Vafrakökusamþykki fyrir Sviss

Í Sviss hafa nýju persónuverndarlögin (DSG) verið í gildi síðan 25. september 2020. Því fylgja margar nýjungar. Hér er stutt brot af því sem er mikilvægt fyrir vefsíður.

Þarf vefsíða að hafa samþykkislag/kökuborða?

Vafrakökur eru skilgreindar í svissneskum lögum í grein 45c lit. b svissneskra fjarskiptalaga (TCA). Samkvæmt þessari reglugerð verða rekstraraðilar vefsíðna í Sviss að upplýsa notendur vefsíðna um notkun á vafrakökum og tilgang þeirra og tilkynna notendum vefsíðunnar að þeir geti hafnað þessari vinnslu. gr.45c lit. b FMG gerir engar sérstakar formkröfur um upplýsingaskylduna og því er samkvæmt kenningunni yfirleitt hægt að uppfylla upplýsingaskylduna með því að fylgja tilvísun í vafrakökur, t.d. í persónuverndaryfirlýsingu.

Óháð þessari lagalegu stöðu er enn mælt með notkun samþykkislags/kökuborða af hálfu rekstraraðila vefsíðna í Sviss af eftirfarandi ástæðum:

  • Svissneska gagnaverndaryfirvöld, Federal Data Protection and Information Commissioner (FDPIC), er þeirrar skoðunar að, að minnsta kosti þegar verið er að afla sérlega viðkvæmra persónuupplýsinga eða persónusniða með því að nota vafrakökur, verði viðkomandi notendur vefsíðunnar að vera sérstaklega beðnir um fyrirfram þegar þeir heimsækja vefsíðu hvort þú samþykkir þessa vinnslu. Þetta álit FDPIC er ekki lagalega bindandi; notkun samþykkislags/kökuborða gæti engu að síður lágmarkað lagalega áhættu.
  • Svissneskar vefsíður sem eru ekki eingöngu ætlaðar notendum í Sviss heldur einnig innan ESB og sem sérstaklega Fólk innan ESB sem býður vörur eða þjónustu verður að virða (strangri) ESB staðla um notkun á vafrakökum hvort sem er.

Hvaða lágmarksupplýsingar þarf að gefa?

Eins og útskýrt er hér að ofan er kexlag ekki nauðsynlegt samkvæmt svissneskum lögum, en ráðlegt. Ætla má að í vefkökulaginu sjálfu ætti að nægja stutt tilvísun í notkun vafrakaka og tilvísun í frekari upplýsingar í persónuverndaryfirlýsingu.

Í samræmi við kröfur 45. gr.c lit. b FMG notendur vefsíðunnar (i) að upplýsa um notkun vafrakaka og tilgang þeirra og (ii) gefa til kynna að þeir geti afþakkað viðkomandi vinnslu.

Hvernig skyldu til að tilgreina synjunarmöguleika er hægt að uppfylla fer eftir tegund og umhverfi viðkomandi gagnavinnslu. Í algengustu tilviki vinnslu með vafrakökum á vefsíðu nægir að benda notendum vefsíðunnar á að þeir geti stillt vinnslu vafrakaka sinna með því að stilla forritið í samræmi við það, sem ætti að lýsa í stuttu máli almennt. skilmála. Þetta á einnig við um þá tækni sem notuð er við gagnavinnslu; notendur ættu að geta í grófum dráttum skilið hvað er að gerast. Að svo miklu leyti sem notkun á vafrakökum er skylda fyrir notkun tilboðs eða hluta af tilboði (vegna þess að tilboðið myndi ella ekki lengur virka sem skyldi) ætti að nægja að upplýsa notandann og benda á að hann geti eingöngu notað vefsíðuna (með fullri virkni) ef það leyfir vafrakökur. Í þessu tilviki geturðu neitað að nota vefsíðuna yfir höfuð eða með takmarkaðri virkni.

Er þörf á opt-in, opt-out eða er það eingöngu upplýsingaskylda?

gr.45c lit. b FMG býður almennt upp á undanþágulausn. Hins vegar, af sömu ástæðum og í svarinu við fyrstu spurningunni hér að ofan, er samt sem áður mælt með því að nota opt-in lausn.