Ólöglegar kökur

Flestir sem fara um internetið kannast við fyrirbæri sem kallaðar eru vafrakökur. Kökur þessar gera eigendum vefsíðna kleift að fylgjast með hegðun okkar á vefsíðunni og afla þannig gagna sem nýtast í viðskiptum þeirra en þær geta líka nýst þriðju aðilum eins og samfélagsmiðlum.

Til einföldunar má skipta vafrakökum í tvo flokka, nauðsynlegar og ónauðsynlegar. Nauðsynlegar kökur muna t.d. eftir því hvað við setjum í körfuna í vefverslun en þær ónauðsynlegu safna t.d. gögnum um staðsetningu notenda og rekja ferðir þeirra um netið í þeim tilgangi að birta þeim viðeigandi auglýsingar.

Öflun upplýsinga með vafrakökum telst vera vinnsla persónuupplýsinga og er notkun þeirra einungis heimil á grundvelli samþykkis notenda. Þó með þeirri undantekningu að notkun nauðsynlegra vafrakaka er almennt heimil án samþykkis.

Hvað þarf að hafa í huga þegar notast á við vafrakökur?

Á árinu 2020 gaf franska Persónuverndarstofnunin út leiðbeiningar um notkun vafrakaka sem meðal annars eru byggðar á niðurstöðum Evrópudómstólsins í máli netverslunarfyrirtækis gegn neytendasamtökum í Þýskalandi, þar sem tekist var á um notkun á vafrakökum fyrir tilstilli „Like“ hnapps frá Facebook á vefsíðu fyrirtækisins. Hér verður stiklað á stóru um það sem fram kemur í leiðbeiningunum.

Eigandi vefsíðu sem ætlar að notast við vafrakökur þarf að upplýsa um það með áberandi hætti. Það þarf enn fremur að upplýsa m.a. um hvaða tegund kaka notast er við, tilganginn með þeim og hver ábyrgðaraðili vinnslunnar er. Venjan er að þetta sé gert með vafrakökuborða og vafrakökustefnu.

Eins og áður hefur komið fram þarf að afla samþykkis viðskiptavinar eða síðunotenda fyrir notkun ónauðsynlegra vafrakaka. Samþykki þetta verður að uppfylla skilyrði persónuverndarlaga sem þýðir að það þarf að vera upplýst og gefið af fúsum og frjálsum vilja. Þetta leiðir einnig til þess að ekki er hægt að byggja á ætluðu samþykki eða aðgerðarleysi notendans. Setningar eins og „… með því að nota vefinn samþykkir þú notkun á vafrakökum.“ eru því algerlega gagnslausar og teljast ekki lögmætur grundvöllur til notkunar á vafrakökum. Með öðrum orðum þá telst vinnsla persónuupplýsinga með vafrakökum, sem byggir á ætluðu samþykki, vera ólögleg.

Jafn mikilvægt og að afla samþykkis fyrir vafrakökum er að veita möguleikann á því að hafna þeim. Vafrakökuborði ætti því að vera útbúinn bæði með hnappi til að samþykkja og hnappi til að hafna kökum. Þá þarf að gera notendum auðvelt fyrir að draga samþykki sitt til baka hvenær sem þeir kjósa að gera svo.

Að lokum skal lögð áhersla á að gætt sé að því að engar vafrakökur myndist áður en samþykkis hefur verið aflað, því eins og áður sagði er slík notkun á vafrakökum ólögleg.

Hver er staðan á íslenskum vefsíðum?

Ef litið er til íslenskra vefsíðna og mið tekið af fyrrgreindum leiðbeiningum frönsku persónuverndarstofnunarinnar þá lítur út fyrir að meirihluti íslenskra fyrirtækja sem notast við vafrakökur á sínum vefsíðum geri það ekki samkvæmt lögum. Þannig er nokkuð algengt að sjá vefsíðueigendur notast við ætlað samþykki, eins og lýst er hér að ofan, og mjög algengt að ekki sé gefinn kostur á því að hafna vafrakökum. Ennfremur er nokkuð um það að notenda ekki sé tilkynnt um notkun á vafrakökum. Öll þessi atriði leiða að öllu jöfnu til þess að viðkomandi vefsíðueigandi telst ekki hafa heimild til að nota ónauðsynlegar vafrakökur.

Undirritaður hefur áður fjallað um það á þessum vettvangi hvað sé í húfi fyrir fyrirtæki og opinbera aðila ef ekki er farið að persónuverndarlögum. Rétt er því að hvetja eigendur vefsíðna til að ganga úr skugga um að vinnsla persónuupplýsinga með vafrakökum sé samkvæmt lögum. Að öðrum kosti getur sinnuleysi í þessum málum leitt til þess að viðkomandi teljist stunda ólöglega vinnslu persónuupplýsinga og það verður að teljast meiriháttar brot á persónuverndarlögum.

Höfundur er lögfræðingur og starfar sem persónuverndarráðgjafi.