Cookie-lagen i fyra enkla punkter

Cookies (fotokredd: rhino neal på Flickr, licens cc-nc-nd)

Jag har fått uppdraget att skriva ett tjänsteutlåtande kring hanteringen av cookies hos min arbetsgivare, och komma med en rekommendation. Anledningen till att det nog inte är det mest glamorösa uppdraget under min kärriär beror på att det är väldigt få som gillar konsekvenserna av att följa cookie-lagen, det vill säga 6 kapitlet 18 § i Lagen om elektronisk kommunikation (2003:389, LEK) som den är en del av. Det man hör oftast är att folk beklagar sig över att de nog inte kan behålla Google Analytics, en tredjepartsfunktion som 81 % av Sveriges kommuner använde sig av i våras när jag kollade efter. Med tanke på att lagen i dess nuvarande form är drygt fyra år gammal är det nog dags att sluta tveka.

Jag brukar påpeka att även jag föredrar verktyg som Google Analytics, men när jag försöker utesluta mina egna behov ur ekvationen så framstår det hela i en annan dager.

Det som är på gång att klargöra det hela för oss alla är att Post- och Telestyrelsen ska komma med en vägledning till hur man lever upp till denna lag (som praktiskt taget alla webbplatser bryter mot idag). Lagens ursprung är ett EU-direktiv. Det finns mängder med material att läsa, men jag tänkte plocka ut den sammanfattning som gjorts på EU-nivå åt dig, så du inte behöver läsa på fullt så mycket.

Sammanfattning av cookie-lagens sannolika uttolkning

Under min research har jag funnit en ganska bra sammanfattning av hur man nog bör tolka lagstiftningen och dess intention, det vill säga det som är rimligt att vägledningen kommer att klargöra. Nedan fyra punkter är hämtat från ett utlåtande som Data Protection Working Party skrev 2013, det är också något som en jurist på PTS tipsat mig om att läsa i väntan på den vägledning de kommer släppa i framtiden.

1. Specific information.

To be valid, consent must be specific and based on appropriate information. In other words, blanket consent without specifying the exact purpose of the processing is not acceptable.

2.Timing.

As a general rule, consent has to be given before the processing starts.

3. Active choice.

Consent must be unambiguous. Therefore the procedure to seek and to give consent must leave no doubt as to the data subject’s intention. There are in principle no limits as to the form consent can take. However, for consent to be valid it should be an active indication of the user’s wishes. The minimum expression of an indication could be any kind of signal, sufficiently clear to be capable of indicating a data subject’s wishes, and to be understandable by the data controller (it could include a handwritten signature affixed at the bottom of a paper form, or an active behaviour from which consent can be reasonably concluded)

4.Freely given.

Consent can only be valid if the data subject is able to exercise a real choice, and there is no risk of deception, intimidation, coercion or significant negative consequences if he/she does not consent.

Det kommer nog finnas anledning att återkomma till detta ämne. För dig som letar vägledning att peka på tills vidare så kolla in halv-gamla webbriktlinje nr 20. Om du dessutom vill börja blockera innehåll som cookies eller annan form av “övervakning” så kolla in tipsen jag har i guiden om att skydda sig på webben, det är dit denna sajt länkar istället för den menlösa info-om-cookies som annars är rätt vanligt förekommande.

Överkurs och tillägg (2015-12-10)

Fick tips av Jari Koponen på Sundsvalls kommun att det också finns en utlåtande om vilka cookies man inte avser med lagen, nämligen:

  • used for the sole purpose of carrying out the transmission of a communication, and
  • strictly necessary in order for the provider of an information society service explicitly required by the user to provide that service.
  • user‑input cookies (session-id) such as first‑party cookies to keep track of the user’s input when filling online forms, shopping carts, etc., for the duration of a session or persistent cookies limited to a few hours in some cases
  • authentication cookies, to identify the user once he has logged in, for the duration of a session
  • user‑centric security cookies, used to detect authentication abuses, for a limited persistent duration
  • multimedia content player cookies, used to store technical data to play back video or audio content, for the duration of a session
  • load‑balancing cookies, for the duration of session
  • user‑interface customisation cookies such as language or font preferences, for the duration of a session (or slightly longer)
  • third‑party social plug‑in content‑sharing cookies, for logged‑in members of a social network.

Läs hela yttrandet i följande PDF från EU advisory board of data protection WP 29. Listan kan tyckas lång, men den är inte heltäckande. Exempelvis är jag inte trygg med var kampanjspårning och hur så kallad attribution görs, det landar mellan en authentication cookie och en helt vanlig tredjepartscookie från ett externt annonsnätverk. Finns säkert fler exempel.