ePrivacy-tilskipunin: Löggjöf ESB um vafrakökur útskýrð
Þegar fólk talar um „vafrakökulöggjöf ESB" á það yfirleitt við ePrivacy-tilskipunina — nánar tiltekið grein 5(3). Þótt GDPR fái mesta athygli í fjölmiðlum er ePrivacy-tilskipunin sú reglugerð sem hefur beina stjórn á notkun vafrakaka og sambærilegrar rakningartækni. Skilningur á þessari tilskipun, tengslum hennar við GDPR og væntanlegri ePrivacy-reglugerð er nauðsynlegur öllum sem bera ábyrgð á vafrakökufylgni á evrópskri vefsíðu.
Hvað er ePrivacy-tilskipunin?
ePrivacy-tilskipunin (formlega Directive 2002/58/EC) var samþykkt 12. júlí 2002 sem hluti af persónuverndarramma ESB á sviði fjarskipta. Hún beindist upphaflega að friðhelgi í rafrænum samskiptum — og náði yfir efni á borð við trúnað samskipta, umferðargögn, ruslpóst og símanúmerabirtingu.
Árið 2009 var tilskipuninni breytt verulega með Directive 2009/136/EC (oft nefnd „Borgararéttindatilskipunin"). Sú breyting innleiddi samþykkiskröfuna fyrir vafrakökur sem við þekkjum í dag og leysti fyrra kerfi af hólmi (þar sem hægt var að afþakka) með fyrirkomulagi þar sem samþykki þarf að liggja fyrir. Fyrir 2009 þurftu vefsíður aðeins að upplýsa notendur um vafrakökur og veita þeim rétt til að hafna. Eftir 2009 varð fyrirfram samþykki skylda fyrir allar vafrakökur sem eru ekki nauðsynlegar.
Ólíkt GDPR, sem er reglugerð (gildir milliliðalaust í öllum aðildarríkjum), er ePrivacy-tilskipunin tilskipun (hvert aðildarríki þarf að lögfesta hana í eigin landslög). Það þýðir að tilteknar reglur um vafrakökur eru breytilegar frá einu landi til annars, jafnvel þótt undirliggjandi kröfur séu þær sömu.
Grein 5(3): Reglan um samþykki fyrir vafrakökum
Grein 5(3) í ePrivacy-tilskipuninni er ákvæðið sem hefur beina stjórn á vafrakökum. Í breyttri mynd sinni segir hún:
„Aðildarríki skulu tryggja að geymsla upplýsinga, eða aðgangur að upplýsingum sem þegar eru geymdar, í endabúnaði áskrifanda eða notanda sé aðeins leyfð með því skilyrði að viðkomandi áskrifandi eða notandi hafi veitt samþykki sitt, að fengnum skýrum og fullnægjandi upplýsingum, í samræmi við [Persónuverndartilskipunina, nú GDPR], meðal annars um tilgang vinnslunnar."
Þetta ákvæði setur fram nokkrar lykilkröfur:
- Gildissvið: Það nær yfir alla geymslu upplýsinga í tæki notanda, eða aðgang að upplýsingum sem geymdar eru í tæki notanda. Þetta felur í sér vafrakökur, en einnig staðbundna geymslu (local storage), IndexedDB, tækjafingrafarsgreiningu, rakningarpunkta (tracking pixels) og hverja aðra tækni sem les af eða skrifar í tæki notandans.
- Fyrirfram samþykki: Samþykki þarf að fá áður en upplýsingum er komið fyrir eða aðgangs aflað — ekki eftir á.
- Upplýst samþykki: Notanda þarf að veita skýrar og fullnægjandi upplýsingar um tilgang geymslunnar eða aðgangsins.
- Samþykkisstaðall: Tilvísunin til GDPR (upphaflega Persónuverndartilskipunarinnar) þýðir að skilgreining GDPR og skilyrði fyrir samþykki gilda. Samþykki þarf að vera veitt af fúsum og frjálsum vilja, tiltekið, upplýst og ótvírætt.
