.1 Regelns tillämpning på användning av kakor 11 3.2 Krav på samtycke är den främsta förändringen 11 4 Effekter av ändringen 13 4.1 Många webbplatsföreträdare är medvetna om regleringen men användningen är oförändrad 13 4.2 Fler informerar om kakor och gör det mer noggrant 13 4.3 Få hanterar kravet på att inhämta samtycke 14 4.4 Införandet av funktioner för samtycke kan medföra ökade kostnader och försämra möjligheterna att utveckla webbplatsen 14 4.5 Enbart begränsade branschinitiativ har skett 15 5 Användningen av kakor och hur den har förändrats 17 5.1 Regleringen skapar betydande utmaningar för besöksstatistik och annonshantering 17 5.2 Regleringen skapar vissa utmaningar för andra vanliga användningsområden 18 5.3 De flesta kakor lagras bara tillfälligt 18 5.4 Drygt hälften av kakorna är förstapartskakor 19 Bilaga 1 - Regeringsuppdraget 20 Bilaga 2 - Metod och urval 22 Bilaga 3 - Resultat av automatisk granskning 24 Bilaga 4 - Kakregleringens historik 28 Post- och telestyrelsen 3

Sammanfattning Den 1 juli 2011 började nya regler att gälla om användningen av kakor. Kakor är små textfiler som kan lagras i webbläsaren hos de som besöker webbplatser. Enligt de förändrade reglerna krävs bland annat besökarens samtycke till användningen av kakor. PTS har fått i uppdrag av regeringen att redovisa vad ändringen har fått för effekter och hur användningen av kakor på svenska webbplatser har förändrats. PTS har utrett frågan genom tre olika studier; en automatiserad undersökning av kakanvändningen på ett större antal webbplatser, en manuell granskning av webbplatsers information om kakor och djupintervjuer med webbplatsansvariga. Sammantaget ger studierna en bild av hur kakor används på svenska webbplatser och hur de ansvariga förhåller sig till det aktuella regelverket. PTS har funnit att många webbplatsansvariga är medvetna om den förändrade regleringen men att användningen av kakor i stort sett är oförändrad. Den uppmärksamhet som regleringen har fått har lett till ökad medvetenhet om problematiken med användning av kakor. Många av de ansvariga anser att regleringen är svårtolkad och därmed svår att efterleva. Den förändrade regleringen har dock lett till att informationen som lämnas om kakor har förbättrats. Endast en liten andel av de svenska webbplatserna har infört nya funktioner eller på annat sätt hanterat det nya kravet på samtycke. Detta kan bero på osäkerheten om hur kravet ska tolkas. I de fåtal fall där kakor används först efter att besökarens samtycke har inhämtats, har de webbplatsansvariga observerat att få besökare lämnar samtycke. Detta har lett till att till exempel besöksstatistik, som är beroende av kakor, har försämrats. Den nya regleringen har endast i begränsad utsträckning lett till branschinitiativ till att ta fram anpassade rekommendationer för användningen av kakor och tillämpningen av reglerna. Den enda rekommendation som PTS känner till, tillämpas ännu av relativt få webbplatser. Vanliga användningsområden för kakor är besöksstatistik och annonshantering. Där kan den förändrade regleringen skapa betydande utmaningar eftersom sådana kakor ofta används på samtliga delar av webbplatsen, även på startsidan. Enligt PTS bedömning är dock utmaningarna inte lika stora när det gäller andra vanliga användningsområden. Det integritetsintrång som användning av kakor kan medföra, varierar beroende på användningsområde. Enligt PTS uppfattning gör dock inte den gällande regleringen skillnad på olika slags kakor. Post- och telestyrelsen 4

Abstract New rules regarding the use of cookies started to apply on 1 July 2011. Cookies are small text files that can be stored in the web browser of website visitors. According to the amended rules, the consent of the visitor is required, among other things, when cookies are used. The Government has assigned PTS to report on the effects of this amendment and how the use of cookies on Swedish websites has changed. PTS has conducted three different studies to investigate the matter: an automated investigation of cookie usage on numerous websites; a manual examination of information found about cookies on websites; and in-depth interviews with webmasters. Taken overall, these studies show how cookies are used on Swedish websites and what webmasters think about the rules and regulations in question. PTS found that a large number of webmasters are aware of the amendments to the regulatory provisions, but that the use of cookies has largely remained the same. The attention that the new regulations attracted has resulted in an enhanced awareness of the problems associated with cookie usage. Many of the webmasters consider that the provisions are difficult to interpret and consequently difficult to implement in practice. The amended regulations have however resulted in an improvement in the information provided about cookies. Only a small proportion of Swedish websites have introduced new functions or dealt with the new requirement for consent in some other way. This may be due to uncertainty concerning how the requirement should be interpreted. Webmasters have observed that few visitors give their consent in the small number of cases where cookies are only used after obtaining the consent of the visitor. This has, for example, resulted in the deterioration of visitor statistics, which are dependent on cookies. The new regulatory provisions have only to a limited extent resulted in industry initiatives to produce adapted recommendations for cookie usage and for the implementation of the rules. The only recommendation of which PTS is aware is still only applied by relatively few websites. Common areas of use for cookies are visitor statistics and advertisement processing. Here, the amended regulations may pose major challenges, as such cookies are often used on all parts of the website, even on the home page. However, PTS is of the opinion that the challenges are not as great as regards other common areas of use. Post- och telestyrelsen 5

The infringement of privacy that cookie usage may entail varies depending on the area of use. However, PTS is of the opinion that the current regulations do not make any distinction between different kinds of cookie. Post- och telestyrelsen 6

