Cookies och samtycke

EU-domstolen har i sitt avgörande C-673/17 tagit ställning till huruvida websidor kan använda sig av presumerat samtycke då de samlar in användarinformation om nätanvändare. Avgörandet klargör att nätanvändaren bör ge ett uttryckligt samtycke för att tillåta websidor samla upp personuppgifter om användaren. En färdigt ifylld ruta är inte tillräckligt.

Det är den Federala högsta domstolen i Tyskland som begärt ett förhandsavgörande avseende tolkningen av artikel 2 f och artikel 5.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation). Notera att domens personuppgiftsrättsliga reglering är direktivet 95/46/EG (personuppgiftsdirektivet), d.v.s. föregångaren till GDPR.

Det har varit frågan om användningen av sk. Kakor (’’Cookies’’) och ett presumerat samtycke från användaren till användningen av dessa Cookies. Enligt personuppgiftsdirektivet 7 artikel ska medlemsstaterna föreskriva att personuppgifter endast får behandlas om den registrerade otvetydigt lämnat sitt samtycke till det. Enligt skäl 17 till direktiv om integritet och elektronisk kommunikation bör det samtycke som avses i personuppgiftsdirektivet ges i lämplig form, frivilligt och uttryckligt, t.ex. genom att fylla i en ruta vid besök på en nätsida.

I ärendet var det frågan om en nätsida som ordnat ett lotteri. Den som önskade delta i lotteriet var tvungen att meddela sitt postnummer, varefter användaren omdirigerades till en ny sida där användaren skulle fylla i sitt namn och sin adress. Under namn- och adressuppgifterna fanns två rutor, där användaren genom att fylla i den ena tillät användning av Cookies för att utvärdera användarens surf- och användningsbeteende samt riktad reklam, den andra rutan innebar att användaren nekade till detta. Då användaren omdirigerades till denna sida, var rutan med tillstånd för Cookies på förhand ifylld. Användaren behövde alltså aktivt välja den andra rutan för att inte tillåta användningen av Cookies.

Enligt EU-domstolen innebär ett samtycke enligt artikel 7 a i personuppgiftsdirektivet, och därmed även direktivet om integritet och elektronisk kommunikation, att den registrerade ger sitt uttryckliga samtycke för behandling av personuppgifter. Endast ett aktivt val från användaren för att visa sitt samtycke uppfyller villkoret. Här är det skäl att notera att definitionen av samtycke i samband med Cookies är likadan oberoende om det är fråga om personuppgifter eller inte. Då nätsidan inte på ett tillförlitligt sätt kunde visa att användaren gett sitt uttryckliga samtycke för användning av Cookies, kunde hemsidan inte heller utnyttja användarens surf- och användningsbeteende för riktad reklam.

Avgörandet klargör rättsläget kring användningen av samtycke som rättsgrund för både behandling av personuppgifter och användaruppgifter på en nätsida. Det är inte är tillåtet med en sk. opt out lösning där användaren aktivt måste förbjudna behandlingen av sina användaruppgifter. För att klargöra rättsläget, i och med att avgörandet avser situationen före GDPR, har Domstolen särskilt angivit i avgörandet att tolkningen i domen C-673/17 även omfattar det som nu gäller enligt GDPR. Avgörandet är intressant med tanke på den stora mängd nätsidor som samlar upp användaruppgifter för att utnyttja dessa på olika sätt. Det kvarstår att se hur E-Privacy direktivet, vars tidtabell i skrivande stund är oklar, ytterligare kommer att klargöra rättsläget kring Cookies.

Innehavare av nätsidor bör således försäkra sig om att man har en rättsgrund för att använda sig av Cookies. Här är det bra att komma ihåg, att samtycke inte är den enda tillåtna rättsgrunden, utan man bör utvärdera eventuella alternativa rättsgrunder. När man utvärderar rättsgrunder för hantering av Cookies har man samtidigt ett ypperligt tillfälle att säkerställa att det föreligger nödvändiga och tillräckliga rättsgrunder för annan personuppgiftsbehandling.

Om du har frågor gällande avgörandet eller rättsgrunder för personuppgiftsbehandling i allmänhet, är du välkommen att kontakta DKCO.