Undanþágan fyrir „algjörlega nauðsynlegar" kökur
Grein 5(3) inniheldur mikilvæga undanþágu í seinni málslið sínum:
„Þetta skal ekki koma í veg fyrir neina tæknilega geymslu eða aðgang í þeim eina tilgangi að framkvæma sendingu samskipta um rafrænt fjarskiptanet, eða þegar það er algjörlega nauðsynlegt til að veitandi þjónustu upplýsingasamfélags, sem áskrifandi eða notandi hefur berlega óskað eftir, geti veitt þjónustuna."
Þessi undanþága nær yfir tvo flokka vafrakaka sem krefjast ekki samþykkis:
- Vafrakökur sem eru nauðsynlegar til að senda samskipti (t.d. álagsdreifingarkökur).
- Vafrakökur sem eru algjörlega nauðsynlegar til að veita þjónustu sem notandinn hefur berlega óskað eftir (t.d. innkaupakörfukökur, kökur fyrir auðkenningarlotur, kökur fyrir notendastillingar fyrir þjónustu sem notandinn er virkur að nota).
Forveri Evrópska persónuverndarráðsins, 29. greinar starfshópurinn, veitti ítarlega leiðsögn um hvaða vafrakökur teljast algjörlega nauðsynlegar í Áliti 04/2012. Dæmi eru meðal annars:
- Undanþegnar (samþykkis ekki krafist): Lotukökur fyrir innslátt notanda (fjölþrepa eyðublöð), auðkenningarkökur, innkaupakörfukökur, öryggiskökur (CSRF-táknar), lotukökur fyrir margmiðlunarspilara, álagsdreifingarkökur, kökur til að sérsníða notendaviðmót (tungumálastilling) fyrir yfirstandandi lotu.
- Ekki undanþegnar (samþykkis krafist): Greiningarkökur (þar á meðal Google Analytics), auglýsingakökur, deili-/rakningarkökur samfélagsmiðla, viðvarandi stillingakökur sem endast lengur en lotan, hverjar sem er rakningarkökur þriðja aðila.
Meginmunurinn liggur á milli vafrakaka sem þjóna berlegri ósk notandans og vafrakaka sem þjóna hagsmunum vefsíðurekandans. Tungumálastillingarkaka sem sett er vegna þess að notandinn valdi tungumál er algjörlega nauðsynleg. Greiningarkaka sem sett er til að hjálpa vefsíðurekanda að skilja umferðina er það ekki — jafnvel þótt rekandinn telji hana mikilvæga.
Hvernig ePrivacy og GDPR vinna saman
Tengsl ePrivacy-tilskipunarinnar og GDPR eru af tagi lex specialis (sérlaga) og lex generalis (almennra laga). ePrivacy-tilskipunin er sérlögin sem gilda um friðhelgi í rafrænum samskiptum, en GDPR er almenni persónuverndarramminn.
Í reynd:
- ePrivacy-tilskipunin ræður því hvort þér er heimilt að setja vafraköku í tæki notanda. Hún krefst samþykkis fyrir vafrakökur sem eru ekki nauðsynlegar, óháð því hvort kakan inniheldur persónuupplýsingar.
- GDPR ræður því hvað telst gilt samþykki og hvernig þú mátt vinna hvers kyns persónuupplýsingar sem safnað er með vafrakökum. Hún veitir einnig framfylgdarrammann, þar á meðal rétt til að leggja fram kvartanir hjá persónuverndarstofnunum og hið umtalsverða sektarkerfi.
Þetta þýðir að jafnvel vafrakaka sem inniheldur ekki persónuupplýsingar (til dæmis handahófskennd greiningarauðkenning án tengingar við nokkur önnur gögn) krefst samt samþykkis samkvæmt ePrivacy-tilskipuninni, því grein 5(3) á við um alla geymslu í tæki notandans — ekki aðeins geymslu persónuupplýsinga.
