Kökutilkynningar spretta aftur upp frá dauðum

Höfundur: Þórarinn „Tóró“ Stefánsson

Í vor tók gildi ný evrópsk reglugerð um persónuvernd (GDPR) og um miðjan júlí taka gildi íslensk persónuverndarlög sem byggja á henni. Í tengslum við það hefur á mörgum vefsvæðum lifnað við gamall draugur sem lítur nokkurn vegin svona út:

Texti dæmigerðs „samþykkisglugga“

Textinn er mismunandi milli vefsvæða, en skilaboðin yfirleitt þau sömu: „Við gerum hlutina svona, þú verður að samþykkja það ef þú vilt halda áfram.“

Gallinn er bara sá að þessi nálgun er alls ekki í samræmi við GDPR reglugerðina, og byggist trúlega á misskilningi.

Gamall draugur endurvakinn

Til er önnur evrópsk tilskipun, ePrivacy, sem fjallar almennt um rafræn fjarskipti. Hún hefur fengið gælunafnið „The Cookie Law“ eða kökulöggjöfin vegna þess að það var í henni sem fyrir nokkrum árum voru gerðar kröfur um að notendur þyrftu að veita leyfi sitt fyrir allri tækni sem gæti fylgst með notkun þeirra milli ólíkra vefsvæða, sér í lagi svokölluðum vafrakökum eða „cookies“.

Þótt tilgangur þeirrar tilskipunar hafi verið góðra gjalda verður, var lagatextinn algert klúður og bar þess merki að þeir sem sömdu hann hafi ekki skilið tæknina sem liggur að baki.

Tilskipunin var svo óskýrt orðuð að til öryggis þurftu vefstjórar að biðja um leyfi fyrir öllum kökum (jafnvel vegna tæknilega ómissandi og sárasaklausrar notkunar) en jafnframt svo ónákvæm að þeir bíræfnu komust upp með að setja notendum sínum afarkosti:

Það sem flestir „samþykkis“ gluggarnir segja í raun

Niðurstaðan var sú að ekkert breyttist nema að Internetið fylltist af tilkynningagluggum eins og þessum hér fyrir ofan: „Svona eru hlutirnir og með því að nota vefinn okkar ertu að samþykkja það. Punktur.“

Ómissandi kökur

Staðreyndin er nefnilega sú að þessar litlu textaskrár sem eru sjálfkrafa vistaðar á tölvunum okkar og sendar með öllum samskiptum milli vafra og vefþjóns eru undirstaða allrar nútíma veftækni. Þær gera vafranum kleift að „muna“ hvort við erum innskráð í heimabankann, hvort við höfum sett eitthvað í körfu í vefverslun og meira að segja hvort við höfum lokað öllum þessum óþolandi tilkynningagluggum.

„Vandamálið“ sem tilskipuninni var ætlað að sporna gegn er þegar t.d. auglýsingaveitur nýttar á ólíkum vefjum skilja eftir sig langlífar kökur sem notaðar eru til þess að fylgja notendum frá einum vef til annars og njósna þannig um nethegðun þeirra í laumi.

Ef þú hefur einhvern tímann upplifað það að skoða tiltekna vöru í vefverslun og skömmu síðar fara allir vefir sem þú heimsækir að auglýsa nákvæmlega þá vöru getur þú þakkað það langlífum kökum.

Upprunalega tilskipunin var illa fram sett og lagði í raun alla kökunotkun að jöfnu. Orðalagið hefur síðar verið endurbætt en skaðinn var skeður og allir höfðu vanist á að slökkva sjálfkrafa á þessum tilkynningagluggum, enda buðu þeir ekki upp á neina aðra valkosti.

Þegar kom að innleiðingu hennar í íslensk fjarskiptalög var þess sem betur fer gætt að vanda betur til orðalagsins og leggja áherslu á duldar persónunjósnir. Fyrir vikið sluppu íslenskir vefir að mestu við þessa holskeflu innihaldslausra tilkynninga.

