Skip to main content

GDPR og vafrakökur: Heildstæð leiðarvísir að regluvörslu

Almenna persónuverndarreglugerðin (GDPR) umbylti því hvernig vefsíður meðhöndla vafrakökur þegar hún tók gildi 25. maí 2018. Þótt ePrivacy-tilskipunin sé aðallöggjöf ESB um vafrakökur á GDPR við þegar vafrakökur vinna með persónuupplýsingar — sem í reynd þýðir nánast alltaf. Það er nauðsynlegt fyrir hverja vefsíðu sem starfar á eða beinir sér að notendum á Evrópska efnahagssvæðinu að skilja hvernig GDPR á við um vafrakökur.

Hvernig GDPR á við um vafrakökur

GDPR nefnir vafrakökur ekki með nafni. Þess í stað setur reglugerðin reglur um vinnslu persónuupplýsinga, sem skilgreindar eru í 1. tölul. 4. gr. sem allar upplýsingar er varða greindan eða greinanlegan einstakling. Í 30. lið aðfaraorða GDPR kemur skýrt fram að netauðkenni — þar á meðal auðkenni vafrakaka — má nota til að útbúa vörugreiningar um einstaklinga og bera kennsl á þá. Þetta þýðir að hver vafrakaka sem inniheldur eða er tengd einstöku auðkenni telst persónuupplýsingar samkvæmt GDPR.

Í reynd nær þetta til nánast allra vafrakaka umfram þær allra grunnstæðustu virknikökur. Greiningarkökur sem úthluta einstöku gestaauðkenni, auglýsingakökur sem rekja vafrahegðun, og jafnvel lotukökur tengdar notendaaðgangi vinna allar með persónuupplýsingar og falla því undir kröfur GDPR.

6. grein: Lögmæt heimild fyrir vinnslu

Samkvæmt 6. gr. GDPR krefst hver einstök vinnsla persónuupplýsinga lögmætrar heimildar. Fyrir vinnslu tengda vafrakökum er tveimur heimildum oftast beitt:

  • Samþykki (a-liður 1. mgr. 6. gr.): Skráður einstaklingur hefur veitt samþykki fyrir vinnslunni í einum eða fleiri tilteknum tilgangi. Þetta er helsta lögmæta heimildin fyrir flesta vinnslu vafrakaka, einkum greiningar-, markaðs- og auglýsingakökur.
  • Lögmætir hagsmunir (f-liður 1. mgr. 6. gr.): Vinnsla er nauðsynleg vegna lögmætra hagsmuna ábyrgðaraðila, að því tilskildu að þeir hagsmunir vegi ekki þyngra en réttindi og frelsi skráðs einstaklings.

Heimildin um lögmæta hagsmuni hefur verið mikið til umræðu í samhengi vafrakaka. Sumir vefsíðurekendur hafa haldið því fram að greiningarrakning þjóni lögmætum hagsmunum. Hins vegar hafa fjölmörg persónuverndaryfirvöld hafnað þessum rökum fyrir vafrakökur sem eru ekki bráðnauðsynlegar. Franska CNIL, austurríska DSB og Evrópska persónuverndarráðið (EDPB) hafa öll tekið þá afstöðu að samþykkis sé krafist fyrir greiningarkökur, og að lögmætir hagsmunir geti ekki verið lögmæt heimild til að setja ónauðsynlegar vafrakökur í tæki notanda.

Í leiðbeiningum EDPB 05/2020 um samþykki segir ótvírætt: „Það að skruna eða halda áfram að vafra um vefsíðu telst ekki gilt samþykki.“ Tímabil undirskilins samþykkis fyrir vafrakökum er liðið.