1 Inledning 1.1 Uppdraget PTS har fått ett regeringsuppdrag att redovisa effekterna av ändringen av 6 kap. 18 lagen (2003:389) om elektronisk kommunikation som trädde i kraft den 1 juli 2011. PTS ska särskilt undersöka hur kakor används på svenska webbplatser på internet och hur användningen förändrats sedan lagändringen trädde i kraft. Uppdraget ska slutredovisas senast den 31 december 2012. Regeringsuppdraget i sin helhet framgår av bilaga 1. 1.2 Metod och avgränsning PTS har valt att genomföra uppdraget genom tre olika studier på ett urval av webbplatser. Den första studien skedde med hjälp av ett automatiserat verktyg som användes vid granskning av användningen av webbkakor på ett slumpmässigt urval av 5 000 webbplatser och därutöver på ett medvetet urval av webbplatser som tillhandahålls av olika kategorier av aktörer som till exempel media, kommuner och myndigheter, totalt knappt 2 000 webbplatser. Vid granskningen har varje kaka som hittats även jämförts med en databas över kakor med känt användningsområde och kategoriserats därefter. Den andra studien har granskat informationen som webbplatser lämnar om kakanvändning. Studien har baserats på ett slumpmässigt urval av 200 webbplatser från det medvetna urvalet av webbplatser. Dessa har granskats under våren 2012 och informationen har jämförts med information om kakanvändning på arkiverade sidor vid en tidpunkt före den 1 juli 2011. Den tredje studien har skett genom djupintervjuer med 50 webbplatsinnehavare. Det bör påpekas att de studier som PTS låtit genomföra inte grundar sig på urval som ger statistiskt säkerställda resultat. Resultaten ger dock en indikation på vilka effekter den nya regleringen har gett och de slutsatser om lagändringens effekter som presenteras i rapporten är PTS bedömningar med utgångspunkt i resultaten av studierna. PTS har i undersökningarna granskat ett urval av svenska webbplatser. PTS har avgränsat arbetet från att göra jämförelser med andra länder. En mer detaljerad redogörelse för metod, urval och begränsningar finns i bilagorna 2 och 3. Post- och telestyrelsen 7

1.3 Samrådsförfarande PTS ska enligt uppdraget kontinuerligt samråda med Regeringskansliet och andra relevanta aktörer och intressenter. PTS har haft avstämningar med Regeringskansliet. PTS har vidare samrått med Datainspektionen och Stiftelsen för Internets Infrastruktur,.SE. Samråd har skett genom avstämning innan studierna startats, genom att preliminära resultat redovisats och diskuterats vid ett möte samt genom att organisationerna getts möjlighet att lämna synpunkter på ett utkast av denna rapport. PTS har vidare redovisat ett urval av de preliminära resultaten i samband med konferensen Internetdagarna 2012. 1.4 Läsanvisningar De inledande kapitlen beskriver vad kakor är respektive regelverket på området. Därefter redovisas effekterna av lagändringen i kapitel 4. I kapitel 5 redogörs för användningen av kakor i Sverige idag. Ett antal bilagor kompletterar och fördjupar huvudtexten. I bilagorna presenteras de metoder som använts och hur urvalet av webbplatser skett för de olika studierna. Dessutom biläggs en beskrivning av historiken till regleringen samt uppdraget från regeringen. Post- och telestyrelsen 8

2 Kaka en textfil som sparas i webbläsaren En kaka (cookie) är en liten textfil som en webbplats begär att få spara i besökarens webbläsare. Kakor används på många webbplatser för att ge en besökare tillgång till olika funktioner. Informationen i kakan är möjlig att använda för att följa en användares surfande på webbplatser som använder samma kaka. 2.1 Olika typer av kakor Det finns två typer av kakor. Den ena typen sparar en fil under en längre tid på besökarens dator, kakan har då ett utgångsdatum. Den används till exempel vid funktioner som talar om vad som är nytt sedan användaren senast besökte den aktuella webbplatsen. När utgångsdatumet passerats, raderas kakan när användaren återkommer till den webbplats som skapade den. Den andra typen av kakor kallas sessionskakor och saknar utgångsdatum. Under tiden en användare är inne och surfar på en sida, lagras den här kakan temporärt i användarens webbläsare, exempelvis för att hålla reda på vilket språk denne har valt. Sessionskakor lagras inte under en längre tid på användarens dator, utan försvinner när användaren stänger sin webbläsare. Den aktuella regleringen omfattar även andra tekniker som på motsvarande sätt lagrar uppgifter i eller hämtar lagrade uppgifter från besökarens webbläsare, till exempel så kallad web storage. 2.2 Vad kakor används till Kakor används ofta för inloggning på webbplatser. När någon loggar in på en webbplats placeras en kaka i dennes webbläsare. Vid varje sidbläddring skickar användarens dator kakan till den webbplats denne besöker och med hjälp av kakan kan webbplatsen till exempel konstatera att användaren är inloggad och användaren slipper därmed att ange användarnamn och lösenord för varje ny sida. På webbplatser som säljer varor används kakor för att göra det smidigt att handla. Med hjälp av kakor kan webbplatsen hålla reda på vilka varor användaren har lagt i sin varukorg. Med hjälp av kakor kan webbplatser registrera vilka personer som besökt vilka sidor. Den informationen kan sedan användas för att välja rätt annons eller på annat sätt skräddarsy de sidor personen får se genom annonsering och anpassat innehåll. Post- och telestyrelsen 9

Kakor kan användas när en användare själv vill skräddarsy webbplatser efter sina användarpreferenser. Det kan till exempel gälla önskemål om formgivning på en webbplats som man ofta besöker, om anpassad kontrast och teckenstorlek eller om anpassad sortering och urval. De flesta webbplatser följer upp trafiken genom besöksstatistik för att kunna förbättra webbplatsen, motivera kostnader och för att lära sig mer om sina målgrupper. Kakor kan också användas för att till exempel hålla reda på vem som röstar i en omröstning, för att undvika att en användare röstar flera gånger. Post- och telestyrelsen 10