Fyrir áhugasama er eftirfarandi málsgrein úr fjarskiptalögum hin íslenska „kökulöggjöf“:

Notkun njósnahugbúnaðar, vefhlerunarbúnaðar eða annars slíks búnaðar sem komið er fyrir í endabúnaði notanda til þess að fá aðgang að upplýsingum, safna földum upplýsingum eða fylgjast með athöfnum hans er einungis heimil í lögmætum tilgangi og með vitund hlutaðeigandi notanda. Notanda er rétt að hafna notkun slíks búnaðar.

En hvað segja nýju GDPR reglurnar?

GDPR reglugerðin fjallar um söfnun og meðhöndlun upplýsinga sem tengja má persónum með einum eða öðrum hætti. Undir það falla rafræn gögn sem innihalda nöfn, netföng, kennitölur, símanúmer, IP-tölur o.s.frv.

Öll söfnun og miðlun slíkra upplýsinga er nægjanleg til að teljast „vinnsla“ í skilningi laganna, jafnvel þótt ekkert sé unnið úr þeim að öðru leiti.

Lögð er áhersla á að aflað sé samþykkis fyrir allri vinnslu persónuupplýsinga sem ekki er augljóslega bráðnauðsynleg fyrir þá notkun sem um er að ræða og útlistað er hvaða skilyrði slíkt samþykki þarf að uppfylla.

Reglugerðin (og nýju persónuverndarlögin) segja hins vegar ekki til um það nákvæmlega hvernig á að afla samþykkisins — og þar stendur kökuhnífurinn í kúnni.

Það er óumdeilt að afla þarf samþykkis fyrir því að deila gögnum með utanaðkomandi aðilum (oftast vísað til sem „þriðja aðila“) á borð við Facebook eða Google eins og vefir gera þegar þeir nýta sér þjónustur á borð við Google Analytics, Facebook Pixel eða setja upp Facebook læk-hnappa. Það er því kannski skiljanlegt að vefir grípi til þess að skella upp þessum gamalkunnu samþykktargluggum.

Gallinn er hins vegar sá að í þeim felst ekki samþykki í anda laganna.

As a general rule, the GDPR prescribes that if the data subject has no real choice, feels compelled to consent or will endure negative consequences if they do not consent, then consent will not be valid. If consent is bundled up as a non-negotiable part of terms and conditions it is presumed not to have been freely given. Accordingly, consent will not be considered to be free if the data subject is unable to refuse or withdraw his or her consent without detriment.

(Úr Guidelines on Consent under Regulation 2016/679)

Með öðrum orðum, ef notandanum er ekki boðið upp á raunverulegt og frjálst val getur hann ekki veitt gilt samþykki.

Í því felst misskilningurinn sem ýjað var að í upphafi. Þessar gömlu „Sættu þig við það eða snautaðu burt!“ tilkynningar uppfylla ekki skilyrði laganna af því þær eru í raun ekki að afla marktæks samþykkis.

ePrivacy til bjargar (bráðlega)

Nú kann að læðast að einhverjum hugsunin „það virðist rosaleg vinna að útfæra þetta fyrir hvert einasta vefsvæði sem notar t.d. Google Analytics — væri ekki hægt að leysa þetta einhvern vegin miðlægt?“

Þessi misserin stendur yfir vinna við endurskoðun ePrivacy tilskipunarinnar sem áður var nefnd, hluti af því er að hækka hana í tign og gera að reglugerð. Segja má að samspil þessara tveggja reglugerða felist í því að GDPR segi hvað má og hvað má ekki varðandi persónulegar upplýsingar, en í ePrivacy verður því lýst tæknilega hvernig þau skilyrði eru uppfyllt í rafrænum samskiptum. Vonir stóðu til að hún yrði tilbúin áður en GDPR reglugerðin tæki gildi, en það tókst því miður ekki.

ePrivacy reglugerðin er umfangsmikil og nær til miklu fleiri atriða en bara vefnotkunar, texti hennar er til umsagnar á mörgum stöðum og lítið hægt að fullyrða um það hver verður hin endanlega niðurstaða.

