Frá því að almenna persónuverndarreglugerðin (GDPR) tók gildi hefur þú sem rekstraraðili vefsíðu sem ekki er einkarekinn þurft að taka tillit til mikilvægra gagnaverndarþátta. Spurningin um hvernig eigi að takast á við smákökur var upphaflega umdeild. Með dómi sínum (1. október 2019) setti Evrópudómstóllinn (ECJ) sérstök ákvæði varðandi vafrakökur með tilliti til samþykkis fyrir vinnslu. Samþykki fyrir notkun á vafrakökum er einnig þekkt sem vafrakökusamþykki. Samþykkisstjórnunaraðilar (CMP) bjóða upp á einföldun í lagalega öruggri hönnun notkunar á vafrakökum. Háþróaðar kökulausnir virka sjálfkrafa og gera notendum kleift að leyfa gerð og umfang vafrakökunotkunar.
Dómur ECJ og kökurnar: lagaleg merking í hnotskurn
Forsaga dóms EB er lögfræðimálið Planet49 . Undir skráarnúmerinu: C-673/17 eru nú skýrari upplýsingar um hvernig samþykki fyrir notkun á vafrakökum skuli háttað. Í grundvallaratriðum verður gestur vefsíðu að hafa tækifæri til að samþykkja af fúsum og frjálsum vilja notkun vafrakökum. Samkvæmt dómi ECJ um vafrakökur er notkun og vinnsla á tilteknum vafrakökum aðeins leyfð eftir að samþykki hefur verið gefið. Þetta útilokar vafrakökur sem eru algjörlega nauðsynlegar til að reka vefsíðuna.
Í dómi EB um vafrakökur segir Evrópudómstóllinn að ePrivacy persónuverndarreglugerð krefst nú þegar skyldubundins samþykkis fyrir vafrakökur sem eru ekki algerlega nauðsynlegar (sjá 5. gr. 3. mgr. ePrivacy tilskipun). Í grundvallaratriðum er þessi yfirlýsing ECJ um vafrakökur þegar þekkt frá fyrri dómum.
Þess ber að geta að hinn þekkti 15. mgr. 3 laga um stafræna þjónustu DDG (áður Telemedia Act, TMG) er ekki að skilja sem innleiðingu á ePrivacy tilskipuninni. Sömuleiðis er hvorki möguleg túlkun á DDG í samræmi við leiðbeiningarnar né bein beiting ePrivacy . Þess vegna er notkun og söfnun á vafrakökum í grundvallaratriðum háð GDPR . Samkvæmt GDPR getur notkun byggst á lögmætum hagsmunum eða samþykki (sjá (Gr. 6. mgr. 1 lit. a GDPR). Þar sem þetta eitt og sér leiðir ekki til skyldubundinnar kröfu um samþykki, vísar EB-dómstóllinn til ePrivacy persónuverndartilskipunarinnar.
Dómur ECJ um vafrakökur og afleiðingar þeirra: Samþykki fyrir notkun
Virkt samþykki er í reynd bundið við ákveðnar kröfur vegna dóms EB-dómstólsins um vafrakökur. ECJ hefur gefið mikilvægar yfirlýsingar um vafrakökur með tilliti til skilvirkni samþykkis fyrir notkun þeirra. Þetta varða gömlu og nýju persónuverndarlögin samkvæmt GDPR.
Í grundvallaratriðum leiðir það af dómi ECJ um vafrakökur að samþykki fyrir notkun og vinnslu krefst virkrar hegðunar af hálfu notandans . Ef ekki er um virka hegðun að ræða er óljóst hvort notendur hafi nægilega þekkingu á aðstæðum. Það fylgir því nú þegar
áður merkt við gátreitinn fyrir vafrakökur getur ekki táknað virkt samþykki . Í skilningi raunverulegrar þátttöku verður gesturinn sjálfur að verða virkur og gefa samþykki sitt með því að smella svo hægt sé að safna og vinna smákökur í samræmi við úrskurð EB.
Ennfremur, að því er varðar vafrakökur, samkvæmt dómi ECJ, þarf samþykki almennt aðskilda og óforstillta smellivalkosti fyrir öll hugsanleg tilvik. Ekki er hægt að fá samþykki fyrir sérstökum tilvikum með hreinum sendingarhnappi.
Ennfremur þýðir dómur EB um vafrakökur að með hliðsjón af ePrivacy um e Tilskipunin hefur þannig eftirlitssvið sem nær jafnvel lengra en persónuverndarlög. Hins vegar benda lögfræðingar á að ePrivacy hafi ekki enn verið innleidd að fullu í Þýskalandi.
