EU-domstolen: Förkryssade cookie-rutor uppfyller inte kravet på samtycke

 In Nyheter

Ett giltigt samtycke till lagring av s k cookies kan inte anses ha skett genom att en webbplatsbesökare godtagit en redan förkryssad ruta om sådan lagring. Det konstaterar EU-domstolen, i stor kammare, genom ett nyligen meddelat förhandsavgörande.

Cookies, eller kakor, är små textfiler som en webbplatsinnehavare kan placera på en webbplatsbesökares dator för att spåra och analysera användarens surfmönster. Informationen som samlas in kan sedan användas i exempelvis analys- och marknadsföringssyfte. Eftersom lagringen kan omfatta såväl personuppgifter och annan konfidentiell information om besökaren uppställer EU:s direktiv om integritet och elektronisk kommunikation (2002/58/EG) ett krav på samtycke till lagring av cookies.

Planet49, en tysk webbplatsägare, hade låtit lagra cookies i samband med en pristävling på sin webbplats. När besökare deltog i tävlingen, genom att fylla i sitt namn och sina adressuppgifter i ett tävlingsformulär, presenterades även en förkryssad ruta som gav Planet49 rätt att lagra cookies på den tävlandes dator. Informationen som samlades in skulle sedan delas med en tredje part – en tillhandahållare av webbanalystjänster – som underlag för riktad marknadsföring. Tyska myndigheter ansåg att en förkryssad ruta inte uppfyllde kraven på samtycke enligt tysk rätt och EU-rätt, varför frågan slutligen hamnade hos EU-domstolen.

EU-domstolen konstaterar att samtyckeskravet i direktivet om integritet och elektronisk kommunikation hänvisar till det upphävda dataskyddsdirektivet, numera ersatt av dataskyddsförordningen (GDPR). Både direktivet och förordningen förutsätter att samtycke lämnas genom aktivt handlande av den enskilde, inte genom passivitet. Enligt dataskyddsförordningen kan samtycke i och för sig manifesteras exempelvis genom att en ruta kryssas i på en webbplats. EU-domstolen påminner om att det dock anges i förordningens ingress (punkt 47) att tystnad, på förhand ikryssade rutor eller inaktivitet inte bör utgöra samtycke.

Samma tolkning ska även gälla vid tillämpning av direktivet om integritet och elektronisk kommunikation. EU-domstolen menar dessutom att det inte har någon avgörande betydelse om det är personuppgifter som lagras eller inte; tolkningen ska i vilket fall vara densamma.

Målet gav också tillfälle för EU-domstolen att uttala att direktivet om integritet och elektronisk kommunikation kräver att webbplatsinnehavaren informerar användaren om kakornas funktionstid och möjligheten för tredje part att ta del av kakorna.

EU-domstolens bedömning, såsom det kommer till uttryck i avgörandet, kan förutsättas få inverkan också vid tolkningen av motsvarande bestämmelser i svensk lagstiftning (särskilt 6 kap. 18 § lagen (2003:389) om elektronisk kommunikation).

Europadomstolens dom den 1 oktober 2019 i mål C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV mot Planet49 GmbH