Það liggur þó fyrir að í nýju reglugerðinni verður reynt að vinda ofan af vitleysunni sem fyrri útgáfur hrundu af stað. Það verður til dæmis gert með því að gera vafra (og sambærilegan hugbúnað) ábyrga fyrir því að halda utan um stillingar notenda sinna varðandi persónuverndarmál.

Þannig mun notandi geta svarað því í eitt skipti fyrir öll hvort hann vill leyfa t.d. Google Analytics mælingar og látið það val skila sér á öll vefsvæði. Það er að sjálfsögðu sú leið sem hefði átt að fara í gömlu kökulöggjöfinni, en betra er seint en aldrei.

Í skýringum við textadrög reglugerðarinnar segir m.a. um þetta:

Web browsers are encouraged to provide easy ways for end-users to change the privacy settings at any time during use and to allow the user to make exceptions for or to whitelist certain websites or to specify for which websites (third) party cookies are always or never allowed.

Þetta gæti t.d. þýtt að í fyrsta sinn sem notandi kemst í tæri við þjónustu sem fellur undir persónuverndarlögin sjái vafrinn um að upplýsa um það og leita eftir samþykki.

Eftirfarandi skjáskot sýnir dæmi frá hönnunarstofunni Normally um það hvernig slíkar tilkynningar gætu litið út. Annars vegar útfærsla sem krefst þess að notandinn taki afstöðu áður en haldið er áfram, hins vegar hógværari tilkynning sem ekki truflar flæði.

Dæmi (frá Normally) um það hvernig tilkynningar um áður óséða vafraköku gætu litið út.

(Undirritaður mælir með því fyrir þá sem eru áhugasamir um notendaupplifun og persónuvernd að skoða alla skýrsluna frá Normally).

Það hver lokaniðurstaðan verður og hversu fljótir vafraframleiðendur verða að bregðast við á eftir að koma í ljós. Þegar texti reglugerðarinnar liggur fyrir (vonandi síðar á árinu) færist ábyrgðin á endanlegri útfærslu yfir til vafraframleiðenda til þess þeir verði tilbúnir þegar reglugerðin tekur gildi.

En hvað á þá að gera núna?

Það má segja að við séum á tímapunkti þar sem löggjöfin er komin fram úr tækninni og tæknirisarnir eru að kortleggja hver verði næstu skref. Vonandi er stutt í það að vafrar fari að bjóða upp á stillingarmöguleika af þeim toga sem ePrivacy drögin lýsa — og að vefir og þjónustuveitur taki meira mark á þeim heldur gert er í dag varðandi þær „Do not track“ stillingar sem þegar eru í boði í flestum vöfrum.

Fyrsta skref ábyrgðarmanna vefsvæða til að uppfylla kröfur GDPR og nýju persónuverndarlaganna er að kortleggja alla mögulega söfnun persónuupplýsinga og gera skýra grein fyrir þeim í persónuverndarskilmálum.

Hluti af þeirri kortlagningu hlýtur að vera að kanna hvort raunverulega er þörf á þjónustum sem byggja á „tracking“ virkni eða hvort aðrar leiðir eru í boði.

Það hversu langt á að ganga í því að afla samþykkis fyrir notkun þjónustu á borð við Google Analytics er svo ákvörðun hvers og eins. Þar til ePrivacy löggjöfin, sem var nefnd hér að framan, tekur gildi þurfa allir vefir að ákveða sjálfir hvort og hvernig þeir ætla að afla samþykkis til að uppfylla skilyrði laganna.

Þegar beðið er um samþykki þarf að gera það þannig að notendur hafi raunverulegt val, eitthvað í líkingu við:

Samþykkisgluggi sem býður upp á möguleikann á því að stilla notkun

Hluti af stillingarmöguleikunum myndi hér vera að velja hvaða mælingar (ef einhverjar) notandinn vill leyfa.

Eina útfærslu af þessu má sjá á vefnum eplica.is. Prófið til gamans að fara á persónuverndarsíðu vefsins og eftir að hafa svarað spurningunni um notkun Google Analytics getið þið séð hvernig upplýsingagjöfin breytist.

