Innehållsförteckning

DFRI om cookielagen
#

Cookielagen, eller implementationen av The revised E-Privacy Directive eller Directive 2009/136/EC var mycket diskuterad under sommaren 2011, då lagen trädde i kraft i Sverige. Efter det har tyvärr inte mycket hänt, framförallt för att man då ansåg att ägare till webbplatser skulle få tid för anpassningar för att följa direktivet.

Problemet har delvis varit tekniskt, hur vet man om användaren givit sin tillåtelse att sätta cookies, eller inte, utan att sätta en cookie som informerar om användarens val? Det är dock inte 2011 längre, och idag har samtliga stora webbläsare stöd för DNT, eller Do-not-track. Även Google valde att implementera DNT i sin webbläsare, trots att de vid tidpunkten var mycket kritiska mot både lagen och förslaget på lösning.

Enkelt förklarat så inkluderas användarens önskemål om huruvida spårning är ok eller inte i varje http-anrop, så att webbplatsägaren enkelt kan ta användarens önskemål i beaktning, utan att för den sakens skull behöva ställa frågor om användarens preferenser.

DNT ligger väl i linje med direktivets önskan att detta ska kunna genomföras på ett användarvänligt sätt.

Vad säger lagen?
#

Lagen i sin svenska implemtantion men även direktivet gör det tydligt att detta inte är till för att begränsa för skaparna av webbplatser.

18 § /Träder i kraft I:2011-07-01/ Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Lag (2011:590).

Vad innebär detta?
#

Detta betyder att om en användare väljer att ”logga in”, eller kanske bockar i en checkbox ”kom ihåg mig” eller möjligen ”lägg vara i korgen” så är det helt i sin ordning att sätta en cookie utan att be om lov. Detta eftersom användaren har begärt det.

Det som däremot inte är tillåtet är att utan godkännande sätta en cookie som delas med andra i syfte att spåra användaren, en cookie som är giltig flera år framåt i tiden eller en cookie som vars syfte är att göra användaren unikt identifierbar.

Det är enkelt, be om lov om inte användaren bett dig först. En slags hövlighetsprincip om man så vill.

DFRI:s position
#

DFRI anser att cookielagen är bra eftersom den utan att göra det tekniskt svårt för användaren gör det möjligt att uttrycka en önskan om att slippa bli spårad, något som alla bör ha rätt till. DFRI anser därför att lagen bör efterlevas och att det även ska innebära repressalier att inte efterleva den.

Vanliga argument mot cookielagen
#

Den går inte att efterleva på ett vettigt sätt (tenkiskt)Så var det möjligtvis 2011, men idag är läget annorlunda. Att läsa en http-header och därefter avgöra om cookies ska sättas eller inte är rent tekniskt väldigt enkelt.
Webplatser blir så fula och jobbiga att använda när popups ska fråga om cookies hela tidenMed DNT finns det inte längre något behov att ha några popups eller dylikt, då användaren redan tidigare uttryckt sitt önskemål. Det som däremot behöver finnas kvar är texten om cookies och vad dessa används till.
Cookies behövs för att jag ska kunna veta hur mina användare nyttjar min webbplats. Detta går alldeles utmärkt att göra både genom att analysera serverloggar eller genom att be användare om lov om de önskar bli unikt identifierbara. Ett annat alternativ är att endast göra detta med inloggade användare, eller för den delen genom att skapa ett unikt ID för varje session som sedan används i adressfältet. Du kan däremot inte göra detta persistent till samma användare utan att först be om lov.