Hvenær er samþykki fyrir vafrakökum nauðsynlegt?
Meginreglan er einföld: samþykki er nauðsynlegt fyrir allar vafrakökur nema þær sem eru bráðnauðsynlegar. En smáatriðin skipta máli. Að vita nákvæmlega hvenær samþykki er og er ekki nauðsynlegt kemur í veg fyrir bæði of mikla fylgni (að angra notendur með óþarfa samþykkisbeiðnum) og of litla fylgni (að setja vafrakökur án lagalegs grundvallar).
Meginreglan
5. gr. (3. mgr.) ePrivacy Directive setur grunninn:
Aðildarríkin skulu tryggja að geymsla upplýsinga, eða aðgangur að upplýsingum sem þegar eru geymdar, í endabúnaði áskrifanda eða notanda sé aðeins leyfð með því skilyrði að viðkomandi áskrifandi eða notandi hafi veitt samþykki sitt, eftir að hafa fengið skýrar og greinargóðar upplýsingar [...] um tilgang vinnslunnar.
Þetta nær yfir allar vafrakökur, alla staðbundna geymslu, alla geymslu eða aðgang á tækjastigi. Ef vefsíðan þín skrifar eitthvað á tæki notandans er samþykki sjálfgefna krafan.
Undanþágan fyrir bráðnauðsynlegar vafrakökur
Sama grein kveður á um einu undanþáguna:
Þetta skal ekki koma í veg fyrir tæknilega geymslu eða aðgang í þeim eina tilgangi að framkvæma sendingu samskipta um rafrænt fjarskiptanet, eða eins og bráðnauðsynlegt er til þess að veitandi upplýsingasamfélagsþjónustu sem áskrifandi eða notandi hefur beinlínis óskað eftir geti veitt þjónustuna.
Þessi undanþága hefur tvo þætti:
- Tæknileg sending: Vafrakökur sem eru tæknilega nauðsynlegar til að samskiptin geti átt sér stað. Þetta er þröngt — í raun takmarkað við álagsjöfnunarkökur og svipaðar nauðsynjar á netstigi.
- Bráðnauðsynlegt fyrir þjónustuna: Vafrakökur sem eru nauðsynlegar fyrir þjónustu sem notandinn hefur beinlínis óskað eftir. Lykilorðin eru „beinlínis óskað eftir af áskrifanda eða notanda“. Þjónustan verður að vera eitthvað sem notandinn bað um, og kakan verður að vera ómissandi til að veita hana.
Vafrakökur sem eru bráðnauðsynlegar (ekkert samþykki þarf)
- Auðkenningarkökur fyrir setu. Þegar notandi skráir sig inn er setukakan sem viðheldur auðkenndu ástandi hans bráðnauðsynleg fyrir þjónustuna sem hann óskaði eftir (aðgang að reikningnum sínum).
- Innkaupakörfukökur. Á vefverslun er kakan sem heldur utan um vörur í körfunni bráðnauðsynleg fyrir verslunarþjónustuna sem notandinn er að nota.
- CSRF-varnartáknar. Þessir eru bráðnauðsynlegir fyrir örugga virkni innsendinga á eyðublöðum.
- Kökur fyrir samþykkisval á vafrakökum. Kakan sem geymir samþykkisval notandans er bráðnauðsynleg — án hennar getur þú ekki virt persónuverndarval hans.
- Kökur tengdar inntaki. Kökur sem muna eftir inntaki á eyðublöðum í fjölþrepa ferli (eins og greiðsluferli) þar sem notandinn hefur hafið ferlið.
- Álagsjöfnunarkökur. Tæknilegar kökur sem beina fyrirspurnum á réttan netþjón. Þessar falla undir „sendingar“-þátt undanþágunnar.
- Kökur fyrir sérstillingu notendaviðmóts. Þegar notandi velur beinlínis tungumál eða þema með stjórntæki á síðunni er kakan sem geymir það val bráðnauðsynleg fyrir þjónustuna sem hann óskaði eftir. Þetta er þó háð samhengi — sjá að neðan.
Vafrakökur sem eru EKKI bráðnauðsynlegar (samþykki nauðsynlegt)
- Greiningarkökur. Mæling á umferð vefsíðu gagnast rekstraraðila vefsíðunnar, ekki notandanum. Notandinn óskaði ekki eftir umferðargreiningarþjónustu.
- Auglýsinga- og endurmiðunarkökur. Þessar þjóna hagsmunum auglýsenda og rekstraraðila vefsíðunnar, aldrei notandans.