3 Ändrade regler om kakor Utgångspunkten för uppdraget är den förändrade regleringen i 6 kap. 18 lagen (2003:389) om elektronisk kommunikation (LEK) som trädde i kraft den 1 juli 2011. Bestämmelsen lyder: Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. 3.1 Regelns tillämpning på användning av kakor Även om bestämmelsen är avsedd att reglera även annat än användning av kakor så har den fått störst betydelse och uppmärksammats mest för detta tillämpningsområde. För en utförligare redogörelse för regleringens omfattning och historik, se bilaga 4. Det är den som ansvarar för en webbplats som är skyldig att följa bestämmelsen när det gäller användning av kakor. Med abonnents eller användares terminalutrustning avses i detta sammanhang webbplatsens besökares terminal, det vill säga besökarens dator, mobiltelefon, surfplatta eller motsvarande utrustning, i vars webbläsare kakorna lagras. 3.2 Krav på samtycke är den främsta förändringen Den förändring av bestämmelsen som har störst betydelse för användningen av kakor är införandet av krav på samtycke till den behandling som lagringen av uppgifter eller åtkomst till lagrade uppgifter medför. Begreppet samtycke ska tolkas på samma sätt som enligt personuppgiftslagen (1998:204) och avser varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen. 1 Kravet på samtycke medför således att en webbplatsbesökare dels måste informeras om användningen av kakor och dels ha uttryckt sin vilja att acceptera denna användning. Redan enligt bestämmelsens tidigare lydelse skulle webbplatsens besökare få tillgång till information om ändamålet med behandlingen. Införandet av krav på samtycke kan dock anses striktare, eftersom ett giltigt samtycke bara kan lämnas om besökaren har tagit del av informationen. Vidare förutsätts att besökaren har fått tillräckligt detaljerad information för att kunna ta ställning till om användningen av kakor i det enskilda fallet är acceptabel eller inte. Det 1 6 kap. 1 2 st. LEK och 3 personuppgiftslagen (1998:204). Post- och telestyrelsen 11

innebär att det inte är tillräckligt med generell information om vad kakor är och hur de kan användas. Kravet på att webbplatsens besökare otvetydigt ska ha uttryckt sin vilja att acceptera en viss användning av kakor är också mer långtgående än den tidigare regleringens krav på att besökaren skulle ha getts tillfälle att hindra behandlingen. Under förutsättning att det i webbläsare alltid fanns möjlighet att hindra lagring av och åtkomst till kakor så kunde detta anses uppfylla det tidigare kravet. Numera är det dock långt ifrån säkert att all lagring av kakor sker i webbläsare med sådana inställningsmöjligheter, det har inte minst den stora utbredningen av så kallade appar i smarta mobiltelefoner medfört. Med det nuvarande kravet på samtycke följer också att viljan att acceptera användning av kakor måste uttryckas specifikt för den användning som sker på en viss webbplats, snarare än generellt för all användning av kakor. Samtycket måste också kunna knytas till en aktiv handling från besökarens sida. Post- och telestyrelsen 12

4 Effekter av ändringen 4.1 Många webbplatsföreträdare är medvetna om regleringen men användningen är oförändrad Den nya regleringen förefaller vara relativt välkänd bland de som ansvarar för svenska webbplatser. Av de intervjuade har samtliga uppgett att de är medvetna om regleringen. En förklaring kan, enligt PTS mening, vara att lagändringen fick medial uppmärksamhet i samband med att den trädde ikraft. Den automatiska granskningen som PTS låtit genomföra visar att i stort sett samtliga webbplatser idag använder kakor i någon utsträckning. PTS har inte tillgång till några liknande studier från tiden innan lagen ändrades och kan därför inte säga något om hur användningen sett ut historiskt. Den nu genomförda studien pekar dock på att andelen webbplatser som i någon utsträckning använder kakor i vart fall inte har minskat. Detta bekräftas även av de genomförda intervjuerna, där de flesta har angett att de inte väsentligen har ändrat sin användning av kakor med anledning av den ändrade lagen. Flera har dock angett att de har gått igenom sina webbplatser för att säkerställa att de inte använder några kakor som inte behövs. Många har också uppgett att de har lagt tid på att tolka den nya regleringens betydelse och att de har fått en ökad medvetenhet kring användning av kakor. PTS konstaterar att den nya regleringen sannolikt inneburit en ökad kännedom om problematiken kring användning av kakor och att innehavare av webbplatser i något större utsträckning ifrågasätter om kakor i det enskilda fallet ska användas eller inte. 4.2 Fler informerar om kakor och gör det mer noggrant PTS studier tyder på att andelen webbplatser som har någon form av information om att kakor används har ökat något sedan lagändringen trädde i kraft. Fortfarande förefaller dock fler än tre av tio webbplatser sakna sådan information. Genomgången av webbplatsernas information visar också att den information som lämnas generellt sett är tydligare och mer lättillgänglig än tidigare. Regleringen tycks också ha medfört en ökning av andelen webbplatser som lämnar information om hur en besökare kan slippa kakor, även om detta fortfarande saknas på nästan hälften av alla undersökta webbplatser. Post- och telestyrelsen 13