7. grein: Skilyrði fyrir gildu samþykki

Í 7. gr. eru sett fram skilyrðin sem samþykki verður að uppfylla. Til að samþykki fyrir vafrakökum sé gilt samkvæmt GDPR verður það að vera:

  1. Veitt af fúsum og frjálsum vilja: Notandinn verður að hafa raunverulegt val. Samþykki er ekki veitt af fúsum og frjálsum vilja ef notandinn getur ekki hafnað eða afturkallað samþykki án þess að verða fyrir tjóni. Vafrakökuveggir sem loka fyrir aðgang að vefsíðu nema öll samþykki séu veitt hafa verið dæmdir óheimilir af nokkrum persónuverndaryfirvöldum, þótt lagalega landslagið sé breytilegt eftir lögsögu.
  2. Tilgreint: Samþykki verður að veita fyrir hvern einstakan tilgang. Eitt „Samþykkja allt“ án möguleika á að samþykkja tiltekna flokka uppfyllir ekki þessa kröfu.
  3. Upplýst: Notandanum verður að vera sagt skýrt fyrir hverju hann er að veita samþykki. Þetta þýðir að tilgreina vafrakökurnar, tilgang þeirra, gögnin sem safnað er og alla þriðju aðila sem koma við sögu.
  4. Ótvírætt: Samþykki verður að veita með skýrri staðfestingaraðgerð. Fyrirfram merktir reitir, þögn eða aðgerðaleysi teljast ekki gilt samþykki.

Í 3. mgr. 7. gr. bætist við mikilvæg krafa: það verður að vera jafn auðvelt að afturkalla samþykki og að veita það. Ef notandi getur samþykkt vafrakökur með einum smelli verður hann að geta afturkallað það samþykki með jafnmiklu hægðarauka. Vafrakökuborði sem gerir „Samþykkja“ áberandi en grefur afþökkunarmöguleikann í stillingasíðu marga smelli djúpt uppfyllir ekki kröfurnar.

11. tölul. 4. gr.: Skilgreining á samþykki

Í 11. tölul. 4. gr. er samþykki skilgreint sem „hver frjáls, tilgreind, upplýst og ótvíræð viljayfirlýsing skráðs einstaklings um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga er varða hann sjálfan.“

Þessi skilgreining er styrkt með 32. lið aðfaraorða, þar sem segir:

„Samþykki skal veita með skýrri staðfestingaraðgerð sem felur í sér frjálsa, tilgreinda, upplýsta og ótvíræða yfirlýsingu um samþykki skráðs einstaklings. Þetta gæti falið í sér að merkja við reit þegar farið er inn á vefsíðu. Þögn, fyrirfram merktir reitir eða aðgerðaleysi skulu ekki teljast samþykki.“

Tímamótadómurinn í Planet49-málinu, sem Evrópudómstóllinn (CJEU) kvað upp í október 2019 (mál C-673/17), staðfesti þessa túlkun og úrskurðaði að fyrirfram merktir reitir teljist ekki gilt samþykki fyrir vafrakökum.

Gagnsæisskyldur: 12.–14. grein

Greinar 12 til 14 krefjast þess að ábyrgðaraðilar veiti upplýsingar um gagnavinnslu á gagnorðan, gagnsæjan, skiljanlegan og aðgengilegan hátt, með skýru og einföldu orðalagi. Fyrir vafrakökur þýðir þetta:

  • Vafrakökustefna þín verður að vera skrifuð á máli sem venjulegir notendur skilja — ekki lagalegt hrognamál.
  • Upplýsingar verður að veita þegar gagnasöfnun fer fram (þ.e. áður en vafrakökur eru settar).
  • Segja verður notendum hver ábyrgðaraðilinn er, í hvaða tilgangi vinnslan fer fram, hvaða flokkar gagna eru unnir, hvaða viðtakendur eru til staðar, hversu lengi gögnin eru varðveitt og hver réttindi þeirra eru.
  • Ef vafrakökur eru deildar með þriðju aðilum (svo sem Google Analytics, Facebook Pixel eða auglýsinganetum) verður að tilgreina þá þriðju aðila.

17. grein: Rétturinn til að gleymast

Í 17. gr. er skráðum einstaklingum veittur réttur til að fá persónuupplýsingar sínar afmáðar. Í samhengi vafrakaka þýðir þetta að ef notandi óskar eftir eyðingu gagna sinna verður að eyða öllum persónuupplýsingum sem safnað var með vafrakökum. Þetta felur í sér greiningarvörugreiningar, auglýsingaauðkenni og öll önnur gögn tengd auðkennum vafrakaka.