Á hinn bóginn, ef þú vinnur persónuupplýsingar með vafrakökum, þarftu að fara að öllum GDPR-rammanum: lagalegri heimild, gagnsæi, réttindum skráðra einstaklinga, mati á áhrifum á persónuvernd og öllum öðrum skyldum.
Landsbundnar innleiðingar
Þar sem ePrivacy-tilskipunin er tilskipun en ekki reglugerð hefur hvert aðildarríki ESB lögfest hana í landslög með nokkrum tilbrigðum. Þótt grunnkrafan — samþykki áður en vafrakökur sem eru ekki nauðsynlegar eru settar — sé samræmd í öllum aðildarríkjum, eru merkjanlegur munur á:
- Styrk framfylgdar: Frakkland (CNIL) og Ítalía (Garante) hafa verið virkust í framfylgd á vafrakökum, á meðan önnur lönd hafa beint kröftum sínum annað.
- Tilteknum undanþágum: Sum lönd hafa tekið upp örlítið víðtækari eða þrengri túlkanir á undanþágunni fyrir „algjörlega nauðsynlegt".
- Greiningarkökum: Sumar persónuverndarstofnanir hafa kannað hvort rétt uppsett, persónuverndarhliðholl greiningartæki (t.d. nafnlaus greining án rakningar milli síðna) gætu fallið undir grundvöll lögmætra hagsmuna. Undanþága frönsku CNIL fyrir mælingar á áhorfendahópum við tilteknar aðstæður er þekktasta dæmið, þótt hún sé enn umdeild.
- Vafrakökuveggjum: Lögmæti vafrakökuveggja (þar sem samþykkis er krafist til að fá aðgang að vefsíðu) er breytilegt eftir lögsögu. Hollenska persónuverndarstofnunin og EDPB hafa tekið stranga afstöðu gegn þeim, á meðan franska Conseil d'Etat taldi þá heimila við tilteknar aðstæður.
Fyrirhuguð ePrivacy-reglugerð
Framkvæmdastjórn Evrópusambandsins birti tillögu að ePrivacy-reglugerð í janúar 2017, sem ætlað var að leysa ePrivacy-tilskipunina af hólmi og samræma vafrakökureglurnar við GDPR. Meira en níu árum síðar er reglugerðin enn í samningaviðræðum, sem gerir hana að einu lengstu löggjafarferli í sögu ESB.
Lykilbreytingar í fyrirhuguðu reglugerðinni
Þótt lokatextinn sé enn ekki samþykktur hafa tillagan og síðari afstöður ráðsins bent á nokkrar mikilvægar breytingar:
- Bein gildistaka: Sem reglugerð en ekki tilskipun myndi ePrivacy-reglugerðin gilda með samræmdum hætti í öllum aðildarríkjum og útrýma núverandi sundrung.
- Samþykki á vafrastigi: Fyrstu tillögur innihéldu ákvæði um að notendur gætu stillt vafrakökuval sitt á vafrastigi frekar en að svara sérstökum vafrakökuborðum á hverri vefsíðu. Það myndi einfalda notendaupplifunina verulega, þótt tæknilegu og pólitísku áskoranirnar séu umtalsverðar.
- Víðara gildissvið: Reglugerðin myndi ná til yfir-toppinn (OTT) samskiptaþjónustu á borð við WhatsApp og Skype, sem núverandi tilskipun nær ekki yfir.
- Skýrari undanþágur: Reglugerðin miðar að því að skýra hvaða tegundir vafrakaka eru undanþegnar samþykki, hugsanlega með því að víkka undanþáguna svo hún nái yfir tilteknar tegundir áhorfendahópamælinga.
- Reglur um lýsigögn: Ný ákvæði sem stýra vinnslu lýsigagna samskipta (staðsetningargögn, tengitímar) umfram það sem núverandi tilskipun nær yfir.
