Lagen om elektronisk kommunikation (LEK)

Lagen om elektronisk kommunikation (LEK)

Lagen om elektronisk kommunikation, ofta kallad LEK, reglerar hur elektroniska kommunikationstjänster och nätverk fungerar i Sverige. För digitala marknadsförare är de mest relevanta delarna de regler som berör cookies och liknande spårningstekniker. Att förstå LEK är avgörande för alla företag som driver en webbplats eller digital tjänst i Sverige. Denna artikel förklarar vad lagen innebär, hur den förhåller sig till GDPR och vilka konkreta steg du behöver ta.

Bakgrund och syfte

LEK implementerar EU:s ePrivacy-direktiv (2002/58/EG) i svensk lagstiftning. Lagen uppdaterades 2022 med förtydliganden kring cookiesamtycke som skärpte kraven på svenska webbplatsoperatörer. Syftet med de cookierelaterade bestämmelserna är att skydda användares integritet genom att ge dem kontroll över vilken information som lagras på och hämtas från deras enheter.

Vad LEK kräver

LEK kräver att webbplatsoperatörer informerar besökare om vilka cookies som används och deras syfte. Det kräver dessutom samtycke innan information lagras på eller hämtas från en användares enhet, med begränsade undantag för cookies som är strikt nödvändiga för att tillhandahålla en tjänst som användaren har begärt. Detta samtycke måste vara informerat, specifikt och frivilligt.

Det är viktigt att notera att samtycket måste inhämtas innan cookien sätts, inte efter. Många webbplatser gör fortfarande misstaget att ladda spårningscookies direkt vid sidladdning och visa samtyckebannern samtidigt, vilket inte uppfyller LEK:s krav.

Undantag från samtyckeskravet

Inte alla cookies kräver samtycke. LEK undantar cookies som är strikt nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen har begärt. Exempel på sådana cookies inkluderar:

• Sessionscookies som håller en användare inloggad.
• Varukorgscookies i en e-handelsbutik.
• Cookies som sparar användarens språkval eller valutapreferens.
• Lastbalanseringscookies som säkerställer att webbplatsen fungerar korrekt.

Analytiska cookies, marknadsföringscookies och cookies för sociala mediefunktioner kräver däremot alltid samtycke.

Hur LEK förhåller sig till GDPR

• LEK reglerar själva handlingen att placera cookies på en enhet (lagring och åtkomst av data).
• GDPR reglerar behandlingen av personuppgifter som kan samlas in genom dessa cookies.
• Båda regelverken gäller samtidigt, vilket innebär att du behöver uppfylla LEK:s samtyckeskrav för cookies och GDPR:s krav för behandling av personuppgifter som dessa cookies samlar in.

I praktiken innebär detta att du behöver en samtyckehantering som täcker båda regelverken. Det räcker inte att bara informera om cookies. Du måste ge användaren ett genuint val och respektera det valet genom att blockera icke-nödvändiga cookies tills samtycke ges.

Praktiska efterlevnadssteg

Implementera en cookie-samtyckebanner som tydligt förklarar vilka cookies din webbplats använder och varför. Se till att icke-nödvändiga cookies inte laddas förrän användaren ger sitt samtycke. Upprätthåll en cookiepolicy som beskriver varje cookie, dess syfte och varaktighet. Se över din uppsättning regelbundet, eftersom både det regulatoriska landskapet och din webbplats cookieanvändning kan förändras över tid. EDPB publicerar riktlinjer som påverkar hur LEK tillämpas.

Vanliga misstag vid LEK-efterlevnad

Många webbplatser har samtyckesbanners som inte uppfyller LEK:s krav. Vanliga misstag inkluderar att ladda cookies innan samtycke ges, att inte erbjuda ett lika enkelt sätt att neka som att acceptera, att använda förkryssade rutor för icke-nödvändiga cookies och att inte ge tillräcklig information om varje cookie-kategori. En annan vanlig brist är att samtyckesbanners inte uppdateras när nya cookies läggs till på webbplatsen.

Bristande efterlevnad kan resultera i tillsynsåtgärder från Integritetsskyddsmyndigheten (IMY), så att behandla cookiesamtycke som ett lagkrav snarare än en rekommendation är viktigt. IMY har befogenhet att utfärda sanktionsavgifter vid allvarliga överträdelser, vilket gör det till en fråga som bör tas på allvar av alla svenska företag med digital närvaro.