Av de intervjuade har flera webbplatsansvariga uppgett att de har utvecklat och lyft fram informationen om kakor. Några har påpekat att det nu är möjligt att nå informationen om användningen av kakor från alla sidor på webbplatsen. PTS konstaterar att den förändrade regleringen sannolikt har bidragit till att förbättra den information som lämnas på svenska webbplatser om att kakor används och ändamålen med denna användning. 4.3 Få hanterar kravet på att inhämta samtycke En central förändring av regleringen är kravet på att inhämta samtycke från webbplatsens besökare till användningen av kakor. Av PTS intervjuer framgår dock att många ännu inte har tagit ställning till frågan om hur kravet på inhämtande av samtycke ska hanteras eller har valt att endast lämna information om att det finns ett krav på samtycke. Detta bekräftas av att det endast är 15 % av de webbplatser som PTS låtit granska som lämnar någon form av information som kan relateras till samtyckeskravet. PTS studier tyder också på att det är en mycket liten andel webbplatser som har infört funktioner för att låta webbplatsens besökare aktivt lämna samtycke. I flera av dessa fall förekommer dessutom viss användning av kakor även om besökaren inte har lämnat sitt samtycke. Intervjuerna indikerar att det främst är myndigheter och kommuner som har valt att införa en funktion för att inhämta ett aktivt samtycke. En förklaring till att inte fler har anpassat sina webbplatser för att hantera kravet på att inhämta samtycke skulle kunna vara att många webbplatsansvariga är osäkra på hur kravet ska omsättas i praktiken utan att användarvänligheten försämras. De intervjuer som har genomförts indikerar att de ansvariga i många fall väljer att inte följa den nya regleringen för att undvika det man uppfattar som omständliga procedurer för besökarna. Den förändrade regleringen har därför, enligt PTS mening, endast marginellt bidragit till införande av funktioner på svenska webbplatser som ger besökarna möjlighet att aktivt ta ställning till om kakor får användas eller inte. 4.4 Införandet av funktioner för samtycke kan medföra ökade kostnader och försämra möjligheterna att utveckla webbplatsen Av de genomförda intervjuerna framgår att införandet av automatiserade funktioner för att inhämta besökarnas samtycke kräver att den ansvariga för webbplatsen lägger resurser på att utreda såväl hur regleringen ska tolkas i det enskilda fallet som planläggning och utveckling av en lämplig lösning. PTS gör Post- och telestyrelsen 14

därför bedömningen att en effekt av den förändrade regleringen i många fall är ökade kostnader för de berörda innehavarna av webbplatser. De respondenter som har uppgett att de infört en funktion för att inhämta samtycke har vidare angett att en stor andel av besökarna väljer att antingen inte lämna samtycke till användning av kakor eller att inte göra något val alls. Detta får till följd att de funktioner på webbplatsen som är beroende av att kakor används inte fungerar alls eller får försämrad funktionalitet. För den breda kretsen av webbplatser förefaller det främst vara funktioner som ger statistik om hur webbplatsen används som berörs av detta. När samtycke till användning av kakor uteblir så uteblir även statistik som av de webbplatsansvariga upplevs som viktig för att kunna utveckla webbplatsen. I intervjuerna har de ansvariga framhållit att de webbplatsbesökare som inte lämnar samtycke gör det av vad som uppfattas som fel skäl, till exempel att de inte orkar läsa igenom informationen eller att de blir skrämda av informationen. De webbplatsansvariga har vidare angett att det är svårt att få besökarna att förstå vad de samtycker till och vilka konsekvenserna blir om de inte samtycker. Enligt PTS bedömning är det sannolikt att införandet av en funktionalitet för att inhämta samtycke innan kakor används på en webbplats kommer att medföra att användningen av kakor totalt sett minskar. Det beror på att vissa av webbplatsens besökare använder möjligheten att inte samtycka. Det är upp till webbplatsens innehavare att tillräckligt väl förklara för besökarna varför användningen av kakor är till besökarnas nytta. Det är enligt myndighetens bedömning inte orimligt att besökare endast i mindre utsträckning samtycker till en användning av kakor som enbart gagnar innehavaren av webbplatsen eller en tredje part. Det är dock möjligt att den förändrade regleringen, i vart fall på kort sikt, medför något minskade möjligheter för innehavare av webbplatser att erhålla underlag för den löpande utvecklingen av webbplatsernas funktionalitet. 4.5 Enbart begränsade branschinitiativ har skett I samband med den förändrade regleringens ikraftträdande uttalades i förarbetena att det i första hand skulle överlåtas åt marknadens aktörer att hitta lämpliga sätt att omsätta regleringen i praktiken. Såvitt PTS känner till finns det endast ett formaliserat branschsamarbete i frågan om användning av kakor och tillämpningen av den nya regleringen. I de intervjuer som PTS genomfört framkommer dock att vissa informella kontakter inom nätverk och med branschkollegor har förekommit. Post- och telestyrelsen 15

Tidningsutgivarna, Interactive Advertising Bureau Sverige och andra branschorganisationer samt internetföretag har tagit fram en gemensam branschrekommendation som rör användningen av kakor. Rekommendationen berör i första hand hur information om användningen av kakor ska lämnas på en webbplats. PTS har även varit i kontakt med andra organisationer, som Sveriges Kommuner och Landsting och Svenskt Näringsliv, som dock inte har tagit fram några rekommendationer till sina medlemmar. Det är oklart i vilken utsträckning den branschrekommendation som tagits fram tillämpas av berörda webbplatsinnehavare. I PTS intervjuer har några ansvariga uppgett att de länkar till Mina cookies, som är ett resultat av IAB Sveriges branschrekommendation. PTS bedömning är att den nya regleringen endast i begränsad omfattning har fått till effekt att branschorganisationer eller andra representanter för marknadsaktörer har arbetat med problematiken kring användning av kakor. Vidare har den branschrekommendation som finns anammats av ett relativt begränsat antal webbplatser. Post- och telestyrelsen 16