- Samræmd framfylgd: Reglugerðin myndi koma á samræmdu framfylgdarkerfi, líklega byggðu á meginreglu GDPR um eina afgreiðslustöð (one-stop-shop).
Núverandi staða og tímalína
Í byrjun árs 2026 er ePrivacy-reglugerðin enn í þríhliða viðræðum (trilogue) milli Evrópuþingsins, ráðs ESB og framkvæmdastjórnar Evrópusambandsins. Framvindan hefur verið hæg vegna grundvallarágreinings um nokkur atriði, þar á meðal samþykkiskerfi á vafrastigi, gildissvið undanþágunnar fyrir „algjörlega nauðsynlegt" og reglur um vinnslu lýsigagna.
Raunhæfasta sviðsmyndin er sú að reglugerðin verði ekki fullkláruð fyrr en 2027 í fyrsta lagi, með 12–24 mánaða viðbótaraðlögunartíma áður en hún tekur gildi. Vefsíðurekendur ættu að halda áfram að fara að núverandi ePrivacy-tilskipun eins og hún er lögfest í landslögum þeirra, með viðbót samþykkisramma GDPR.
Hagnýt áhrif fyrir eigendur vefsíðna
Óháð þeirri óvissu sem ríkir um væntanlegu ePrivacy-reglugerðina, eru núverandi reglur skýrar og virkt framfylgt. Eigendur vefsíðna ættu að:
- Líta á núverandi fyrirkomulag sem grunnlínu. Samþykkiskrafan fyrir vafrakökur sem eru ekki nauðsynlegar er lögfest löggjöf um alla ESB. Ekki bíða eftir ePrivacy-reglugerðinni til að innleiða fylgni.
- Loka á vafrakökur sem eru ekki nauðsynlegar áður en samþykki liggur fyrir. Þetta er tæknilega erfiðasti þáttur fylgninnar, en hann er ófrávíkjanlegur. Samþykkiskerfi þitt fyrir vafrakökur verður að koma í veg fyrir að forskriftir setji vafrakökur þar til notandinn hefur virkt veitt samþykki.
- Beittu samþykkisstaðli GDPR. Þegar ePrivacy-tilskipunin segir „samþykki" á hún við GDPR-samþykki: veitt af fúsum og frjálsum vilja, tiltekið, upplýst, ótvírætt og sýnt með skýrri jákvæðri aðgerð.
- Skráðu algjörlega nauðsynlegu vafrakökurnar þínar. Haltu skýra skráningu yfir hvaða vafrakökur þú telur algjörlega nauðsynlegar og hvers vegna. Vertu tilbúinn að rökstyðja þessa flokkun ef persónuverndarstofnun véfengir hana.
- Fylgstu með þróun á landsvísu. Þar sem ePrivacy-tilskipunin er innleidd á mismunandi hátt í hverju landi, haltu þér upplýstum um leiðsögn og framfylgdaraðgerðir persónuverndarstofnana í þeim löndum þar sem notendur þínir eru staðsettir.
- Búðu þig undir ePrivacy-reglugerðina. Þótt tímalínan sé óviss er stefnan skýr: samræmdari reglur, hugsanlega víðtækari samþykkiskerfi og áframhaldandi áhersla á persónuvernd notenda. Að byggja upp öflugt samþykkiskerfi núna mun gera umskiptin sléttari þegar þau eiga sér stað.
ePrivacy-tilskipunin kann að vera yfir tveggja áratuga gömul, en hún er enn hornsteinn löggjafar um vafrakökur í Evrópu. Ásamt samþykkisramma GDPR og virkum framfylgdaráætlunum landsbundinna persónuverndarstofnana skapar hún lagalegt umhverfi þar sem vafrakökufylgni er ekki valkvæð — hún er lagaleg skylda með raunverulegum fjárhagslegum afleiðingum fyrir vanefndir.
Uppfyllir vefsíðan þín vefkökureglurnar?
Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.
Skannaðu vefkökurnar þínar ókeypis