12.08.19
uppdaterad den 10.11.20
Mario Steinberg
0 Kommentarer
cookie banner PULeprivacy

Kakbanner - men rätt! Dessa 7 saker du bör tänka på

Utseendet på cookie-banners har förändrats nyligen på många webbplatser. Tidigare gav endast ett litet popup-fönster en kortfattad indikation på att vissa ospecificerade "cookies" ställs in på webbplatsen. Under tiden får du ofta en lista över de enskilda cookies och ett val via kryssrutor, som accepteras eller inte. Varför är det så – och vad är det just nu?

Den här artikeln belyser cookiebanners mörker och förklarar hur du utformar cookiemeddelandet på din webbplats korrekt. Innan vi kommer till detaljerna är det dock nödvändigt att förstå när och varför du behöver en cookie-banner i första hand.

Cookies är information som lagras i webbplatsbesökarens terminalenhet (PC, smartphone, etc.). Å ena sidan är dessa nödvändiga för att presentera en webbplats korrekt alls ("tekniskt nödvändiga cookies"). Å andra sidan används de också för andra ändamål, till exempel för analys av webbplatsbesökares beteende, för reklamändamål eller för integration av sociala Plugins . (Obs: Termen "cookies" avser också liknande tekniker som att räkna pixlar etc.) 

Låt oss först titta på den nuvarande rättsliga situationen. PUL (Förordning (EU) 2016/679) den 25 maj 2018:

Om lagringen av cookies på webbplatsbesökarens terminalenhet inte utförs för att skydda webbplatsoperatörens eller en tredje parts legitima intressen, samtycke från webbplatsbesökaren i enlighet med artikel 10. PUL Krävs.

cookie banner PUL

Eftersom webbplatsoperatörens eller tredje partens legitima intressen måste vägas mot webbplatsbesökarens intressen eller grundläggande rättigheter och grundläggande friheter är det ofta oklart i enskilda fall vilka intressen som gäller.

Naturligtvis är ett legitimt intresse av att driva en webbplats alltid att webbplatsen visas korrekt. Cookies som är nödvändiga för detta ändamål omfattas därför alltid av webbplatsoperatörens legitima intresse. 

Det blir svårare när cookies ställs in för att analysera webbplatsbesökarens beteende eller för att utvärdera dem i reklamsyfte. I detta fall är det ofta inte möjligt att utesluta att webbplatsbesökarna skulle få en högre tyngd i händelse av en tvist mellan tillsynsmyndigheterna och/eller domstolarna.

Förutom de tekniskt nödvändiga cookies bör inställningen av cookies därför alltid baseras på webbplatsbesökarens samtycke. Detta samtycke erhålls traditionellt via en kryssruta.

Det bör inte döljas att denna rättsliga situation kan komma att förändras i och med ikraftträdandet av förordningen om integritet och elektronisk kommunikation. Eftersom förordningen om integritet och elektronisk kommunikation för närvarande fortfarande är under politisk diskussion kommer cookies & Co att fortsätta att tillämpa PUL – och således i förebyggande syfte att erhålla samtycke genom en kryssruta. Du hittar detaljerna i min artikel "E-integritetsförordningen: Vad väntar dig?" läs.

Att göra en cookie banner rätt är inte så svårt. Det enda viktiga är att ha några små saker i åtanke, som jag kommer att presentera för dig nedan.

#1 Rätt tid

Det är viktigt att cookiebannern visas omedelbart när webbplatsen nås och att inga cookies ställs in först och inga uppgifter skickas till tredje part (t.ex. via en social Plugin ) kan överföras.

#2 Rätt plats

Dessutom bör man se till att inget annat viktigt innehåll omfattas: cookiebannern placeras ofta i sidfotens område – och täcker länken till avtryck och/eller integritetspolicy.

#3 Frivillighet 

Det är också viktigt att det fortsatta besöket på webbplatsen inte görs beroende av att webbplatsbesökaren samtycker till inställningen av alla cookies. Även om endast samtycke ges för att ställa in de tekniskt nödvändiga cookies, måste besöket på webbplatsen fortfarande vara möjligt. Det är naturligtvis uppenbart att på grund av bristen på samtycke kanske vissa funktioner på webbplatsen inte fungerar korrekt.  

#4 fullständig lista över alla cookies

Cookie-bannern bör lista de enskilda cookies eller, om det finns för många, åtminstone de enskilda sammanhangen (tekniskt nödvändiga cookies, analyscookies, cookies för reklamändamål etc.); Vid behov bör dessa förklaras mer i detalj genom att klicka på dem i ett annat fönster och de enskilda cookies som anges där.    

#5 kryssrutor med opt-in

Samtycken på webbplatser erhålls rimligen med hjälp av kryssrutor.

Detta innebär att det finns en separat kryssruta i cookie-bannern per cookie eller per cookie-kontext. 