- Deilingarkökur samfélagsmiðla. Þessar eru settar af þriðju aðila samfélagsnetum, ekki fyrir þjónustu sem notandinn óskaði eftir.
- A/B-prófunarkökur. Þessar þjóna hagræðingarmarkmiðum rekstraraðilans.
- Kökur fyrir samstarfsrakningu. Þessar rekja hvaða samstarfsaðili vísaði notandanum og þjóna viðskiptahagsmunum rekstraraðilans.
- Kökur fyrir varanlega innskráningu („muna eftir mér“). EDPB hefur bent á að þótt setukaka fyrir núverandi innskráningu sé nauðsynleg, þá gengur varanleg kaka sem heldur notandanum innskráðum milli setna lengra en það sem er bráðnauðsynlegt. Notandinn gæti skráð sig inn aftur.
- Kökur fyrir eftirlit með frammistöðu. Kökur sem notaðar eru til að fylgjast með hleðslutíma síðna, villutíðni og svipuðum tæknilegum mælingum þjóna rekstraraðilanum, ekki notandanum.
Umræðan um fyrsta aðila greiningu
Eitt umdeildasta svæðið í fylgni við vafrakökur er hvort nota megi fyrsta aðila greiningarkökur án samþykkis. Svarið er misjafnt eftir lögsögu og er í þróun.
Afstaða CNIL (Frakkland)
Franska CNIL hefur gefið út sérstakar leiðbeiningar sem segja að tilteknar áhorfsmælingarkökur kunni að vera undanþegnar samþykki, að því tilskildu að:
- Tilgangurinn sé stranglega takmarkaður við mælingu áhorfs (engin rakning milli vefsvæða)
- Gögnunum sé ekki deilt með þriðju aðilum
- Kökurnar séu einungis fyrsta aðila
- Gögnin séu aðeins notuð til að framleiða nafnlausar tölfræðiupplýsingar
- Kökurnar hafi takmarkaðan líftíma (13 mánuðir að hámarki)
- Notendur séu upplýstir um notkun þeirra
- Notendur geti hafnað
Við þessi skilyrði telur CNIL að tiltekin verkfæri (eins og Matomo stillt í persónuverndarvænni stillingu) séu gjaldgeng fyrir undanþáguna. Google Analytics uppfyllir ekki skilyrðin, aðallega vegna þess að Google vinnur gögnin á eigin innviðum og kann að nota þau í eigin tilgangi.
Afstaða hollenska AP (Holland)
Hollenska Autoriteit Persoonsgegevens hefur á sama hátt gefið til kynna að greiningarkökur með lágmarksáhrif á persónuvernd megi nota án samþykkis, en hefur sett skilyrði sambærileg þeim sem CNIL setur.
Aðrar lögsögur
Flest önnur evrópsk persónuverndaryfirvöld hafa ekki tekið upp beinlínis undanþágu fyrir greiningu. ICO (Bretland) hefur lýst því yfir að greiningarkökur krefjist samþykkis. Þýsk persónuverndaryfirvöld krefjast almennt samþykkis fyrir allar kökur sem eru ekki nauðsynlegar. Afstaða spænsku AEPD er í takt við kröfu um samþykki.
Hagnýt ráðlegging
Nema þú starfir eingöngu í Frakklandi eða Hollandi og getir uppfyllt öll skilyrði CNIL/AP, er öruggasta leiðin að meðhöndla greiningarkökur eins og þær krefjist samþykkis. Ef þú reiðir þig á greiningarundanþáguna skaltu skjalfesta rökstuðning þinn, tryggja að þú uppfyllir hvert skilyrði og fylgjast með þróun regluverks — þetta svæði er enn í mótun.
Undanþágur frá samþykki eftir tilgangi vafraköku: ákvörðunarferli
Fyrir hverja vafraköku á vefsíðunni þinni skaltu fara í gegnum þessar spurningar:
- Er kakan tæknilega nauðsynleg til að hægt sé að senda samskiptin? (t.d. álagsjöfnun) Ef já: ekkert samþykki þarf. Ef nei: haltu áfram.
- Hefur notandinn beinlínis óskað eftir þjónustu sem krefst þessarar köku? (t.d. innskráning, að bæta vörum í körfu) Ef já: haltu áfram. Ef nei: samþykki nauðsynlegt.
