Den 1 oktober 2019 fällde EU domstolen (CJEU) det tyska spelbolaget Planet49 i ett uppmärksammat och avgörande mål om cookies. Tills annan lagstiftning finns på plats (ePrivacy Regulation) suddas därför frågetecknen ut kring hur webbplatsägare ska hantera cookies för sina europeiska besökare. Det här är vår tolkning av beslutet och vad det innebär för dig.
Domslutet är det första i sitt slag. Det behandlar individens rättigheter i samband med att webbplatser sparar cookies i användarnas enheter, efter att GDPR trädde i kraft den 25 maj 2018. Domslutets fastställande tolkning av aktuella EU-direktiv och förordningar får direkt påverkan på hur vi alla ska hantera cookies på våra webbplatser. Man skulle kunna sträcka sig så långt som att säga att det påverkar hur vi till viss del ser på hur själva internet behöver fungera framöver.
Beslut som dessa är komplicerade. Men, i det här inlägget vill vi presentera vår tolkning av vad beslutet innebär för dig och din hantering av cookies samt vad du måste göra för att inte riskera administrativ sanktionsavgift enligt GDPR om lagkraven inte uppfylls. (Vår tolkning är dock inte hela sanningen, du behöver alltid rådgöra med egen jurist som insatt i ämnet.)
I den här artikeln
- Bakgrunden till målet mot Planet49
- Detta säger domslutet
- Domslutets innebörd för hur cookies ska hanteras
- 5 saker du ska göra idag för att efterleva EU-lagstiftningen
Bakgrunden till målet mot Planet49
I september 2013 anordnade Planet49 en pristävling i reklamsyfte på webbplatsen www.dein-macbook.de som krävde att deltagarna lämnade sina personuppgifter för att få delta. Användarna möttes av två olika kryssrutor vid registreringen.
Den första kryssrutan var obligatorisk för att gå med i lotteriet. Den gav Planet49 rätt att dela de insamlade personuppgifterna med tredje part.
Den andra kryssrutan var frivillig, men förikryssad. Den gav användaren sitt samtycke till att cookies sparades på enheten.
En tysk fristående konsumentorganisation (VZBV) utmanade Planet49 i tysk domstol gällande hur de samlat in samtycket. Ärendet hamnade efter några överklaganden slutligen hos EU-domstolen som fick i uppdrag att lämna ett förhandsavgörande kring vissa frågeställningar i målet. Något förenklat;
- Innebär en förikryssad ruta giltigt samtycke för hantering av cookies?
- Spelar det någon roll vilken data en cookie innehåller?
- Behöver användaren få information om en cookies varaktighet eller om data kommer delas med tredje part?
Detta säger domslutet
Domslutet utgör en gemensam tolkning av de äldre EU-direktiven från 1995 och 2009 samt den nyare Artikel 6(1) i GDPR. Den sistnämnda avhandlar hanteringen av personuppgifter och lagring av cookies. Tillsammans ger de tydliga svar på de aktuella frågeställningarna.
1. Innebär en förikryssad ruta giltigt samtycke för hantering av cookies?
Nej. I den officiella pressreleasen från CJEU ges svaret att det krävs aktivt samtycke av en webbplatsanvändare för att få lagra och hantera cookies på användarens enhet. En förikryssad ruta, som användaren måste kryssa ur för att neka sitt samtycke, innebär inte ett aktivt samtycke. Det är bara absolut nödvändiga cookies som får hanteras utan att ett aktivt samtycke lämnats av användaren. Skälet för behandlingen av absolut nödvändiga cookies ska därför inte grundas på samtycke.
2. Spelar det någon roll vilken data en cookie innehåller?
Nej. Hanteringen av cookies är oberoende av vilken data en cookie innehåller. Domen motiverar det med att syftet med EU-lagstiftningen är att skydda den personliga integriteten och framförallt ge skydd mot risken att spårningsinformation och andra identifierare sparas på en användares enhet utan dess vetskap.
3. Behöver användaren få information om kakans varaktighet eller om data kommer delas med tredje part?
Ja. I domen går också att läsa att tjänsteleverantörer och webbplatsägare måste informera användarna om kakornas giltighetstid samt huruvida information kommer delas med tredjepart eller ej.
Domslutets innebörd för hur cookies ska hanteras
I maj 2020 släppte European Data Protection Board (EDPB) sina Guidelines 05/2020 on consent under Regulation 2016/679 för att tydliggöra vad ett giltigt samtycke är i relation till behandlingen av personuppgifter enligt GDPR.