5 Användningen av kakor och hur den har förändrats Nästan alla webbplatser i Sverige använder kakor i någon utsträckning. Det finns standardiserade system och verktyg som används på många webbplatser. Dessa system och verktyg använder ofta kakor på samma sätt, oavsett webbplats. Det gör det möjligt att utifrån de kakor som används dra vissa slutsatser om vilket system eller verktyg som används på webbplatsen och därmed även vad kakorna används till. I det här avsnittet beskrivs resultatet från PTS granskning. Vidare berörs hur den förändrade regleringen kan påverka de användningsområden för kakor som beskrivs. 5.1 Regleringen skapar betydande utmaningar för besöksstatistik och annonshantering Av de kakor som kunnat identifieras i PTS granskning är det mest förekommande användningsområdet besöksstatistik. Granskningen ger vid handen att ungefär 70 % av alla kakor används för att registrera besökarnas beteende på webbplatsen och generera statistik över hur webbplatsen används. Sådan statistik kan utgöra värdefull information för den webbplatsansvariga i arbetet med webbplatsens utveckling. Funktionaliteten för besöksstatistik är vanligen aktiv på samtliga delar av webbplatsen, även på startsidan, vilket enligt PTS bedömning har betydelse för möjligheterna att inhämta besökarens samtycke i förväg. Som berörs redan i kapitel 4.4 så kan möjligheterna att använda kakor för besöksstatistik minska till följd av det nya kravet på att inhämta samtycke till användningen från webbplatsens besökare. Det bör påpekas att det finns funktioner för besöksstatistik som inte bygger på användning av kakor. PTS har dock inte utrett närmare huruvida kvaliteten på den statistik som erhålls vid användning av sådana funktioner är jämförbar med den som erhålls vid användning av funktioner baserade på kakor. Ungefär en tiondel av de kakor som identifierats i PTS granskning kan kopplas till annonshantering, det vill säga presentation av annonser eller marknadsföringsinformation på webbplatsen. Ser man enbart till de webbplatser som till stor del lever på annonsintäkter är andelen kakor som hänger samman med annonser dock betydligt större. Enligt PTS erfarenhet förekommer annonser i dessa fall också på stora delar av webbplatsen, Post- och telestyrelsen 17

inklusive startsidan. Detta skapar liknande utmaningar som vid användning av kakor för besöksstatistik, avseende kravet på att inhämta besökarens samtycke. I de studier som PTS genomfört har det inte framkommit några tydliga exempel på webbplatser som har hanterat den förändrade regleringens krav i förhållande till användningen av funktioner för besöksstatistik eller annonshantering. Det går dock inte att utifrån detta dra slutsatsen att det i sådana fall inte är möjligt att leva upp till kraven. 5.2 Regleringen skapar vissa utmaningar för andra vanliga användningsområden Ett vanligt användningsområde, drygt en av tio kakor enligt PTS undersökning, är så kallade dela-funktioner. Med dela-funktioner avses att webbplatsen har en funktion för att sprida information från en webbplats via sociala medier såsom Facebook eller Twitter. Bland de övriga ändamål som har kunnat identifieras finns funktioner för anpassning av webbplatsen efter besökarens preferenser, till exempel språkinställningar och funktioner för att identifiera inloggade besökare. Även om andelen kakor som kan knytas till dessa funktioner är relativt låg så är funktionerna ofta viktiga för webbplatsens användbarhet. Dessa funktioner kommer vanligen till användning eller aktiveras först efter att besökaren har vidtagit en aktiv åtgärd på webbplatsen. Därför finns det enligt PTS bedömning i dessa fall goda förutsättningar för att kunna möta den förändrade regleringens krav på att inhämta besökarens samtycke till användningen av kakor. 5.3 De flesta kakor lagras bara tillfälligt Vid användning av kakor för viss funktionalitet på en webbplats är det möjligt att ställa in hur lång tid varje kaka ska sparas i besökarens webbläsare innan den automatiskt tas bort. Det kan röra sig om allting från att kakan endast lagras till dess att webbläsaren stängs av (så kallad sessionskaka) till att kakan lagras utan någon bortre tidsgräns. Den automatiska granskningen som PTS har genomfört indikerar att ungefär sex av tio hittade kakor är tillfälliga kakor, det vill säga sessionskakor. Som jämförelse ger PTS granskning vid handen att drygt en av tio kakor bevaras i mer än ett år. Mot bakgrund av regleringens syfte, att upprätthålla skyddet av den personliga integriteten, är detta ett intressant resultat. Risken för att användning av kakor som allvarligt inverkar på individens integritet torde generellt sett vara lägre för kakor som lagras under en kort tid. PTS kan dock Post- och telestyrelsen 18

konstatera att det inte förefaller finnas något utrymme att ta hänsyn till hur länge kakor sparas vid tillämpningen av den aktuella regleringen. Därför torde information behöva lämnas och samtycke inhämtas även avseende sessionskakor. 5.4 Drygt hälften av kakorna är förstapartskakor Vid granskningen har PTS även undersökt om de kakor som en webbplats använder har sitt ursprung i den aktuella webbplatsen (så kallade förstapartskakor) eller kommer från en tredje part (så kallade tredjepartskakor). I det senare fallet är den information som lagras i kakan tillgänglig för en annan part än den som står för webbplatsen och används till exempel för att samla information för annonsering och skräddarsytt innehåll samt för besöksstatistik, när webbplatsinnehavare köper sådana tjänster av tredje parter. Drygt hälften av de kakor som hittades i granskningen var förstapartskakor och resten tredjepartskakor. Det bör dock påpekas att alla kakor som har sitt ursprung i ett annat domännamn än webbplatsens domännamn har bedömts utgöra tredjepartskakor i denna undersökning, även om det i vissa fall kan vara så att samma part står bakom båda domännamnen. Tredjepartskakor ger den tredje parten potentiellt möjlighet att kartlägga besökarnas surfvanor på alla de webbplatser som använder sig av samma annons- eller statistiktjänst eftersom det innebär att samma kakor, från den tredje parten, används på alla sådana webbplatser. Enligt PTS uppfattning är därför distinktionen viktig ur ett integritetsperspektiv. Regleringen om kakor gör inte skillnad på första- och tredjepartskakor. Dock kan regleringens tillämpning bli mer komplex när de kakor som används på en webbplats härrör från flera olika parter. Det kan i vissa fall vara oklart vem som bär ansvaret för att regleringen följs. Även i de fall ansvaret är tydligt så kan användningen av tredjepartskakor medföra ökade tekniska och organisatoriska utmaningar vad gäller att säkerställa att informationen om de kakor som används är korrekt och att samtycke inhämtas. Post- och telestyrelsen 19

