Hoppa till huvudinnehåll

Många finländska webbsidor spårar dig utan att fråga först – bryter det mot lagen?

Spårare
Cookies kan skicka data om dina surfvanor till utomstående företag. Spårare Bild: Yle / Timo Kallio cookies,google analytics

En ny tolkning av lagen går ut på att användaren faktiskt måste tillfrågas. Det räcker inte nödvändigtvis att det bara står någonstans på en webbplats att den använder cookies.

Cookies handlar om korta texter som lagras i din webbläsare när du besöker vissa webbsidor.

Syftet kan till exempel vara att kunna kartlägga dina surfvanor för att kunna rikta reklam till dig på ett effektivare sätt när du surfar runt på nätet.

Elias Aarnio som är vice ordförande på intresseorganisationen Electronic Frontier Finland säger att det är klart att det bryter mot lagen att inte be om samtycke av användaren.

– Man måste alltid fråga, och samtycket måste vara aktivt och specifikt.

I praktiken innebär det alltså att webbplatsen tydligt borde be om tillåtelse för att få spåra dig.

Det framkommer också i EU:s dataskyddsförordning GDPR, och många dataskyddsmyndigheter i Europa har konstaterat detsamma.

Men en webbplats kan få mer data om sina användare om den struntar i att be om tillåtelse.

Datamaterialet kan i flera fall också slussas till utländska företag som säljer det vidare, vilket Svenska Yle har berättat om tidigare.

– Man har blivit van vid det att man kan göra nästan vad som helst. Och det som är dystert är att de som gör sakerna rätt, de förlorar hela tiden. De får tilläggskostnader medan de som fuskar kan få förmåner, säger Aarnio.

Nationella riktlinjer om cookies

I Finland har Transport- och kommunikationsverket Traficom kommit med riktlinjer gällande hur man ska göra när det gäller cookies på webbsidor.

Men många organisationer har haft svårt att tolka Traficoms riktlinjer (endast på finska), som bland annat bygger på en äldre finländsk lag om elektronisk kommunikation.

Förra månaden uppdaterades riktlinjerna utgående från ett färskt domslut i EU-domstolen, där det betonas att samtycket måste vara aktivt, berättar Erika Leinonen som är jurist på Traficom.

– Det här är nog något som alla inte känner till, säger hon.

Det räcker alltså inte längre med att det bara står någonstans på webbplatsen att cookies används.

Men i Traficoms riktlinjer sägs det fritt översatt till svenska att användaren till exempel kan gå med på att bli spårad genom att svara ja när han eller hon kommer till en webbplats, eller via en en särskild inställning i webbläsaren.

I praktiken har det här inneburit att många webbsidor har struntat i att be besökarna om tillåtelse för cookies, för de litar på att webbläsarna ska fixa det.

– Så är det nog i och med att vi i våra riktlinjer har hänvisat till webbläsares inställningar. Det är en äldre tolkning som vi har valt att inte ändra på desto mer i det här skedet, säger hon.

I webbläsares inställningar finns det inte i dagens läge ett tydligt sätt att säga ja till cookies, även om det var meningen en gång i tiden. Inga tillverkare har byggt in sådana funktioner på ett tillräckligt bra sätt.

I stället är standardinställningen i webbläsare för det mesta att cookies godkänns utan att användaren tillfrågas om saken.

Enligt Erika Leinonen innebär nuläget troligtvis att webbsidorna tydligt borde fråga om användaren godkänner cookies.

– En banner kan till exempel vara en bra lösning, säger hon.

Dataombudsmannens byrå har makten

Traficom har alltså kommit med rekommendationer när det gäller cookies, för cookies ligger i allmänhet på deras bord.

Men det är egentligen Dataombudsmannens byrå som ska avgöra hur finländska webbsidor måste be om samtycke för att få använda cookies. Det bekräftar biträdande dataombudsman Anu Talus för Svenska Yle.

– Exakt hur man får samtycket har inte betydelse i det här sammanhanget, men det måste vara ett aktivt val, säger Talus.

Biträdande dataombudsman Anu Talus.
Biträdande dataombudsmannen Anu Talus. Biträdande dataombudsman Anu Talus. Bild: Kai Widell porträtt,Anu Talus

I webbläsarnas inställningar är cookies så gott som alltid automatiskt på, och användarna får ingen fråga om huruvida de godkänner det här eller inte. Talus säger att det bryter mot EU:s dataskyddsförordning GDPR.

Man borde alltid få frågan och dessutom kunna få reda på vem som får tillstånd att spåra en och varför.

– När personen själv inte aktivt kan få påverka är det inte i linje med GDPR.

Både Leinonen och Talus påpekar ändå att ett undantag är så kallade nödvändiga cookies. De får användas utan tillstånd. De är sådana som krävs för att en webbsida ska fungera på rätt sätt.

Dataombudsmannens byrå och Traficom kommer att träffas i januari, och ett centralt ärende man ska behandla är just cookies på finländska webbsidor.

Det är möjligt att riktlinjerna för användning av cookies skrivs om då, så att det blir lättare att följa reglerna.

Läs också

Nyligen publicerat - Inrikes