EDPB skriver i sina guidelines att tidigare ”soft opt-ins” eller ”underförstådda samtycken” inte längre är förenliga med aktuella EU-direktiv och förordningar och tydliggör i det 33 sidor långa dokumentet:
- Förikryssade rutor får inte användas på cookiebanners.
- Cookiewalls (tvingande samtycke) utgör inte ett giltigt samtycke.
- Fortsatt surfande eller scrollande på en webbsida utgör inte ett giltigt samtycke.
I och med att cookies nu ska hanteras precis som övriga personuppgifter enligt definitionen i GDPR behöver alltså också samtycket samlas in i enlighet med Artikel 4(11) GDPR;
samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne
Undantaget från ovan avseende just cookies är som tidigare nämnt absolut nödvändiga cookies. Där får inte heller samtycke utgöra laglig grund för behandlingen.
5 saker du ska göra idag för att efterleva EU-lagstiftningen
För att uppnå efterlevnad av den nu gällande EU-lagstiftningen finns det en hel del saker att både tänka igenom och agera på. Listan nedan är inte uttömmande men ger en fingervisning av vad som krävs av dig som webbplatsägare. Bäst är såklart, som vi redan sagt, att ni går igenom er cookie-hantering med er egen jurist.
1. Få koll på era samtycken
Hanterar ni cookies som inte kan klassificeras som absolut nödvändiga gäller samtyckeshanteringen enligt definitionen i GDPR. Det finns givetvis redan en mängd olika tekniska lösningar på marknaden för denna typ av hantering, ni uppnår snabbast efterlevnad genom att använda en Consent Management Platform (CMP) som exempelvis Cookiebot.
2. Byt ut er cookiebanner
Har ni en liknande banner som nedan? Då är det läge att göra om och göra rätt. Den bryter nämligen mot flera delar i hur ni bör samla in samtycket för cookie-hanteringen.
För att lämna korrekt information (hur ni hanterar cookies, cookies giltighetstid samt huruvida ni delar information med tredjepart) bör ni istället ge besökaren information på detta sätt:
3. Ta bort er cookiewall
Ett populärt alternativ till den klassiska cookiebannern är att i stället använda en så kallad cookiewall för att på så sätt vara ”säker” på att samtycken lämnats av besökaren innan cookies hanteras. Tyvärr är detta inte heller förenligt med EU-lagstiftningen. Bland annat beror det på att samtycket inte kan klassificeras som frivilligt när användaren inte får något alternativ, här får du bara göra inställningar för hur cookies ska hanteras eller lämna webbplatsen.
4. Sätt endast absolut nödvändiga cookies innan samtycke inhämtats
Precis som när Sveriges Radio släppte sin uppmärksammande artikel om myndigheters felaktiga hantering av insamlade IP-adresser från besökare ser vi på samma sätt att över 90% av de webbplatser vi granskat sätter andra cookies än absolut nödvändiga innan någon samtycke har lämnats.
Tillhör din webbplats dessa bör du i stället se till att klassificera era cookies och använda tekniker som exempelvis GTM för att undvika att sätta några andra cookies än absolut nödvändiga innan användaren gett sitt samtycka för hanteringen av dessa.
5. Agera idag!
Under sommaren 2020 hörde nog de flesta om Shrems II och hur Privacy Shield fallit som mekanism för överföringen av personuppgifter från EU till USA. För två år sedan arbetade vi alla intensivt för att nå compliance med GDPR. Frågorna har sedan dalat i både ledningsgrupper och styrelserum (förutom inom branscher som helt fokuserar på just säkerhet och juridik).
Nu är det läge att återuppväcka frågorna på bred front. Tillsammans behöver vi rikta blicken mot cookie-hanteringen och hur den efterlever aktuell EU-lagstiftning. Vår uppfattningen är att det finns mängder av webbplatsägare som riskerar vite om de skulle granskas av IMY idag.
Så, stalltipset till dig som känner dig träffad av den här artikeln: tala med era jurister och teknikpartners om hur ni bäst implementerar en teknisk lösning som uppfyller aktuell EU-lagstiftning.
Vad säger du?
Det här är vår tolkning av ett ämne och ett domslut som det pratas förvånansvärt lite om i media idag. Vi är därför nyfikna på att höra dina tankar! Hur ser du på domslutet? Vilka effekter får det enligt dig ? Hör av dig, då lär vi oss tillsammans.