Sem afleiðing af dómi ECJ um vafrakökur ættir þú sem rekstraraðili vefsíðu einnig að veita nákvæmar upplýsingar um notkun vafrakökum. Þær upplýsingar sem krafist er í tengslum við vafrakökusamþykki fela meðal annars í sér vinnslutíma gagnanna. Sömuleiðis, vegna dóms ECJ um vafrakökur, verða upplýsingar um aðgang þriðja aðila að vafrakökum að miðla gestum til gesta. Þetta felur einnig í sér nákvæmar upplýsingar um viðtakendur gagnanna eða flokka viðtakenda. Í síðasta lagi frá dómi EB þarf gesturinn að vita hvaða auglýsendur eru að vinna úr gögnunum sem safnað er.
Mikilvægi og nauðsyn vafrasamþykkis fyrir vefstjóra
Næstum sérhver auglýsing vefsíða safnar gögnum. Þetta felur ekki aðeins í sér rekstrarlega nauðsynleg gögn, heldur í flestum tilfellum einnig gögn sem, samkvæmt vafrakökudómi ECJ, krefjast skýrs samþykkis gesta þinna. Jafnvel notkun á einföldustu greiningartækjum tengist söfnun fjölda gagna og gerð samsvarandi vafrakökum. Algengt dæmi er Google Analytics tólið. Þetta form gagnasöfnunar á sér einnig stað þegar einhver setur græju á samfélagsmiðla. Þess vegna treystir sérhver vefstjóri sem þjónar viðskiptavinum innan GDPR-svæðisins (ESB og víðar) á samþykkisstjórnun fyrir vafrakökur . Samkvæmt kökuúrskurði ECJ er lagalega samræmd rekstur vefsíðunnar aðeins mögulegur ef rétt meðhöndlun á vafrakökusamþykki er tryggð.
Vafrakökusamþykki í reynd: innleiðing sem opt-in
Dómur ECJ um smákökur hefur þegar skýr og áþreifanleg áhrif. Þetta leiðir til aðgerða fyrir vefstjóra. Þetta snertir gerð og hönnun vafrakökusamþykkis, þ.e. skýrt samþykki fyrir notkun þess. Upplýsingarnar sem á að miðla til notenda um notkun á vafrakökum hafa einnig áhrif.
Í þessu samhengi verður samþykki að vera hannað sem raunverulegt val í reynd . Þetta þýðir að virka aðgerð af hálfu notandans er nauðsynleg til að samþykkja. Í grundvallaratriðum, síðan 2009, hafa reglur ESB um gagnavernd gert ráð fyrir að gestir séu beðnir um samþykki þeirra. Í fortíðinni gátu rekstraraðilar vefsíðna hins vegar túlkað þessa kröfu í formi afþökkunar . Þetta þýðir að vafrakökur voru almennt settar án þess að notandinn þyrfti að gera neitt. Notandinn
gæti mótmælt notkun á vafrakökum, en varð að hafa frumkvæði að því. Þetta breytist með dómi ECJ um vafrakökur: umskiptin yfir í opt-in gerir ráð fyrir að vefsíðan setur almennt ekki vafrakökur nema notandinn velji þær. Þar af leiðandi er aðeins hægt að stilla vafrakökur ef gesturinn hefur gefið samþykki sitt. Samkvæmt því má ekki fá samþykki fyrir vafrakökum samkvæmt ECJ með því að haka í reit sem þegar hefur verið stilltur fyrirfram .
Því er ráðlegt fyrir fyrirtæki og rekstraraðila vefsíðna almennt að laga sig að dómi EB-dómstólsins um vafrakökur eins fljótt og auðið er og gera viðeigandi varúðarráðstafanir fyrir lagalega öruggt vefkökuefni. Samþykkisstjórnunarlausnir, sem bæði upplýsa notandann ítarlega um notkun á vafrakökum og einnig óska eftir skýlausu samþykki hans, auðvelda rekstraraðilum vefsíðna verulega.
Vafrakökusamþykkislausnir: staðlar og virkni
Það er rammi fyrir samþykki fyrir uppsetningu og vinnslu á vafrakökum sem þróaður var af IAB Europe (Interactive Advertising Bureau): það er gagnsæis- og samþykkisrammi (TCF) , sem hefur fest sig í sessi sem Standard fyrir vafrakökusamþykki hefur. Markmiðið með þróun þessa ramma er að ná fram alhliða stöðlun í samþykkismálinu . Fyrsta afbrigði rammans var kynnt í apríl 2018. Núverandi útgáfa TCF 2.0 fylgdi í maí 2020. Sérstaklega með hliðsjón af fótsporadómi ECJ skiptir ramminn miklu máli þar sem hann auðveldar að afla nauðsynlegs samþykkis. Nánar tiltekið er krafa IAB að skilja nákvæmlega upplýsingarnar um samþykki notanda fyrir vinnslu vafraköku. Þetta hefur áhrif á alla afhendingarkeðju notkunar á kökum. Í flestum tilfellum taka margir þjónustuveitendur þátt í að búa til margar vafrakökur. Þetta tengjast aðallega auglýsingaborðum og öðrum markaðsaðgerðum. Allir aðilar sem taka þátt í þessu ferli eru háðir upplýsingum um hvort samþykki hafi verið gefið fyrir vinnslu vafraköku eða ekki.
