Varför är det så svårt att tacka nej till cookies?

Svårt att prata cookies utan att ha med en bild på kakor. 🍪

Vägen fram till dagens regelverk är inte spikrak.

Det bygger på en serie direktiv från EU. Som 2009 ledde fram till e-Privacy Directive. Vilket två år senare ledde till cookielagen i Sverige.

I praktiken innebär det här att uppgifter endast får lagras om användarna informeras om ändamålet för datainsamling och ger sitt uttryckliga samtycke till det. Vill du läsa mer om det här – googla "LEK kap 6 §18".

Så har det sett ut sedan 2011.

Spola fram till 25 maj 2018. GDPR. EU:s allmänna dataskyddsförordning blir till skillnad från tidigare direktiv omedelbart lag i samtliga EU-länder. Men GDPR nämner bara kakor en enda gång. Och bara för att konstatera att kakor kan innehålla personuppgifter och följaktligen då ska behandlas enligt förordningens föreskrifter.

Och det är där vi är idag. Nästan i alla fall.

De grundläggande lagarna kring kakor och lagring av användardata är ganska tydliga. Men "ganska tydliga" har visat sig inte räcka. Implementeringen har nämligen spretat åt alla håll och kanter. Därför publicerade Europeiska dataskyddsstyrelsen, EDPB, i maj 2020 nya riktlinjer kring hur den nuvarande lagstiftningen ska tolkas i praktiken. Den 33-sidiga PDF:en hittar du här.

Utgångspunkten är GDPR-förordningens definition av vad samtycke för lagring av personlig data innebär. Den säger att samtycke är giltigt om det uppfyller följande krav:

• Samtycket lämnas frivilligt
• Samtycket är specificerat
• Samtycket lämnas otvetydigt
• Informationen användaren ska ta ställning till ska vara lättförståelig

Förtydligandet tar upp användningen av mer tveksamma metoder till samtycke som idag syns på många webbplatser.

Är det ett frivilligt samtycke om webbplatsen begär att man ska acceptera alla kakor innan man får tillgång till innehållet, en så kallad ”cookie wall”? Inte enligt de nya riktlinjerna.

Det här exemplet på cookie wall hämtade vi från Post- och telestyrelsens webbplats i början av juni 2020.

Är det ett frivilligt samtycke om användaren, utan att göra något val, fortsätter använda webbplatsen genom att till exempel scrolla ned på sidan? Nix.

Och är det ett frivilligt samtycke att bara informera användaren om att webbplatsen använder kakor (som redan har satts) och erbjuda en OK-knapp? Definitivt inte.

Har du en webbplats som tar emot trafik från användare inom EU?

Använder den dessutom kakor?

I så fall behöver du klart och tydligt upplysa användarna om det här och få deras frivilliga och uttryckliga samtycke.

Så säger lagen.

Gör ni redan detta? Kontrollera då när kakorna faktiskt sätts. Kruxet är att kakorna inte får sättas förrän efter användaren har gett sitt samtycke. Och även då måste användaren ha möjlighet att när som helst ändra sig och alltså dra tillbaka sitt samtycke och alltså även kakorna. Inställningar för kakor måste därför kunna nås även efter första besöket.

Undantaget görs bara för kakor som absolut krävs för att webbplatsen ska kunna fungera. Som att hålla reda på varor i en varukorg i en e-handel. Eller hantera inloggning på "Mina sidor". Även kakor som inte sparar någon personlig information, men som inte absolut nödvändiga för att webbsidan ska fungera måste vänta på samtycke.

På Whitespace har vi löst det här med en egenutvecklad cookie consent-funktion som idag används på flera av våra kunders webbplatser. Kakor som krävs för att webbplatsen ska fungera får sättas utan samtycke och ligger som en separat grupp, medan övriga kakor är valbara för besökaren.

☝️ Cookie-meddelande på Journalistförbundets webbplats.

Utformningen av funktionen gör att de flesta besökare, som kanske inte är så bekymrade över vilka kakor som sätts, oftast godkänner de som rekommenderas, medan de mer integritetsintresserade enkelt kan välja bort kakor som de inte vill ska sättas. På Journalistförbundets webbplats kan du se ett exempel. Flödena från Facebook och Twitter laddas först när användaren aktivt har godkänt kakor för dessa ändamål.

Dessutom innehåller funktionen ett enklare räkneverk som ger grundläggande (anonym) besöksstatistik utan att använda kakor. Även om användare inte godkänner kakor så kan vi alltså fortfarande få en basal bild över hur många som besöker webbplatsen.

Historien om kakor är inte slut riktigt än. Nu är det nämligen ytterligare regler på gång.

Den eviga ström av kak-meddelanden och popups som nu möter oss på nätet har tyvärr gjort oss avtrubbade och det är möjligt att regleringen på vissa områden har fått motsatt effekt.

Sedan länge finns dock ett EU-förslag under namnet e-Privacy Regulation som är tänkt att ersätta nuvararande e-Privacy Directive. Eftersom det är ett direktiv så kommer tolkningen inte längre att bli upp till varje land, utan direkt gällande i alla EU-länder. Lagen skulle egentligen följt med som en “lex specialis” till GDPR-förordningen, men har på klassiskt EU-manér försenats och väntas nu kunna träda i effekt under 2021 (men kan förstås bli ytterligare försenad).

I lagen förväntas kraven kring kakor och samtycke förtydligas för att ge mindre utrymme för tolkning och missbruk. Samtidigt föreslås att kakor som endast används för analys av besöksstatistik ska fråntas kravet på samtycke.

Om du letar efter trevlig kvällslektyr hittar du alla tillämpningsbara lagar på nätet:

• EU:s stadgar om de grundläggande rättigheterna
• EU:s allmänna dataskyddsförordning (GDPR)
• EU:s nya lagförslag ePrivacy Regulation
• Svensk lagtext om behandling av trafikuppgifter samt integritetsskydd ("cookielagen")
• Datainspektionens hemsida

Behöver du se till att er webbplats följer dataskyddsförordningen?

Kontakta mig på 070 - 481 60 72 eller david.blomberg@whitespace.se.