Fyrir vefsíðurekendur sem nota greiningar- eða auglýsingaþjónustu þriðju aðila getur þetta verið sérstaklega krefjandi, þar sem gögn kunna að vera í vörslu þriðja aðilans. Vinnslusamningar þínir við þriðju aðila sem veita vafrakökuþjónustu ættu að innihalda ákvæði um meðhöndlun eyðingarbeiðna.

GDPR gegn ePrivacy: Hvor á við hvenær?

Sambandið milli GDPR og ePrivacy-tilskipunarinnar getur verið ruglingslegt. Svona hafa þær áhrif hvor á aðra:

  • ePrivacy-tilskipunin (3. mgr. 5. gr.) setur reglur um þá aðgerð að geyma eða fá aðgang að upplýsingum í tæki notanda. Hún krefst samþykkis fyrir öllum vafrakökum nema þeim sem eru bráðnauðsynlegar. Þetta er lex specialis (sérlög) um vafrakökur.
  • GDPR setur reglur um síðari vinnslu allra persónuupplýsinga sem safnað er með vafrakökum. Reglugerðin veitir ramma um hvað telst gilt samþykki, réttindi skráðra einstaklinga og skyldur ábyrgðaraðila.

Í reynd: ePrivacy-tilskipunin segir þér að þú þarft samþykki til að setja vafraköku. GDPR segir þér hvernig gilt samþykki lítur út, hvað þú mátt gera við gögnin og hvaða réttindi notendur hafa varðandi þau gögn. Báðar eiga við samtímis.

Persónuverndaryfirvöld og fullnusta

Hvert aðildarríki ESB hefur persónuverndaryfirvald (DPA) sem ber ábyrgð á fullnustu bæði GDPR og innlendra innleiðinga ePrivacy-tilskipunarinnar. Þessi yfirvöld hafa vald til að rannsaka kvartanir, framkvæma úttektir og leggja á sektir sem nema allt að 4% af árlegri veltu á heimsvísu eða 20 milljónum evra, hvort sem er hærra.

Fullnusta tengd vafrakökum hefur aukist gríðarlega frá 2020. Persónuverndaryfirvöld um alla Evrópu hafa færst frá leiðbeiningum og aðvörunum yfir í umtalsverðar sektir, sem gerir vafrakökuregluvörslu að raunverulegri viðskiptaáhættu frekar en fræðilegu áhyggjuefni.

Helstu GDPR-sektir tengdar vafrakökum

Eftirfarandi fullnustuaðgerðir sýna hinar raunverulegu fjárhagslegu afleiðingar þess að fara ekki að reglum um vafrakökur:

Fyrirtæki Sekt Yfirvald Ár Meginatriði
Amazon Europe 746 milljónir evra CNPD (Lúxemborg) 2021 Óheimil auglýsingarakning og samþykkisferli
Google LLC 150 milljónir evra CNIL (Frakkland) 2022 Að hafna vafrakökum var ekki jafn auðvelt og að samþykkja þær
Facebook (Meta) 60 milljónir evra CNIL (Frakkland) 2022 Enginn einfaldur búnaður til að hafna vafrakökum
Microsoft (Bing) 60 milljónir evra CNIL (Frakkland) 2022 Vafrakökur settar án samþykkis, enginn auðveldur höfnunarbúnaður
TikTok 5 milljónir evra CNIL (Frakkland) 2023 Að hafna vafrakökum krafðist fleiri smella en að samþykkja
Criteo 40 milljónir evra CNIL (Frakkland) 2023 Vanræksla á að afla gilds samþykkis fyrir rakningarkökum
Vueling Airlines 30.000 evrur AEPD (Spánn) 2020 Enginn möguleiki á að hafna vafrakökum, aðeins „samþykkja“

Þessar sektir eru ekki bundnar við stór fyrirtæki. Lítil og meðalstór fyrirtæki hafa einnig sætt fullnustuaðgerðum, einkum í Frakklandi, Ítalíu og Þýskalandi. CNIL eitt sendi frá sér yfir 100 formlegar tilkynningar til vefsíðna af öllum stærðum varðandi vafrakökuregluvörslu árið 2021.

