Cookies – Behöver man samtycke?
En av de mest problematiska frågorna inom dataskyddsområdet är förekomsten av cookies och de lagkrav som gäller för användningen av denna typ av teknik. Dessutom rör sig frågan allt högre upp på dagordningarna bland de europeiska tillsynsmyndigheterna. Här reder vi ut vad som krävs för att kunna använda sig av cookies.
Nyligen agerade den brittiska tillsynsmyndigheten mot bland annat Washington Posts användning av cookies. I början av 2019 publicerade även den nederländska tillsynsmyndigheten ett uttalande om förbudet mot villkorade samtycken för placering av cookies i utbyte mot att användaren får tillgång till en hemsida. Frågan om laglig användning av cookies får alltmer uppmärksamhet och kommer troligtvis att utgöra en del av myndigheternas tillsynsarbete framöver.
Samtycke för placering av cookies
För att placera en cookie, som inte är strikt nödvändig, behöver ägaren av en sajt ett samtycke från användaren. Tidigare reglerades kriterierna för samtycke i dataskyddsdirektivet och personuppgiftslagen. När nu båda dessa lagar ersatts av GDPR rasar debatten om vilka kriterier som egentligen gäller.
Svaret är att hänvisningar som tidigare gjordes till den äldre lagstiftningen ska ersättas med hänvisningar till GDPR. Ett samtycke för placering av cookies behöver därmed uppfylla kraven på samtycke enligt den nya lagstiftningen.
Praktiska konsekvenser
Införandet av GDPR har i praktiken medfört striktare krav för giltiga samtycken. Därmed ställs det nu även högre krav på samtycke för placerande av cookies.
För att ett giltigt samtycke ska föreligga krävs det att
- användaren tillhandahålls information om placering av cookies (vilket bör kunna göras genom en cookie-banner där länk till utförlig policy infogas),
- samtycke lämnas genom aktivitet från användaren,
- samtycket till placeringen av cookies är specifikt (särskils från eventuella andra samtycken),
- det specifika samtycket lämnas frivilligt av användaren och,
- samtycket inhämtas innan cookien placeras.
Villkor I) är det som debatterats livligast under de senaste åren. En vanlig lösning är att anse att användaren lämnar sitt samtycke genom att besöka en hemsida samtidigt som användare har inställningar som tillåter placerandet av cookies. Många anser även att surfandet i sig utgör ett aktivt samtycke. Men med tanke på den nya lagstiftningens höjda krav för giltigt samtycke bör dessa typer av samtycke inte längre anses lagenliga.
Villkor III) är just nu aktuellt i ett rättsfall som behandlas i EU-domstolen. Fallet handlar om ett företag som erbjudit användare att delta i ett online-lotteri, där godkännandet av cookies och deltagandet i lotteriet gjordes med samma accept-knapp. Generaladvokat Szpunar publicerade nyligen ett yttrade i fallet och menar att detta inte kan ses som ett specifikt samtycke till placering av cookies.
Enligt villkor IV) måste ett giltigt samtycke lämnas frivilligt av användaren. Generell vägledning är att samtycket inte får ”buntas ihop” med andra villkor för tillhandahållande av en vara eller tjänst. GDPR reder ut detta närmre och uttrycker att det inte är önskvärt att samtycke krävs vid ett avtal, om behandlingen inte är nödvändigt för utförandet av avtalet vilket även framgår av artikel 29-gruppens vägledning om samtycke. Detta blir även tillämpligt gällande samtycke för placering av cookies som andra former.
Vill du ta del av en längre analys om det här ämnet?
Läs då mer om informationstjänsten JP ITnet.
Publicerad 25 apr 2019