Annars vegar, sem hluti af samþykkisstjórnun fyrir vafrakökur sem byggir á IAB ramma, er ákvarðað hvort notandi hafi yfirhöfuð gefið samþykki sitt fyrir notkun á vafrakökum. Í öðru skrefi tilgreinir samþykkisstjóri hvaða tiltekna samþykki notandinn hefur gefið á samþykkisborðanum. Gestir hafa möguleika á að samþykkja eða hafna mismunandi notkunar- og vinnslutilgangi fyrir vafrakökur. Byggt á samþykkisskipulaginu býr samþykkisstjóri fyrir vafraköku til svokallaðan samþykkisstreng, sem aftur verður til í vafraköku. Á grundvelli þessa samþykkisstrengs hafa aðrir aðilar (t.d. aðrir samþykkisstjórnunaraðilar) einnig leið til að komast að samþykki gesta.
CMP: Samþykkisstjórnunarlausnir fyrir vefsíður og ávinningur þeirra
Kostir þess að nota góðan samþykkisstjóra eru fjölmargir fyrir rekstraraðila vefsíðna. Þannig er hægt að tryggja lagalega örugga hönnun samþykkis fyrir vafrakökum samkvæmt ECJ. Sérhver góð vefsíða miðar að því að veita bestu mögulegu notendaupplifun. Þarfir gesta ættu að vera fullnægt þannig að þeir haldist á síðunni. Mikilvægustu þættir langrar varðveislu eru meðal annars hátt samþykkishlutfall og lágt hopphlutfall. Góður veitandi samþykkisstjórnunar stuðlar að því að lágmarka hopphlutfallið og auka þannig samþykkishlutfallið. Það stuðlar þannig að góðri frammistöðu vefsíðunnar. Aðeins er hægt að vinna viðskiptavini og halda þeim varanlega á vefsíðu ef hopphlutfallið á vefsíðunni er lágt.
Með vel ígrunduðu samþykkisstjórnunarlausn tryggir þú ekki aðeins að farið sé að kröfum ECJ-kökuúrskurðar, heldur hefur þú einnig rauntíma yfirsýn yfir núverandi samþykki og hopphlutfall. Hægt er að skilja hegðun vefgesta, viðskiptavina og hugsanlegra viðskiptavina. Af þessu má draga ályktanir um mögulega úrbótamöguleika.
Alþjóðleg stefnumörkun samþykkisborðans er sjálfsögð með nútímalegum samþykkislausnum fyrir kökur. Sprettiglugginn birtist sjálfkrafa á viðkomandi tungumáli GDPR-lands sem gestir fá aðgang að vefsíðunni þinni frá. Samþykkisstjórnandi birtir upplýsingarnar á samtals 29 tungumálum. Ennfremur býður CMP upp á móttækilega aðlögun að lokatækinu sem gestir nota. Vafrakökusamþykkislausnin bregst við þáttum eins og skjástærð og stýrikerfi (t.d. iOS eða Android) og sýnir gestum bjartsýni.
Niðurstaða
Dómur EB-dómstólsins hefur án efa flækt gagnavernd fyrir rekstraraðila vefsíðna. Auk tæknilegra spurninga þarf að taka tillit til hönnunarþátta og umfram allt lagalegrar víddar gagnsærrar gagnavinnslu við hönnun á lagalega samræmdum kökuborða. Það sem rekstraraðilar vefsíðna gefa til kynna að þeir séu vænlegir leiðbeiningar og forskriftir þjónar notendum að lokum sem hagsmunaaðila og viðskiptavini. Í þessum skilningi ættu söluaðilar, útgefendur eða stofnanir á netinu að líta á úrskurð ECJ sem hvatningu. Gestir vefsíðunnar vita meira og meira um umfang gagnaflutnings og krefjast hámarks skýrleika og gagnsæis í stjórnun vefköku. Frá þessu sjónarhorni geta rekstraraðilar vefsíðna aðeins notið góðs af snjöllu samþykkisstjórnunarkerfi í sambandi við viðskiptavini – með auknu trausti í tengslum við skýra notagildi.