Biträdande dataombudsman Anu Talus kräver i ett beslut att ett finländskt företag på sina webbsidor måste ge besökarna rätt att godkänna eller neka användning av cookies, eller så kallade spårare. Det här ser ut att bli ett viktigt prejudikat för alla webbsidor i landet.
Det gäller ett finländskt företag som använde cookies för att kunna rikta reklam och för att kunna skräddarsy sina tjänster – precis såsom många andra finländska sajter gör.
Företaget slussade vidare information om användningen och användarnas IP-adresser till utomstående företag, och drog också nytta av den själv.
Enligt beslutet, som kom på fredag eftermiddag, informerade webbplatsen bara i en så kallad "banner" att spårningen skedde, men användaren kunde inte välja att säga nej.
I sajtens dataskyddsbeskrivning sades att användare kan förbjuda cookies genom att göra vissa inställningar i sin webbläsare. Det är helt i enlighet med riktlinjer från Transport- och kommunikationsverket Traficom, som hittills har brukat fatta beslut om cookies.
Biträdande dataombudsman Anu Talus konstaterar ändå att det inte i praktiken är tillräckligt att hänvisa till webbläsarens inställningar, och att användaren måste få göra ett aktivt val om han eller hon godkänner eller förkastar cookies, och det måste vara tydligt vad man går med på.
– Giltigt samtycke kan inte ges passivt så att det bara står att spårningen pågår, och inte heller via förkryssade rutor. Att säga nej och att ångra sitt beslut om samtycke måste också vara lika enkelt som att ge samtycke, kommenterar biträdande dataombudsmannen Anu Talus till Svenska Yle.
Närmare 100 fall
Talus berättar att Dataombudsmannens byrå har närmare 100 liknande fall att ta ställning till och att det här beslutet kommer att fungera som ett prejudikat.
– De beslut som fattas efter detta kommer alltså att följa samma linje, säger hon.
Hon påpekar ändå att det nu aktuella cookies-beslutet ännu kan överklagas.
Det kan med andra ord komma att få stor betydelse för många webbsidor i landet, om det vinner laga kraft.
Traficom tolkar reglerna annorlunda
I Finland har Transport- och kommunikationsverket Traficom kommit med riktlinjer gällande hur man ska göra när det gäller cookies på finländska webbsidor.
Men många organisationer har haft svårt att tolka Traficoms riktlinjer (endast på finska), som bland annat bygger på en äldre finländsk lag om elektronisk kommunikation.
Där sägs att samtycke till spårning via cookies kan ges via webbläsarens inställningar.
I praktiken stöder de vanligaste webbläsarna ändå inte att användaren aktivt skulle kunna välja ja eller nej i samband med varje webbplats.
Det har hittills inneburit att många finländska sajter har nöjt sig med att lista i sin dataskyddsbeskrivning, ofta på ett ganska undanskymt ställe på sajten, att cookies faktiskt används och till vad. Användarna har därmed inte i praktiken kunnat välja om de godkänner spårningen eller inte.
Dataombudsmannens byrå stöder sig på GDPR
Biträdande dataombudsman Anu Talus preciserar för Svenska Yle att samtycket i princip kan ges via webbläsarens inställningar om det sker på ett sådant sätt där användaren får ett aktivt val, men det fungerar alltså inte rent tekniskt i dag.
Därmed är till exempel en banner där man tydligt kan välja ja eller nej i praktiken en bättre lösning, medan den lösning Traficom förespråkar inte verkar vara gångbar.
Biträdande dataombudsmannens färska beslut bygger på EU:s dataskyddsförordning (GDPR).
– Det är knepigt det här. Dataombudsmannens byrå har rätt att fatta beslut gällande cookies, när det har med användarens samtycke att göra. I övrigt ligger ansvaret för beslut om cookies på Traficom – åtminstone tills vidare, säger hon.
Klarare EU-regler att vänta
Talus hoppas på att nya bindande EU-regler om integritet och elektronisk kommunikation ska göra arbetsfördelningen tydligare, så att olika myndigheter inte fattar helt olika beslut i samma frågor.
Reglerna väntas bli klara år 2021, men kommer troligen att ha en övergångsperiod på två år innan de behöver tillämpas fullt ut.
I dagens läge har det varit svårt för de som upprätthåller finländska webbsidor att veta vad som gäller.
– Att läget har varit så oklart har också bidragit till att vi valde att inte utfärda en sanktionsavgift i det nu aktuella fallet, säger Talus.
Heikki Tolvanen jobbar med dataskyddsfrågor och har aktivt följt med hur cookies-reglerna tillämpas i Finland.
– Min uppfattning är att Traficom har en tolkning som är felaktig. Däremot är biträdande dataombudsmannens beslut i linje med beslut i andra EU-länder, säger han.
Tolvanen tillägger att han ivrigt väntar på att se hur det blir med arbetsfördelningen och vilken aktör som i framtiden entydigt ska få ha makt att bestämma.
Svenska Yle följer Traficoms cookiesregler, som har varit allmän praxis i Finland. Det innebär att vi informerar om cookies i vår dataskyddsbeskrivning och instruerar användarna att använda webbläsarens inställningar för cookies.
– Men vi följer med situationen och bedömer vilka åtgärder som behöver vidtas, säger webbchef Peter Sjöholm.
Traficom var inte tillgänglig för en kommentar på fredagseftermiddagen.