Det är viktigt att endast en bock kan placeras vid kryssrutan för de tekniskt nödvändiga kakorna – för alla andra måste kryssrutorna vara tomma. Genom att klicka på de återstående kryssrutorna kan webbplatsbesökaren nu själv bestämma vilka cookies eller sammanhang han accepterar eller inte.

Den rättsliga bakgrunden till detta är följande: 

Om samtycke erhålls med hjälp av en kryssruta finns det i princip två alternativ: opt-in eller opt-out. Skillnaden är att kryssrutan till en början är tom vid opt-in och webbplatsbesökaren måste aktivt ge sitt samtycke genom att kryssa i rutan eller markera. När du väljer bort är bocken redan inställd som standard – det vill säga samtycke har redan getts – och webbplatsbesökaren måste aktivt ta bort bocken genom att klicka på kryssrutan.

Många webbplatsoperatörer använder opt-out som standard. Förmodligen för att de vet att de flesta av deras besökare vill gå till webbplatsen snabbt och därför klicka på OK-knappen på cookie-bannern - utan att läsa bannertexten eller tänka på vad de ger sitt samtycke till.

Varför opt-outen inte räcker

Även om detta tillvägagångssätt är utbrett är det inte rättsligt korrekt. Samtycke kräver en aktiv åtgärd av webbplatsbesökaren. Juridiskt sett är därför endast opt-in lagligt felfri, det vill säga att webbplatsbesökaren aktivt ger sitt samtycke – till exempel för användning av ett analysverktyg som Google Analytics – genom att kryssa för bocken.

Det kan hävdas att opt-outen baseras på klicket på OK-knappen på cookie-bannern. Men det är så man kommer på tunn is. Enligt skäl 32 till PUL när det gäller samtycken (betoning mig):

infobox för rad

"Samtycke bör ges genom en tydlig bekräftelseakt som frivilligt, i det specifika fallet, på ett välgrundat sätt och otvetydigt uttrycker att den registrerade samtycker till behandlingen av personuppgifterna om honom eller henne, till exempel i form av en skriftlig förklaring, som också kan göras elektroniskt, eller en muntlig förklaring.

Detta kan till exempel göras genom att kryssa i en ruta närhan besöker en webbplats, genom att välja tekniska inställningar förinformationssamhällets tjänster eller genom någon annan förklaring eller praxis genom vilken den registrerade tydligt signalerar sitt samtycke till den avsedda behandlingen av sina personuppgifter i det relevanta sammanhanget.

Tystnad, rutor som redan kryssats i eller passivitet hos den registrerade bör därför inte utgöra samtycke. Samtycket bör avse all behandling som utförs för samma ändamål eller ändamål. Om behandlingen tjänar flera syften bör samtycke ges för alla dessa behandlingsändamål. Om den registrerade ombeds att ge sitt samtycke elektroniskt ska begäran göras i klar och koncis form och utan att på ett otillbörligt sätt avbryta den tjänst för vilken samtycke ges."

infobox för rad

#6 anpassning av integritetspolicyn

När du utformar din cookiebanner får du inte glömma att ändra din integritetspolicy. Detta innebär att detaljerna i de enskilda cookies som ställts in också måste förklaras i sekretesspolicyn. 

#7 särskilt problem socialt Plugins

Det finns ett särskilt problem med integrationen av sociala Plugins , eftersom inte bara cookies ställs in med dessa, utan också automatiskt personuppgifter om dina webbplatsbesökare skickas till motsvarande sociala nätverk etc.

Enligt en färsk dom från EG-domstolen av den 29 juli 2019 Webbplatsbesökarens personuppgifter får endast överföras till det sociala nätverket etc. efter det att motsvarande samtycke har getts. Därför måste man se till att de sociala Plugin blir endast aktiv om webbplatsbesökaren tidigare har gett sitt samtycke genom att markera kryssrutan i motsvarande kryssruta. (Även om denna dom fortfarande hänvisar till "dataskyddsdirektivet", dvs. PUL ; resultatet gäller även för PUL .)

Att designa en cookiebanner korrekt, dvs. lagligt kompatibel, är inte raketvetenskap. Och det är inte heller en nackdel för webbplatsoperatören. Eftersom besökarna på hans webbplats också bör behandlas rättvist. Och detta inkluderar också att först informera öppet om vad som händer när webbplatsen nås. Först då kan webbplatsbesökare fatta ett välinformerat beslut om huruvida och i så fall vilka uppgifter de vill lämna ut om sig själva. Precis som många webbplatsutvecklare och operatörer är ovilliga att spioneras på av tredje part, bör de också ge besökare på sin egen webbplats möjlighet att själva bestämma vilka data de vill avslöja eller inte.

Utvald bild: Emily Wilson | Ta inte snedstreck
Fler bilder: Rawpixel | pexels, Raidboxes

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Mario Steinberg

Mario Steinberg är advokat och specialistjurist för förvaltningsrätt på advokatbyrån LIEB. Advokater. Hans verksamhet fokuserar på dataskyddsrätt, IT-säkerhetsrätt och IT-rätt.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.