Bilaga 1 - Regeringsuppdraget Post- och telestyrelsen 20

Post- och telestyrelsen 21

Bilaga 2 - Metod och urval 1 Metod 1.1 Granskning av förändring av information om kakor före och efter lagändringen En genomgång av 200 webbplatser har skett enligt ett fördefinierat formulär. Först har en kontroll skett av om webbplatsen använder kakor, genom att använda PTS e-tjänst Hitta Kakor. Därefter har en kontroll av informationen om kakor på nuvarande webbplats gjorts. Slutligen har en kontroll av informationen om kakor på webbplatsen före den 1 juli 2011 genomförts med hjälp av tjänsten Internet Archive som har bevarat kopior av webbplatser från olika tidpunkter. Det har därefter gjorts en bedömning av om den information som efterfrågas i formuläret finns på webbplatsen eller inte. 1.2 Djupintervjuer med innehavare av webbplatser Med utgångspunkt i den granskning som genomförts av hur information om kakor före och efter lagändringen valdes webbplatser ut för intervjuer. Intervjuerna gjordes med innehavare eller företrädare för 50 webbplatser. Syftet med intervjuerna var att belysa webbplatsinnehavarens arbete med att följa regleringen om kakor och att skapa en uppfattning om hur den förändrade lagstiftningen påverkat verksamheten. Djupintervjuerna genomfördes per telefon efter att ett par besöksintervjuer genomförts inledningsvis. 1.3 Automatisk granskning av kakanvändningen Den automatiska granskningen har skett med hjälp av en anpassning av verktyget Hitta Kakor, en e-tjänst som tillhandahålls på PTS webbplats. Tiden för granskning av respektive webbplats har begränsats till max två minuter, vilket innebär att större webbplatser inte har granskats i sin helhet. Den genomsnittliga hämtningstiden har varit 44 sekunder. Det största antal sidor som granskats från en enskild webbplats är 293 och det största antalet bilder är 47. Undersökningen har inte kunnat hitta alla kakor som finns på en webbplats, detta bland annat eftersom verktyget inte exekverar javascript. Verktyget känner däremot igen många vanligt förekommande kakor som sätts med hjälp av javascript genom en så kallad mönstermatchning. Verktyget kan hitta alla kakor som sätts med http-headers på de sidor som granskats. Post- och telestyrelsen 22

2 Urval för granskning av kakanvändning Den automatiska granskningen av den faktiska kakanvändningen omfattade två urval, ett slumpmässigt urval av 5 000 webbplatser från.se-zonen och ett medvetet urval på 1 844 webbplatser enligt nedanstående principer. Undersökningen av vilken information som lämnas om kakor före respektive efter lagändringen omfattade 200 webbplatser. De kontrollerade 200 webbplatserna valdes ut genom att de slumpades fram utifrån det medvetna urvalet. Djupintervjuerna omfattade 50 webbplatser och bestod av ett urval av de 200 webbplatserna. Till de studier som genomförts strävade PTS efter att välja webbplatser som kan representera många sektorer i samhället. Urvalet omfattar välbesökta webbplatser och webbplatser där man kan förvänta sig att kakor används i större omfattning. Urvalet omfattar statliga myndigheter, landsting, kommuner, annonsörers och annonssäljares index över webbplatser (KIA-index 2 ), akademiska organisationer, forum, sociala medier, banker och e-handel samt webbplatser från de 30 bolag som har störst omsättning på Stockholmsbörsen, OMX-30, liksom aktörer som till PTS har anmält att de bedriver verksamhet på området elektronisk kommunikation. 2 KIA-index ägs av Sveriges annonsörer och omfattar branschens olika parter, annonsörer, mediabyråer och medier. Post- och telestyrelsen 23

Bilaga 3 - Resultat av automatisk granskning 1 Bortfall och egenskaper för de automatiskt granskade webbplatserna I studien har granskning skett av ett slumpmässigt urval av 5 000 webbplatser från.se-zonen. Därutöver har en granskning skett av det medvetna urvalet som omfattar 1 844 webbplatser. Av de 5 000 slumpmässigt valda webbplatserna gick det att hämta innehåll från 83 %, det vill säga 4 150 st. Från det medvetna urvalet av 1 844 webbplatser så gick det att hämta innehåll från 93 %, det vill säga 1 712 st. Av de granskade slumpmässigt valda webbplatserna bestod 46 % av en enda webbsida, vilket kan antyda att webbplatsen inte används. Motsvarande uppgift för de medvetet valda webbplatserna var 4 %. Av de slumpmässigt utvalda webbplatser som hade fler än en sida så granskades i snitt 27 sidor medan det för de medvetet valda webbplatserna var i snitt 53 sidor som granskades. PTS har låtit genomföra en bortfallsanalys av 26 webbplatser som antogs ha en stor kakanvändning. Analysen innebar att varje webbplats genomsöktes manuellt efter kakor under fem minuter. Resultatet av analysen visar att genomsnittligt antal hittade kakor per webbplats var 22, vilket kan jämföras med ett snitt på 7,3 kakor vid den automatiska granskningen av samma webbplatser. Denna begränsade bortfallsanalys ger således vid handen att det i realiteten finns ungefär tre gånger så många kakor som den automatiska granskningen visade. Observera dock att värdet är betydligt högre för dessa webbplatser, som valts ut för att de är stora, huvudsakligen kommersiella, webbplatser med omfattande annonsering, än för ett slumpmässigt urval av webbplatser. 2 Antal kakor i snitt per webbplats och hur dessa sätts Drygt hälften, 53 %, av de hittade kakorna kommer från samma domän som webbplatsen som anropades när kakan sattes. Kakor kan sättas av en Post- och telestyrelsen 24

