Bækur

Eru allir að klúðra kökunum?

Sjálfsagt eru margir orðnir þreyttir á því að geta ekki farið inn á vefsíðu án þess að þurfa koma einhverjum sprettigluggum í burtu með því klikka á x-merkta reiti, ýta á samþykkja o.s.frv., allt út af vefkökum (e. cookies). En hvers vegna er þetta orðið svona áberandi núna? Svarið liggur í nýju persónuverndarlögunum og þeim kröfum sem lögin leggja á rekendum vefsíðna, en í samræmi við það sem rakið verður á eftir má velta því fyrir sér hvaða skilning þeir sem reka vefsíður hafi á sínum skyldum. Þá koma fjarskiptalögin einnig til skoðunar þegar verið er að meta hverjar skyldur þeirra sem reka vefsíður eru í hverju tilviki fyrir sig.

En hvað eru vefkökur? Vefkökur eru í raun litlar textaskrár eða gagnapakkar sem eru vistaðar á tölvu (eða öðrum snjalltækjum) þeirra sem heimsækja viðkomandi síðu á netinu. Vefkökurnar eru sendar af vefþjóni til vafra notandans (t.d. Internet Explorer eða Google Chrome). Í hvert skipti sem sami vafri biður sama vefþjón um viðkomandi síðu er vefkakan send með og les þá vefþjóninn þær upplýsingar sem kakan hefur að geyma. Almennt eru vefkökur notaðar til að geyma upplýsingar um fyrri aðgerðir notenda. Vefkökur eru að mörgu leyti gagnlegar notendum og stundum nauðsynlegar fyrir tiltekna virkni. Þær gera t.d. vefþjónum kleyft að vita hvort notandi hefur skráð sig inn og halda þeirri innskráning á milli undirsíðna. Okkur þætti það sjálfsagt afar pirrandi ef við þyrftum alltaf að skrá okkur aftur og aftur inn í heimabankann okkar, eftir því sem við færðumst á milli undirsíðna. Önnur tegund af kökum er notaðar í auglýsingatilgangi.

Vefkökur er hægt að flokka á mismunandi hátt. Til dæmis er hægt að flokka þær í eftir því hve lengi þær lifa. Í öðru lagi eftir því hvaðan þær stafa, sem sagt frá þeim sem rekur vefsíðuna eða samstarfsaðila hans. Facebook like-takki á síðu fjölmiðils felur t.d. í sér vefköku frá Facebook, ekki þeim sem rekur fjölmiðlasíðuna. Það að like-takkinn sé á mörgum mismunandi síðum gerir Facebook kleyft að fylgjast með hegðun á fleiri en einni síðu og þar með að safna ítarlegri upplýsingum um hvað notandinn er að skoða á netinu. Í þriðja lagi er hægt að flokka vefkökur eftir notagildi. Síðastnefndi flokkurinn er sá mikilvægasti, að minnsta kosti þegar verið er að tala um vefkökur í samhengi við persónuverndarlögin.  Með notagildi er þá átt við hvaða upplýsingum sé safnað og í hvaða tilgangi. Umfjöllunin hér miðar eftirleiðis við flokkun eftir notagildi.

Notagildi vefköku

Þegar horft er til notagildis vefköku skiptir máli hvort hún er nauðsynleg eða ekki. Vefkakan getur þannig verið nauðsynleg svo síðan geti sinn grundvallar starfsemi sinni sbr. dæmið hér að ofan um heimabankann, eða veitt þá þjónustu sem notandinn hefur óskað sérstaklega eftir, eins og t.d. „flash“ vefkökur sem eru nauðsynlegar svo hægt sé að spila myndbönd og hljóðupptökur. Flokkun eftir notagildi getur einnig vísað í framkvæmda vefkökur. Það eru þá allar kökur sem snúa að virkni síðunnar, en eru ekki nauðsynlegar, t.d. vefkökur fyrir tungumálastillingar. Þá eru til tölfræðikökur, en slíkar kökur eru margbreytilegar. Það er oft svo að slíkar kökur eru ekki að senda persónuupplýsingar í skilningi persónuverndarlaganna, því upplýsingarnar eru ekki alltaf rekjanlegar til ákveðins einstaklings. Þær eru oft notaðar til að bæta hraða og greina ferla við notkun. Auglýsingakökur eru þær kökur sem oft er verið að vísa til þegar verið er að ræða  persónusniðnar auglýsingar.

