cookies

Cookies – aktivt eller passivt godkännande?

Den initiala vägledningen som gavs kring cookiepolicy och samtycke av cookies för företag och webbplatser har skapat viss förvirring. Detta då Dataskyddsförordningen – GDPR – trädde i kraft 2018. Vad gäller egentligen och vilka regler för samtycke och godkännande av cookies är de korrekta?

Passivt samtycke till Cookies ligger i slags gråzon i förhållande till de regler om GDPR som EU-domstolen tagit fram. GRPR innebär att man aktivt ska godkänna cookies. Som besökare ska man aktivt, frivilligt och entydigt ge ett godkännande. Kort sagt: all information ska ha framgått och besökaren ska ha godkänt denna.

Tidigare har cookies kunnat användas utan att information framgått. Besökaren har tvingats godkänna – eller neka – detta genom att klicka Ja- eller Nej i en specifik box. Detta har då varit ett passivt godkännande. Problemet är att det inte är helt entydigt och klart kring vad som gäller i denna fråga.

Europeisk förvirring

Det råder lite europeisk förvirring i frågan. I Tyskland har man exempelvis börjat ställa frågor om vad som egentligen gäller. Alltsedan domen föll gällande Planet49 *(Planet49 är det tyska bolag som använde en, på förhand, ikryssad ruta för att samla information från cookies – detta genom att besökaren deltog i en tävling genom att godkänna användningen av cookies) så har många famlat i mörker kring hur lagen ska tolkas.

Den tyska federala domstolen ställde frågor till EU-domstolen för att skingra frågetecken och för att mer klarhet i frågan om cookies och godkännande av sådana. Vad gäller, vilken tolkning är korrekt och vilka krav för godkännande av cookies är det som specificeras i domen gällande Planet49?

Fotnot: Domen mot Planet49 handlar om att tyska konsumentorganisationer provade om lämpligheten i att bolaget använde en reklamtävling som ett slags alibi för ett godkännande av cookies – och därigenom en insamling av information från besökarna. Domen som föll visade att det inte räcker med en på förhand ikryssad ruta: ett mer särskilt godkännande måste ges och detta oavsett om informationen cookien i fråga hanterar innehåller personuppgifter eller inte.

Ett aktivt godkännande av cookies kommer att krävas

EU-domstolen har beslutat att användaren måste ge ett aktivt godkännande av cookies för att hanteringen av sådana ska anses som informativa, frivilliga, specifika och entydiga.

Det sägs inte rakt ut i domen, men läser man lite mellan raderna så kan man förvänta sig att EU-domstolen menar att rutor – förmarkerade – som accepteras när man besöker en webbplats i framtiden inte kommer att accepteras. Dessa accepteras inte som ett giltigt samtycke och godkännande; vilket också kommer att innebära att exempelvis OPt-Out-lösningar (exempelvis reklam som skickas utan ett godkännande) förvandlas till en no-go-zon och där istället Opt-In-lösningar (marknadsföring som enbart får skickas ut mot ett godkännande) måste användas.

Samtycke

En besökare ska ge sitt samtycke även utifrån given information – ett så kallat informativt godkännande. För dig som företagare så innebär detta att du måste ge varje besökare tydlig och adekvat information om din cookie-hantering. Vem tar emot datan och informationen – det måste besökaren informeras om och därmed ges en möjlighet att fatta ett beslut baserat även på framtida konsekvenser av ett godkännande.

En slags deklaration av cookies kommer att behövas där allt från statistik, preferenser, marknadsföring och nödvändighet ska framkomma. Där en besökare ska kunna välja att godkänna varje enskild kategori – och samtidigt också kunna ändra samtycket för dessa.

Detta gäller alltså även om det inte är personlig information hanteras via cookies. Fritt översatt kan man säga att ingen egentligen går fri, även de cookies som gör att en webbplats fungerar rent tekniskt – de absolut nödvändiga – inkluderas i sammanhanget.

Checklista för Cookies på din webbplats

Som tidigare nämnts i texten så har alltså EU-domstolen skärpt kraven vad gäller hantering av cookies och besökarens aktiva godkännande av sådana. Detta innebär att du som företagare och din webbplats bör se till att ha..

  • … En deklaration av dina cookies tillgänglig. Vilka cookies används, hur är de inställda, till vilka syften används de och hur länge lagras dessa?
  • … Att dina cookies inte ställs in på användarens enhet innan denne givit ett aktivt godkännande av detta. Nödvändiga cookies undantagna detta.

Om dessa två punkter kan kryssas i så går du säker. Åtminstone för tillfället. De punkter vi radat upp ligger i linje med de krav som ställs av svenska myndigheter. Även med de europeiska reglerna.

Tilläggas är att det fortfarande finns vissa tveksamheter och att det definitivt kan finnas gråzoner att hamna i. Vi hoppas att det kommer en uppdatering och ett kraftfullt förtydligande om vad som gäller i frågan om cookies. Det skulle underlätta för alla parter.

Disclaimer: Artikeln är endast ett uttryck för Generaxions nuvarande tolkning av den information som vi har fått kännedom om via artiklar och annan information på internet. Vi rekommenderar att du kontaktar en IT-juridisk rådgivare eller advokat för ytterligare förtydligande eller vägledning inom detta område.