European Data Protection Board (EDPB), vars roll är att ge nationella myndigheter vägledning om att skydda Internetanvändares integritet, uppmuntrar en enhetlig tillämpning av GDPR-reglerna. Mer konsekvent, uppdaterade just min guide. I ett 31-sidigt dokument erinrade han om direktiv om samtycke online för behandling av personuppgifter från internetanvändare.
Som en påminnelse är webbplatser skyldiga att informera besökare om sin cookiepolicy. De används för att bättre förstå användarens navigering på en webbplats, för att underlätta hans besök eller för att förse honom med riktade annonser i enlighet med hans beteende. För att kunna hämta dessa uppgifter måste en webbplats inhämta användarens samtycke. För att det ska vara giltigt och uppfylla allmänna europeiska bestämmelser måste det vara tydligt, informerat, specifikt och fritt tillgängligt.
I sin uppdatering av vägledning slår datatillsynsmannen tillbaka på två ökända metoder som manipulerar internetanvändares samtycke och som fortfarande används av vissa webbplatser, i syfte att klargöra eventuella problem, eventuell tolkning av regeln: ”cookie-väggen” och rullningsfrågan.
Cookie-väggen är inte GDPR-kompatibel
Det är inte ovanligt, även idag, att stöta på en “cookie wall” på webben. Vissa webbplatser missbrukar fortfarande denna metod, inklusive att tvinga Internetanvändare att acceptera att tillhandahålla cookies i utbyte mot att visa webbplatsens innehåll. I det här specifika fallet kan samtycke inte vara ett verkligt alternativ, eftersom användaren inte har tillgång till webbplatsen förrän han klickar på Acceptera cookie-knappen.
Artikel 41 i datatillsynsmannens riktlinjer anger regeln utan tvetydighet: “cookie wall” utgör inte ett giltigt samtycke. Användningen av denna typ av praxis strider därför mot europeisk dataskyddslagstiftning.
Rullning hämtar inte användardata
Europeiska dataskyddskommissionen vill också förtydliga frågan om rullningen. Enligt datatillsynsmannen, när en internetanvändare rullar igenom en webbplats utan att först acceptera en cookie, kan denna åtgärd eller någon aktivitet på en webbplats (som ett klick) inte anses vara ett avtal implicit från användarens sida. Detta är föremål för artikel 86 i dokumentet uppdaterat av det europeiska organet.
Uppdatering av dessa direktiv syftar till att förtydliga praxis för vissa webbspelare som har förmågan att åsidosätta reglerna och därmed minska deras förmåga att manövrera för att följa GDPR, som kommer att 2 år snart. Böter för att bryta mot europeiska regler kan vara upp till 4 % av en webbplatss årliga intäkter. Nu tillämpar de nationella myndigheterna i de 27 medlemsstaterna, där Frankrikes CNIL är medlem, fortfarande dessa regler strikt för att skydda onlineanvändarnas integritet.
Se datatillsynsmannens manual