Lagaumhverfið

Hvað lagaumhverfið áhrærir þá er rétt að nefna fyrst hversu vítt hugtakið persónuupplýsingar eru. Undir hugtakið falla þannig allar upplýsingar sem hægt er að rekja til tiltekins einstaklings. Í skilgreiningu persónuverndarlaganna er sérstaklega tekið fram að einstaklingur teljist persónugreinanlegur ef hægt er að persónugreina hann með tilvísun í netauðkenni. Í athugasemdum með frumvarpi því er varð að persónuverndarlögunum er vísað í formálagrein 30 í persónuverndarreglugerðinni til nánari skýringar, en þar er sérstaklega tekið fram að undir netauðkenni falli t.a.m. IP-tölur og smygildaauðkenni eða vefkökur. Í formálagreininni er jafnframt tekið fram að vefkökurnar geti skilið eftir spor sem hægt sé að nota til að útbúa persónusnið um einstaklinga og bera kennsl á þá, einkum þegar sporum er bætt við önnur auðkenni. Af þessu er ljóst að vefkökur geta safnað upplýsingum sem falla undir skilgreiningu persónuverndarlaga á persónuupplýsingum. Hafa verður líka í huga að jafnvel þó sumar vefkökur safni ekki persónuupplýsingum þá er notkun þeirra háð fjarskiptalögum, enda er gildissvið þeirra ekki takmarkað við vefkökur sem safna persónuupplýsingum.

Fjarskiptalögin

Í fjarskiptalögunum er þannig fjallað um vefkökur í 5. mgr. 47. gr. laganna þar sem vísað er til þess að notkun njósnahugbúnaðar, vefhlerunarbúnaðar eða annars slíks búnaðar, sem komið er fyrir í endabúnaði notanda, til þess að fá aðgang að upplýsingum, safna földum upplýsingum eða fylgjast með athöfnum hans, sé einungis heimil í lögmætum tilgangi og með vitun hluteigandi notanda. Þá er tekið fram að notanda sé rétt að hafna notkun slíks búnaðar. Í lögskýringargögnum er vísað til þess að fyrirmyndina að ákvæðinu sé að finna í 5. gr. svonefndrar e-Privacy tilskipunar Evrópusambandsins. Í formálagrein með þeirri tilskipun er skýrt að tilvísun í annan búnað felur m.a. í sér tilvísun í vefkökur. Sú afstaða sem birtist í þessari ráðstöfun löggjafans hvílir á því að jafnvel þær vefkökur sem geyma engar persónuupplýsingar þá er um að ræða upplýsingar sem geymdar eru á endabúnaði notanda. Sá búnaður er í eðli sínu hluti af persónulegu svæði notanda og það kallar á verndina.

En hvað felst í því að notkun á vefköku þurfi að uppfylla skilyrði fjarskiptalaga? Notkunin verður í fyrsta lagi að vera í lögmætum tilgangi. Hvað telst lögmætur tilgangur er ekki skilgreint í athugasemdum með frumvarpi til fjarskiptalaga en í áðurnefndri e-Privacy tilskipun eru tekin dæmi um slíkan lögmætan tilgang. Þar segir t.a.m. að lögmætt og nytsamlegt geti verið að nota vefkökur til að greina skilvirkni vefseturshönnunar og auglýsinga og við að sannprófa kenni notenda sem eiga beintengd viðskipti. Þá er notkun í því skyni að auðvelda að veita þjónustu í upplýsingasamfélaginu jafnframt talin upp í dæmaskyni. Í öðru lagi þarf notkunin að vera með vitund hluteigandi notanda. Sprettigluggi er góð leið til að verkja athygli notanda á notkun á vefkökum. Og í þriðja lagi þurfa notendur að hafa rétt til að hafna notkun slíks búnaðar.

Söfnun persónuupplýsinga

Vefkökur sem safna persónuupplýsingum þurfa auk þess að uppfylla skilyrði persónuverndarlaga og kemur þar fyrst og fremst til skoðunar grundvöllur vinnslunnar, s.s. á hvaða heimild hún byggir, og svo hvaða fræðslu þarf að inna af hendi. Hvað varðar heimild þá kemur einkum til greina að byggja á samþykki notanda og hins vegar að að byggja á lögmætum hagsmunum. Persónuverndarlögin gera hins vegar ekki kröfu um samþykki. Ef hægt er að færa rök fyrir því að ábyrgðaraðili hafi lögmæta hagsmuni af því að nota vefkökurnar, og að þeir hagsmunir vegi þyngra en hagsmunir notenda, þá er hægt að byggja notkunina á þeirri heimild. Og þá komum við aftur að notagildinu.