webbplats på olika sätt. I studien fann vi i snitt följande antal kakor per webbplats: Slumpmässigt urval Medvetet urval 0,96 kakor 3,74 kakor 0,47 satta med http-header 1,52 satta med http-header 0,40 satta med javascript 1,94 satta med javascript 0,07 extern bildhämtning 0,28 extern bildhämtning 3 Vanligaste kaktyperna och ändamålen Den automatiska granskningen visade att följande kakor var de vanligast förekommande (i tabellen anges kakornas namn). Slumpmässigt urval PHPSESSID utma, utmb, utmc, utmz (används av Google analytics) ASP.NET_SessionId id C ASPSESSIONIDSRSRRRCT _twitter_sess wordpress_test_cookie JSESSIONID is_unique language tu Medvetet urval ASP.NET_SessionId JSESSIONID PHPSESSID OAX C utma, utmb, utmc, utmz (används av Google analytics) PREF id Vizzit _twitter_sess Av de kakor som upptäcktes i granskningen kunde drygt 40 % av kakorna i det slumpmässiga urvalet och 50 % av kakorna i det medvetna urvalet kategoriseras. Av de kakor som gått att kategorisera fördelade sig ändamålen med kakorna enligt följande: Post- och telestyrelsen 25

Slumpmässigt urval Totalt 1 738 kategoriserade kakor. Annonshantering: 128 st. Statistik: 1 324 st. Inloggning: 4 st. Användaranpassning: 26 st. Dela funktioner: 159 st. Övrigt: 97 st. Medvetet urval Totalt 3 230 kategoriserade kakor. Annonshantering: 392 st. Statistik: 2 032 st. Inloggning: 21 st. Användaranpassning: 115 st. Delafunktioner: 472 st. Övrigt: 198 st. Post- och telestyrelsen 26

Bilaga 4 - Kakregleringens historik Det har sedan länge ansetts viktigt att skydda den enskildes personliga integritet vid användning av elektronisk kommunikation. Redan för det dåvarande Televerkets verksamhet gällde till exempel särskilda sekretessregler som avsåg att skydda information om abonnenterna och de samtal som förmedlades. 3 I takt med att användningsområdet för elektronisk kommunikation har expanderat och beroendet av kommunikationen för allt mer i människans vardag växt, har också behovet av att skydda användarnas personliga integritet ökat. På europeisk nivå beslutades de första harmoniserade reglerna till skydd för personuppgifter och personlig integritet inom telekommunikationsområdet 1997. Reglerna, som infördes i svensk rätt 1999, avsåg bland annat att begränsa möjligheterna för teleoperatörer att behandla uppgifter om överförda telemeddelanden (trafikdata) och fastslog användarnas rätt till skydd mot avlyssning eller övervakning av kommunikationen. 4 Efter en översyn av det harmoniserade regelverket föreslog EU-kommissionen år 2000 nya direktiv som omfattade inte bara telefoni utan även andra former av elektronisk kommunikation, till exempel tillhandahållande av internetåtkomst. Beträffande integritetsskydd föreslogs bland annat utökat skydd mot behandling av lokaliseringsuppgifter. 5 Under förhandlingarna av direktiven tillkom, på initiativ av Europaparlamentet, även en bestämmelse som inte i första hand reglerar behandlingen av information i samband med tillhandahållandet av elektroniska kommunikationstjänster, utan snarast tar sikte på att skydda användarens terminalutrustning vid användning av sådana tjänster. I den ursprungliga lydelsen av artikel 5.3 i direktivet (2002/58/EG) om integritet och elektronisk kommunikation anges: Medlemsstaterna skall säkerställa att användningen av elektroniska kommunikationsnät för att lagra information eller för att få tillgång till information som är lagrad i en abonnents 3 För Televerkets verksamhet reglerades sekretess i dåvarande sekretesslagen (1980:100) (SL), numera ersatt av offentlighets- och sekretesslagen (2009:400) (OSL). Avseende sekretess för uppgifter om abonnenter och samtal, se till exempel 9 kap. 8 2 st. SL, numera ersatt av 29 kap. 2 OSL. 4 Direktiv 97/66/EG som i Sverige implementerades i dåvarande telelagen (1993:597), se prop. 1998/99:92. 5 COM(2000) 385. Post- och telestyrelsen 28

eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har tillgång till klar och fullständiginformation, bland annat om ändamålen med behandlingen, i enlighet med direktiv 95/46/EG, och erbjuds rätten att vägra sådan behandling av den dataregisteransvarige. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra eller underlätta överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller som är absolut nödvändigt för att leverera en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt. I ingressen till direktivet anges att terminalutrustning för användare av elektroniska kommunikationsnät och all information som finns lagrad i sådan utrustning är en del av privatlivet för användarna och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Med hänvisning till bland annat förekomsten av spionprogramvara, som kan lagra hemlig information i användarnas terminaler eller spåra användarnas verksamhet utan deras kännedom, slås det fast att sådana företeelser endast bör tillåtas för legitima syften. Vidare berörs användningen av kakor och det anges att dessa kan utgöra legitima och användbara verktyg, exempelvis för att analysera hur effektiv utformningen av en webbplats är. Därför bör användning av kakor tillåtas under förutsättning att användarna får tydlig och klar information om syftet, för att säkerställa att användarna görs medvetna om den information som lagras på den terminalutrustning de använder. Användarna bör också ha möjlighet att vägra lagring av kakor. Slutligen anges att sättet att lämna information, ge rätt att vägra eller begära samtycke bör vara så användarvänligt som möjligt. 6 I Sverige infördes bestämmelserna genom lagen (2003:389) om elektronisk kommunikation (LEK) som ersatte telelagen (1993:597). I den ursprungliga lydelsen av 6 kap. 18 anges: Elektroniska kommunikationsnät får användas för att lagra eller få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast om abonnenten eller användaren av den personuppgiftsansvarige får information om ändamålet med behandlingen och ges tillfälle att hindra sådan behandling. Detta hindrar inte sådan lagring eller åtkomst som behövs för att utföra eller underlätta att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Även om avsikten med bestämmelsen synes ha varit att i första hand hindra illasinnade företeelser som spionprogramvara, så kom tillämpningen på användningen av kakor att vara den dominerande i praktiken. I förarbetena till 6 Ingresspunkterna 24 25 i direktiv 2002/58/EG. Post- och telestyrelsen 29