Dæmi um aðra framsetningu samþykktar má sjá á vef ICO, sem er hin breska systurstofnun Persónuverndar. Það má reyndar gagnrýna ýmislegt í notendaviðmóti þeirrar lausnar — en ef manni tekst að finna „Turn cookies off“ hnappinn, þá er það val virt þaðan í frá (fyrir ónauðsynlegar kökur).

Það er samt rétt að nefna að jafnvel breska persónuverndarstofnunin fer ekki alveg rétt að. Þeirra framsetning er í raun að „skjóta fyrst og spyrja svo“, með því virkja strax notkunarmælingar og halda því áfram nema notendur finni út úr því hvernig þeir geta afþakkað vafrakökur.

Ef við biðjum ekki um samþykki, erum við þá ekki að brjóta í bága við GDPR og persónuverndarlögin?

Með því að upplýsa með skýrum hætti hvaða persónuupplýsingar er unnið með (og gefa notendum leiðbeiningar um það hvernig þeir geta haft áhrif) er klárlega komið til móts við anda laganna — en það eitt og sér uppfyllir ekki öll skilyrði þeirra.

Upplýsing er eitt, samþykki er annað.

Á meðan ekki liggur fyrir nákvæmlega hvernig (og hvar) mælst er til þess að samþykkis sé aflað er sú leið kannski skiljanleg sem margir íslenskir vefir fara (þar á meðal Hugsmiðjan og vefir Stjórnarráðsins); að leggja áherslu á upplýsinguna og fræðslu til notenda um þeirra valkosti — og ganga þannig út frá einhvers konar óbeinu samþykki.

Sú nálgun er hins vegar ekki í fullu samræmi við kröfur GDPR. Það að skella í andlit notenda samþykktargluggum sem ekki bjóða upp á möguleikann að svara neitandi breytir þar engu.

Því að fara eftir lögunum að öllu öðru leyti en því að sækja fullgilt samþykki notenda fyrir nafnlausum notkunarmælingum (eins og Google Analytics og Siteimprove gefa sig út fyrir) má kannski líkja við það að aka á rétt rúmlega 90 á íslenskum þjóðvegunum. Þó það sé ekki löglegt telst það kannski ekki alvarlegt lögbrot.

En eftir því sem deilingarhnöppum, pixlum og öðrum ósýnilegum tengingum í auglýsinganet fjölgar, því meira fjarlægist notkunin mörkin og færist frá ljósgráu svæði inn á dekkri slóðir.

Vonandi munu vafrarnir fljótlega bjóða upp á þann möguleika að hægt verði að sækja beint til þeirra samþykki eða höfnun notenda fyrir notkun á helstu þjónustum, en þar til það verður þurfum við ábyrgðarmenn vefsvæða að ákveða hversu langt við göngum í að afla slíks samþykkis sjálf.

Samantekið:

  • Það er ótvíræð krafa til vefsvæða að upplýsa með skýrum hætti um alla söfnun og miðlun persónutengjanlegra upplýsinga.
  • Það að nota (nafnlausar) notkunarmælingar án þess að sækja áður skýrt samþykki notenda er á ljósgráu svæði, en vonandi mun ný ePrivacy reglugerð fækka vafaatriðum og gera notendum auðveldara með að velja og hafna á einum stað.
  • Tengingar við Facebook, auglýsinganet og aðrar lausnir sem byggja upp persónuprófíla gera kröfu um skýrt samþykki. Sem stendur heyrir það upp á ábyrgðarmenn hvers vefsvæðis hvernig þeir afla slíks samþykkis.
  • Ekki er hægt að afla gilds samþykkis með samþykktargluggum sem ekki bjóða upp á að hafna ónauðsynlegum vafrakökum.

Sjá einnig: ‘Everyone is breaking the law right now’: GDPR compliance efforts are falling short

Höfundur er tæknimenntaður persónuverndarfulltrúi Hugsmiðjunnar, en ekki lögfræðingur. Til að skera úr lögformlegum álitamálum tengdum nýju persónuverndarlögunum er rétt að fá viðeigandi lögfræðiráðgjöf.