Þær kökur sem eru nauðsynlegar þannig að vefsíðan virki væru dæmi um vefkökur sem geta byggt á lögmætum hagsmunum ábyrgðaraðila. Það þyrfti þannig ekki samþykki fyrir þeim. Annað dæmi væru kökur sem notaðar eru til þess að þekkja notanda við innskráningu á „mínar síður“.  Í tengslum við aðrar kökur er ekki hægt að færa rök fyrir því að ábyrgðaraðili hafi slíka hagsmuni af þeim að þeir vegi þyngra en hagsmuni notenda. Dæmi um það væru auglýsingakökur. Slíkar kökur verða að byggja á samþykki. Persónuverndarlögin gera töluverðar kröfur til samþykkis og ef vefkökur byggja á samþykki þá þarf að hafa þessar kröfur í huga þegar verið er að útbúa vefköku-samþykkisborða.

Þannig gildir að svo samþykki sé gild fyrir vinnslu þarf það að vera óþvingað.  Borðar sem veita notendum ekki valmöguleikann að samþykkja eða hafna – heldur poppa upp og eru fyrir notandanum þar til hann ýtir á samþykki er þannig ekki fullnægjandi. Samþykki þarf líka að vera sértækt og upplýst og það þarf þannig að vera skýrt af samþykkisborðanum hvaða vefkökur viðkomandi er að samþykkja og hvernig kökurnar eru notaðar. Eitt samþykki fyrir mörgum mismunandi vefkökum, sem notaðar eru í mismunandi tilgangi, væri þannig ekki heldur fullgilt samþykki ef notandinn hefur ekki möguleika á að samþykkja sumar og hafna öðrum.

Hin ótvíræða viljayfirlýsing

Ef ábyrgðaraðili ætlar að byggja vinnslu persónuupplýsinga á samþykki þarf hann jafnframt að geta sýnt fram á að samþykki hafi verið aflað og samþykkið verður að fela í sér ótvíræða viljayfirlýsingu notanda. Notandinn verður því að grípa til einhverja aðgerða, s.s. tikka í box eða smella á link sem ábyrgðaraðili getur loggað. Fyrirframhökuð box er þannig ekki fullnægjandi og að þá er varhugavert að líta svo að samþykki sé veitt með einhverjum aðgerðum. Þá er auðvitað mikilvægt að samþykki sé fengið áður en vinnsla hefst, þannig að ef notkun á vefkökum byggir á samþykki er mikilvægt að slökkt sé á kökunum þar til samþykkið er veitt. Auk þess þarf að vera jafn auðvelt að afturkalla samþykki eins og það var að veita það. Það má því setja spurningarmerki við að notendur þurfi að fara langar leiðir til að breyta vafrastillingum til að hafna notkun á kökum.

Að síðustu er rétt að nefna þá fræðslu sem þarf að inna af hendi. Samkvæmt leiðbeiningum sem stafa frá svonefndum 29. gr. starfshópi Evrópusambandsins þarf að birta á vefsíðum, sem notast við vefkökur, skýra, tæmandi og sýnilega stefnu um notkun á vefkökum. Í leiðbeiningunum er lagt til að í vefköku-borða komi fram í hvaða tilgangi notast er við kökur á síðunni en svo sé hægt að birta tengil á frekari upplýsingar þar sem m.a. ætti að koma fram hvaða kökur er notast við, í hvaða tilgangi hver kaka er notuð, hvort notast sé við kökur frá þriðju aðilum og/eða hvort þriðju aðilar fá aðgang að kökunum, upplýsingar um varðveislutíma, nauðsynlegar tækniupplýsingar t.d. um þriðju aðila kökur, hvernig notandinn getur valið sínar stillingar á kökunum, þ.a. hvernig hann getur samþykkt allar kökur, hvernig hann getur samþykkt hluta af kökunum og hvernig hann getur síðan breytt stillingunum síðar meir. Framkvæmdastjórnin hefur jafnframt gefið út leiðbeiningar þar sem er að finna sambærilegan lista af atriðum sem þarf að fræða um.

En að upphafsspurningunni. Svarið við henni er já.

Höfundur: Hjördís Halldórsdóttir  LL.M

Birtist í Viðskiptablaðinu 29. október 2018