bestämmelsen betonas att det inte krävs att användaren eller abonnenten först ska ha accepterat lagringen eller åtkomsten till lagrade kakor, förutsatt att normala rutiner används, så att användaren eller abonnenten genom att ställa in sin webbläsare kan förhindra sådan användning redan från början. 7 Mot bakgrund av beskrivningen i förarbetena och uttalandena i direktivets ingress om att kakor som utgångspunkt bör tillåtas och att förfaranden för att uppfylla reglerna bör vara användarvänliga, så utkristalliserades ett beteende där informationen om ändamålet med behandlingen lämnades i form av övergripande information om användningen av kakor på varje webbplats, oftast tillsammans med annan policyrelaterad information på en undersida till webbplatsens startsida. Tillfälle att hindra behandlingen gavs genom hänvisning till och instruktioner för inställning av webbläsaren för att acceptera eller neka kakor. En sådan tillämpning av huvudregeln, som av merparten berörda webbplatsinnehavare förefaller ha uppfattats som relativt lätt att följa, medförde att tillämpningen av undantagen i bestämmelsen blev relativt begränsad. Efter en översyn lämnade EU-kommissionen i november 2007 förslag till förändringar i direktiven på området elektronisk kommunikation. Avseende bestämmelsen i artikel 5.3 i direktivet om integritet och elektronisk kommunikation föreslogs att bestämmelsen inte längre skulle avgränsas till lagring eller åtkomst till lagrad information i en terminal som sker över ett elektroniskt kommunikationsnät. Detta för att säkerställa att spionprogramvara och annan skadlig kod skulle förbli förbjuden, oavsett vilket medium den levererades på. 8 Vid förhandlingarna om de reviderade direktiven tillkom, även denna gång på initiativ av Europarlamentet, ytterligare förändringar av bestämmelsen och i bestämmelsens nuvarande lydelse anges: Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt. 7 Se prop. 2002/03:110 s. 396. 8 COM(2007) 698. Post- och telestyrelsen 30

I ingressen till ändringsdirektivet framhålls att det är av yttersta vikt att användarna ges tydlig och utförlig information när de deltar i verksamhet som kan leda till lagring av information på en användares utrustning eller tillträde till sådan information. Vidare upprepas att sättet att lämna information och ge rätt att vägra att lämna information bör vara så användarvänligt som möjligt och det anges också att, om det är tekniskt möjligt och effektivt i enlighet med direktiv 95/46/EG 9, kan samtycke till behandling uttryckas med hjälp av lämpliga webbläsarinställningar eller en annan anordning. 10 I Sverige medförde förändringen av direktivet att motsvarande förändringar infördes i 6 kap. 18 LEK. I bestämmelsens nuvarande lydelse anges: Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. I förarbetena framhålls att lagstiftningen så långt möjligt bör överlåta till marknadsaktörer och användare att utveckla normer för användningen som är anpassade till de praktiska förutsättningarna och att praktiska skäl talar för att ändringen inte bör medföra någon förändring i sak vad gäller befogade tekniker. Detta gäller särskilt användarnas möjligheter att besöka webbsidor på internet utan större olägenhet. I förarbetena hänvisas också till en tolkningsdeklaration som presenterades av ett flertal EU-medlemsstater i samband med att direktivet antogs. I deklarationen framhålls att samtycke ska kunna utövas som en rätt att vägra användning av kakor och att bestämmelsen ska tolkas så att användning av kakor som inte kan sägas vara integritetskränkande inte försvåras. 11 Dessa uttalanden till trots, så har bestämmelsens huvudregel skärpts i och med att uttrycket samtycke har införts. En tänkbar följd av skärpningen är att undantagen i bestämmelsen får ökad betydelse. Även ett av undantagen har dock förändrats och smalnats av. Undantaget för lagring eller åtkomst som behövs för att utföra eller underlätta att överföra ett elektroniskt meddelande har ändrats till sådana åtgärder som behövs för att överföra ett elektroniskt meddelande. 9 Direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, i Sverige implementerat genom personuppgiftslagen (1998:204). 10 Ingresspunkt 66 i direktiv 2009/136/EG. 11 Se prop. 2010/11:115 s. 136 och tolkningsdeklaration 15864/09. Post- och telestyrelsen 31

Det andra undantaget, avseende lagring eller åtkomst som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt, kvarstår oförändrat. Av ordalydelsen framgår att utrymmet för att tillämpa undantaget vid användning av kakor är relativt litet; det torde till exempel inte vara särskilt ofta kakorna är strikt nödvändiga för att tillhandahålla en viss tjänst. Det finns inte någon svensk praxis avseende tillämpningen av undantaget. På europeisk nivå har den så kallade artikel 29- kommittén i juni 2012 kommit med ett uttalande om undantagets tillämpningsområde. I uttalandet ges exempel på kakor som skulle kunna omfattas av undantaget. 12 12 WP 194, Opinion 04/2012 on Cookie Consent Exemption. Post- och telestyrelsen 32