Cookie-samtycke måste vara ett aktivt val (5 krav från CJEU)

Cookie-samtycke
Cookie samtycke måste vara aktiv EG-domstolen stater i nya styrande Planet49. Foto: Austin Distel.

I en ny dom i målet Planet49 av EU-domstolen (CJEU) anges att internetanvändare aktivt måste ge sitt samtycke till lagring av cookies och liknande teknik. Detta sätter stopp för användningen av opt-out och mjuka opt-in-mekanismer för cookies enligt GDPR och ePrivacy-direktivet.

Lästid: 2 min

5 krav för ett giltigt medgivande av cookies (enligt CJEU)

  1. Aktivt beteende med avsikt att ge samtycke krävs (det krävs i meddelanden om att det inte räcker med att fortsätta surfa eller rulla är tillräckligt)
  2. Bekräftelse rutor kan inte pre-kryssade (pre-kryssade rutor är inte en giltig form av samtycke)
  3. Ändamål får inte buntas ihop
  4. Information om förfallodatum för cookies måste lämnas ut
  5. Information om eventuella tredje parter som kan ha tillgång till dessa cookies måste lämnas ut.

Kraven gäller för cookies oavsett om personuppgifter nås eller inte.

Bakgrund

Den 1 oktober 2019 offentliggjorde Europeiska unionens domstol sin dom i ärendet Planet49 om hur man ger sitt samtycke till cookies och liknande teknik på nätet. Målet hänsköts av en tysk domstol och gällde ett online-lotteri.

Planet49 hade organiserat ett pr-lotteri där en internetanvändare var tvungen att klicka eller rensa två kryssrutor innan de deltog. En av kryssrutorna krävde att användaren skulle acceptera att bli kontaktad av en rad företag för kampanjerbjudanden. Den andra kryssrutan krävde att användaren samtyckte till att cookies installerades på sin dator och innehöll en förvald kryssruta. Deltagande i lotteriet var möjligt endast om åtminstone den första kryssrutan var förkryssad.

Kravet på ett aktivt cookie-samtycke

Domstolen sade att kravet på en “indikation” på den registrerades önskemål pekar tydligt på aktiva, snarare än passiva, beteende. En förvald fästing i en kryssruta innebär inte aktiv Beteende. Ett antaget eller underförstått samtycke uppfyller inte kravet på en samtycke till att vara “entydig”.

Domstolen angav “Endast ett aktivt beteende från den registrerades sida i syfte att ge sitt samtycke kan uppfylla detta krav” (punkt 54 i domen).

Det var inte möjligt att objektivt avgöra om en webbplatsanvändare faktiskt hade gett sitt samtycke genom att inte välja bort, inte heller om detta samtycke hade informerats. Således måste en användare aktivt ge samtycke till laglig delbetalning av cookies. Dessa krav gäller för behandling och lagring av all information, inte bara enskilda personers personuppgifter.

Information till internetanvändaren

Domstolen diskuterade också vilken information en webbplatsägare måste ge när det gäller spårning cookies. EU-domstolen fastställde att en användare lätt måste kunna se konsekvenserna av ett eventuellt samtycke som han eller hon kan ge och se till att det samtycke som ges är välinformerat. Därför bör informationen innehålla detaljer om varaktigheten av handhavandet av cookies och huruvida tredje part kan ha tillgång till dessa cookies eller inte.

Det rekommenderas att webbplatsägare ser över sin cookie-samtyckesmekanism och cookiepolicy för att se till att den är i linje med denna tydliga vägledning från EU:s högsta domstol.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here