Hagnýtur gátlisti fyrir GDPR-vafrakökuregluvörslu

Notaðu þennan gátlista til að staðfesta að vefsíðan þín uppfylli GDPR-kröfur um vafrakökur:

  1. Auðkenndu allar vafrakökur sem vefsíðan þín setur, þar á meðal þær sem forskriftir þriðju aðila setja, svo sem greiningar-, auglýsinga- og samfélagsmiðlaviðbætur.
  2. Flokkaðu hverja vafraköku sem bráðnauðsynlega, virkni-, greiningar- eða markaðs-/auglýsingaköku.
  3. Innleiddu fyrirfram samþykki fyrir allar ónauðsynlegar vafrakökur. Engar greiningar- eða markaðskökur ættu að virkjast áður en notandinn hefur veitt samþykki.
  4. Settu samþykkisvalkosti fram á sanngjarnan hátt. Möguleikinn á að hafna vafrakökum verður að vera jafn áberandi og aðgengilegur og möguleikinn á að samþykkja þær.
  5. Bjóddu upp á nákvæmt samþykki. Notendur verða að geta samþykkt tiltekna flokka vafrakaka frekar en að vera neyddir í allt-eða-ekkert val.
  6. Ekki nota fyrirfram merkta reiti. Allir valfrjálsir vafrakökuflokkar verða að vera ómerktir að sjálfgefnu.
  7. Veittu skýrar upplýsingar um tilgang hverrar vafraköku, gögnin sem hún safnar, hverjir hafa aðgang að gögnunum og hversu lengi vafrakakan varir.
  8. Auðkenndu þriðju aðila. Nefndu þjónustur þriðju aðila sem setja vafrakökur á síðuna þína (Google Analytics, Facebook Pixel, HubSpot o.s.frv.).
  9. Gerðu afturköllun auðvelda. Bjóddu upp á varanlega og auðaðgengilega leið fyrir notendur til að breyta vafrakökustillingum sínum eftir upphaflegt samþykki. Hlekkur í fæti síðunnar eða fljótandi tákn eru algengar aðferðir.
  10. Geymdu samþykkisskrár. Haltu skrá yfir hvenær hver notandi veitti samþykki, fyrir hverju hann samþykkti og hvaða útgáfa vafrakökustefnunnar var í gildi á þeim tíma.
  11. Virtu samþykkisval tæknilega. Tryggðu að höfnun samþykkis komi í raun í veg fyrir að viðeigandi vafrakökur séu settar. Þetta krefst þess að forskriftir séu læstar áður en samþykki er veitt, ekki bara að vafrakökum sé eytt eftir á.
  12. Haltu úti vafrakökustefnu sem er uppfærð, nákvæm og skrifuð á einföldu máli. Uppfærðu hana í hvert sinn sem þú bætir við nýjum vafrakökum eða þjónustum þriðju aðila.
  13. Meðhöndlaðu beiðnir skráðra einstaklinga. Hafðu ferli til að bregðast við eyðingarbeiðnum sem nær til gagna sem safnað er með vafrakökum.
  14. Skannaðu reglulega. Keyrðu sjálfvirkar vafrakökuskannanir að minnsta kosti mánaðarlega og eftir hverja útgáfu til að finna nýjar vafrakökur sem uppfærðar forskriftir eða viðbætur hafa komið með.

Vafrakökuregluvarsla samkvæmt GDPR er ekki eins skiptis verkefni. Hún krefst stöðugrar athygli eftir því sem vefsíðan þín þróast, nýjum forskriftum er bætt við og leiðbeiningar eftirlitsaðila eru uppfærðar. Þau fyrirtæki sem líta á hana sem samfellt ferli frekar en gátlistaverkefni eru þau sem forðast fullnustuaðgerðir — og byggja um leið upp traust hjá notendum sínum.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis