Valikko

Biträdande dataombudsmannen beordrade företaget att ändra sättet det ber om samtycke för att använda kakor

15.5.2020 13.49 | Publicerad på svenska 19.5.2020 kl. 13.51
Pressmeddelande

Biträdande dataombudsmannen har beordrat företaget att ändra sättet det ber om användarens samtycke för att använda kakor. Personen som anförde klagan till dataombudsmannens byrå ansåg att det i praktiken inte fanns en möjlighet att förbjuda kakor. Företaget använde kakor på sin webbplats för bland annat att rikta marknadsföring.

Företaget som var föremål för klagan berättade att de med hjälp av kakorna samlar in uppgifter för företaget själv och tredje parter om till exempel användning av tjänster och användarnas IP-adresser. Företaget berättade att kakorna används för bland annat att personifiera tjänster och rikta marknadsföring.

En kaka är en liten textfil som lagras på användarens enhet när användaren besöker en webbplats. Kakorna kan utnyttjas för till exempel att säkra den tekniska funktionen av en webbplats samt för att rikta marknadsföring. 

Företaget meddelade om användning av kakor på sin webbplats genom en meddelanderuta, en så kallad cookie-banner. I meddelandet stod det att användaren accepterar kakorna genom att fortsätta använda webbplatsen. Om användaren valde knappen Mer information i stället för OK, kunde användaren läsa den personuppgiftsansvarigas dataskyddsbeskrivning. Beskrivningen anger att användaren kan förbjuda användning av kakor genom att ändra inställningar i webbläsaren. Ytterligare står det i dataskyddsbeskrivningen att användaren kan förbjuda kakor som den personuppgiftsansvarigas partners lagrar och använder separat på varje partners webbplats.

I sitt beslut ansåg biträdande dataombudsmannen att sättet som den personuppgiftsansvariga hämtar samtycke för kakor inte kan anses iaktta EU:s allmänna dataskyddsförordning. Att ge samtycke genom bannern kunde inte anses uppfylla kriteriet för frivilligt samtycke och det var inte lika enkelt att vägra eller återkalla samtycke som det var att ge samtycke. Det faktum att användaren informerades om möjligheten att förbjuda lagring och användning av kakor genom webbläsarens inställningar kunde inte anses vara en sådan aktiv och uttrycklig viljeyttring som är förutsättning för ett giltigt samtycke. Biträdande dataombudsmannen ansåg att ett samtycke i enlighet med dataskyddsförordningen inte kan ges utan att användaren ändrar inställningar i sin webbläsare.

För att ett samtycke ska uppfylla kriterierna i den allmänna dataskyddsförordningen ska användaren ha en möjlighet att välja att acceptera eller avvisa de angivna villkoren. Samtycket kan ges på många olika sätt så länge det tydligt framgår att den registrerade accepterar förslaget om behandling av användarens personuppgifter. Ett giltigt samtycke kan inte ges genom att tiga, med rutor som är färdigt ikryssade eller genom att låta bli att göra någonting. Det ska vara lika lätt att vägra eller återkalla ett samtyckte som att ge det.

Biträdande dataombudsmannen gav den personuppgiftsansvariga ett åläggande att ändra sitt förfarande för inhämtande av samtycke i enlighet med EU:s allmänna dataskyddsförordning. Ändring i biträdande dataombudsmannens beslut kan sökas genom besvär hos förvaltningsdomstolen, vilket innebär att beslutet ännu inte vunnit laga kraft.

Samtycket måste uppfylla kraven i EU:s allmänna dataskyddsförordning

Europeiska unionens domstol förtydligade i oktober 2019 i sin Planet49-dom att bestämmelserna om förutsättningar för samtycke i dataskyddsdirektivet om elektronisk kommunikation och den allmänna dataskyddsförordningen ska läsas ihop.  Enligt dataskyddsdirektivet om elektronisk kommunikation kan lagring av information på användarens terminalutrustning tillåtas endast om användaren har givit sitt samtycke för lagring av information. Detta förhindrar inte teknisk lagring eller användning av kakor när det är nödvändigt för att tillhandahålla en tjänst. Men samtycke krävs för användning av sådana kakor som utnyttjas för till exempel att rikta marknadsföring.

Kravet om samtycke i dataskyddsdirektivet om elektronisk kommunikation har trätt i kraft i Finland genom att utfärda bestämmelser om detta i lagen om tjänster inom elektronisk kommunikation som övervakas av Transport- och kommunikationsverket Traficom. Bestämmelserna om samtycke i den allmänna dataskyddsförordningen ger inte nationellt spelrum, dvs. de tillämpas direkt som sådan i EU-länder. Dataombudsmannen övervakar dataskyddsförordningen i Finland.

Det finns tiotals motsvarande anhängiga ärenden hos dataombudsmannens byrå som nu kommer att avgöras i enlighet med detta beslut.

Europeiska dataskyddsstyrelsen publicerade en uppdaterad anvisning om samtycke som grund för behandling av personuppgifter

Europeiska dataskyddsstyrelsen godkände en uppdaterad version av anvisningen om samtycke den 4 maj. Anvisningen förblev i stort sett oförändrad men den gav nya exempel för att förtydliga frågor om kakor och sätt att hämta samtycke från den registrerade. Anvisningen följer beslutet som biträdande dataombudsmannen utfärdat.

Europeiska dataskyddsstyrelsen svarar för harmoniserad tillämpning av EU:s allmänna dataskyddsförordning inom Europeiska unionen. Dataombudsmannen representerar Finland i dataskyddsstyrelsen.

Biträdande dataombudsmannens beslut om samtycke för kakor i Finlex (på finska)

Europeiska dataskyddsstyrelsens anvisning: Guidelines 5/2020 on consent under Regulation 2016/679 (på engelska på Europeiska dataskyddsstyrelsens webbplats)

Mer information:
biträdande dataombudsman Anu Talus, anu.talus(at)om.fi