- Myndi umbeðin þjónusta ekki virka án þessarar tilteknu köku? Ef já: ekkert samþykki þarf (bráðnauðsynlegt). Ef þjónustan myndi virka en vera minna þægileg: samþykki nauðsynlegt.
- Er kakan fyrsta aðila, takmörkuð við samanlagða greiningu, með gögn sem ekki er deilt með þriðju aðilum, og ert þú í lögsögu með greiningarundanþágu? Ef já við öllu: hugsanlega undanþegin, en skjalfestu rökstuðning þinn. Ef nei við einhverju: samþykki nauðsynlegt.
- Í öllum öðrum tilvikum: samþykki nauðsynlegt.
Sérstakar aðstæður
Vafrakökuveggir
Vafrakökuveggur hindrar aðgang að vefsíðu nema notandinn samþykki vafrakökur. Afstaða EDPB er sú að vafrakökuveggir komi almennt í veg fyrir að samþykki sé „veitt af frjálsum vilja“ og séu því ekki í samræmi við reglur. Sum persónuverndaryfirvöld (einkum hollenska AP, í kjölfar dómsúrskurðar) hafa þó gefið til kynna að vafrakökuveggir kunni að vera ásættanlegir ef raunverulegur, jafngildur valkostur er í boði — eins og greidd, vafrakökulaus útgáfa af þjónustunni. Þetta er enn umdeilt svæði.
Greiðsluveggur samanborið við vafrakökuvegg
Sumir útgefendur bjóða upp á „samþykki eða borgaðu“-líkan: samþykki rakningarkökur fyrir ókeypis aðgang, eða greiddu fyrir vafrakökulausa upplifun. EDPB gaf út álit árið 2024 um þessa venju, þar sem viðurkennt var að hún kunni að vera leyfileg við tiltekin skilyrði en jafnframt lýst áhyggjum af því að „greiðslu“-valkosturinn verði að vera raunverulega sanngjarn og ekki settur á verði sem hannað er til að þvinga fram samþykki.
Börn
Samkvæmt 8. gr. GDPR krefst samþykki fyrir upplýsingasamfélagsþjónustu sem beint er að börnum staðfestingar og, fyrir börn undir tilteknum aldri (frá 13 til 16 ára eftir aðildarríki), samþykkis foreldra. Ef vefsíðan þín beinist að börnum eru kröfur um samþykki fyrir vafrakökum strangari.
Aðstæður varðandi starfsmenn og B2B
ePrivacy Directive á við um „áskrifanda eða notanda“ — ekki aðeins neytendur. Ef B2B SaaS-vettvangurinn þinn notar vafrakökur sem ekki eru nauðsynlegar er samþykki einstaka notandans engu að síður nauðsynlegt, jafnvel í viðskiptasamhengi.
Hvað gerist án gilds samþykkis
Ef þú setur vafrakökur sem ekki eru nauðsynlegar án gilds samþykkis:
- Gögnin sem þú safnar kunna að vera ólögmæt samkvæmt bæði ePrivacy Directive og GDPR.
- Þú átt á hættu sektir samkvæmt GDPR allt að 20 milljónum evra eða 4% af árlegri heimsveltu, hvort sem er hærra (5. mgr. 83. gr.).
- Þér kann að vera fyrirskipað að eyða gögnunum sem safnað var með ólögmætum hætti.
- Greiningar- og auglýsingagögnin þín kunna að vera ónothæf — ef lagalegur grundvöllur fyrir söfnun er ógildur er ekki hægt að nota gögnin með lögmætum hætti.
- Aðilar sem taka við þessum gögnum í framhaldinu (auglýsinganet, greiningarveitur) kunna einnig að bera ábyrgð.
Þetta eru ekki ímyndaðar áhættur. CNIL sektaði Google um 150 milljónir evra og Facebook um 60 milljónir evra sérstaklega fyrir brot á samþykki vafraköku. Smærri fyrirtæki hafa fengið sektir upp á tugi þúsunda evra fyrir svipuð brot.
Passiro auðkennir hverja vafraköku á vefsíðunni þinni og merkir þær sem krefjast samþykkis, svo þú getur verið viss um að samþykkiskerfið þitt nái yfir réttu kökurnar — hvorki fleiri né færri.
Næst skulum við bera saman grunnlíkönin tvö fyrir samþykki: opt-in samanborið við opt-out, og hvort á við hvar.
Uppfyllir vefsíðan þín vefkökureglurnar?
Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.
Skannaðu vefkökurnar þínar ókeypis