Author: Þorsteinn Guðmundsson

Flestir sem fara um internetið kannast við fyrirbæri sem kallaðar eru vafrakökur. Kökur þessar gera eigendum vefsíðna kleift að fylgjast með hegðun okkar á vefsíðunni og afla þannig gagna sem nýtast í viðskiptum þeirra en þær geta líka nýst þriðju aðilum eins og samfélagsmiðlum.

Til einföldunar má skipta vafrakökum í tvo flokka, nauðsynlegar og ónauðsynlegar. Nauðsynlegar kökur muna t.d. eftir því hvað við setjum í körfuna í vefverslun en þær ónauðsynlegu safna t.d. gögnum um staðsetningu notenda og rekja ferðir þeirra um netið í þeim tilgangi að birta þeim viðeigandi auglýsingar.

Öflun upplýsinga með vafrakökum telst vera vinnsla persónuupplýsinga og er notkun þeirra einungis heimil á grundvelli samþykkis notenda. Þó með þeirri undantekningu að notkun nauðsynlegra vafrakaka er almennt heimil án samþykkis.

Hvað þarf að hafa í huga þegar notast á við vafrakökur?

Á árinu 2020 gaf franska Persónuverndarstofnunin út leiðbeiningar um notkun vafrakaka sem meðal annars eru byggðar á niðurstöðum Evrópudómstólsins í máli netverslunarfyrirtækis gegn neytendasamtökum í Þýskalandi, þar sem tekist var á um notkun á vafrakökum fyrir tilstilli „Like“ hnapps frá Facebook á vefsíðu fyrirtækisins. Hér verður stiklað á stóru um það sem fram kemur í leiðbeiningunum.

Eigandi vefsíðu sem ætlar að notast við vafrakökur þarf að upplýsa um það með áberandi hætti. Það þarf enn fremur að upplýsa m.a. um hvaða tegund kaka notast er við, tilganginn með þeim og hver ábyrgðaraðili vinnslunnar er. Venjan er að þetta sé gert með vafrakökuborða og vafrakökustefnu.

Eins og áður hefur komið fram þarf að afla samþykkis viðskiptavinar eða síðunotenda fyrir notkun ónauðsynlegra vafrakaka. Samþykki þetta verður að uppfylla skilyrði persónuverndarlaga sem þýðir að það þarf að vera upplýst og gefið af fúsum og frjálsum vilja. Þetta leiðir einnig til þess að ekki er hægt að byggja á ætluðu samþykki eða aðgerðarleysi notendans. Setningar eins og „… með því að nota vefinn samþykkir þú notkun á vafrakökum.“ eru því algerlega gagnslausar og teljast ekki lögmætur grundvöllur til notkunar á vafrakökum. Með öðrum orðum þá telst vinnsla persónuupplýsinga með vafrakökum, sem byggir á ætluðu samþykki, vera ólögleg.

Jafn mikilvægt og að afla samþykkis fyrir vafrakökum er að veita möguleikann á því að hafna þeim. Vafrakökuborði ætti því að vera útbúinn bæði með hnappi til að samþykkja og hnappi til að hafna kökum. Þá þarf að gera notendum auðvelt fyrir að draga samþykki sitt til baka hvenær sem þeir kjósa að gera svo.

Að lokum skal lögð áhersla á að gætt sé að því að engar vafrakökur myndist áður en samþykkis hefur verið aflað, því eins og áður sagði er slík notkun á vafrakökum ólögleg.

Hver er staðan á íslenskum vefsíðum?

Ef litið er til íslenskra vefsíðna og mið tekið af fyrrgreindum leiðbeiningum frönsku persónuverndarstofnunarinnar þá lítur út fyrir að meirihluti íslenskra fyrirtækja sem notast við vafrakökur á sínum vefsíðum geri það ekki samkvæmt lögum. Þannig er nokkuð algengt að sjá vefsíðueigendur notast við ætlað samþykki, eins og lýst er hér að ofan, og mjög algengt að ekki sé gefinn kostur á því að hafna vafrakökum. Ennfremur er nokkuð um það að notenda ekki sé tilkynnt um notkun á vafrakökum. Öll þessi atriði leiða að öllu jöfnu til þess að viðkomandi vefsíðueigandi telst ekki hafa heimild til að nota ónauðsynlegar vafrakökur.

Undirritaður hefur áður fjallað um það á þessum vettvangi hvað sé í húfi fyrir fyrirtæki og opinbera aðila ef ekki er farið að persónuverndarlögum. Rétt er því að hvetja eigendur vefsíðna til að ganga úr skugga um að vinnsla persónuupplýsinga með vafrakökum sé samkvæmt lögum. Að öðrum kosti getur sinnuleysi í þessum málum leitt til þess að viðkomandi teljist stunda ólöglega vinnslu persónuupplýsinga og það verður að teljast meiriháttar brot á persónuverndarlögum.

Þorsteinn Guðmundsson birti greinina einnig á Vísi, sjá hér.

Í nær öllum persónuverndarstefnum er fullyrt að persónuvernd sé tekin alvarlega og að öll vinnsla persónuupplýsinga sé í samræmi við persónuverndarlög. Það sem reynist þó oft fyrsti prófsteinninn á slíkar staðhæfingar er innihald stefnanna.

Hér eru nokkur af þeim mistökum sem sést hafa í persónuverndar- stefnum á netinu.

1. Djúpt er á stefnunni
   Persónuverndarstefna ætti að vera auðfundin á vefsíðunni og helst ætti ekki að þurfa nema 1 – 2 smelli til að nálgast hana. Lang einfaldast er að hafa hlekk neðst á fyrstu síðu fyrirtækjavefsins sem leiðir mann beint í skjalið.
2. Blanda saman skilmálum og persónuvernd
   Persónuverndarstefna ætti að vera algerlega aðskilin frá notkunar- eða ábyrgðarskilmálum á vefsíðu. Þannig ættu upplýsingar um vinnslu persónuupplýsinga t.d. ekki að vera einn kafli eða grein í skilmálum sem gilda um notkun á vefnum eða í vefverslun.
3. Að samþykkja þurfi persónuverndarstefnu
   Það er mikill misskilningur á tilgangi persónuverndarstefnu að gera ráð fyrir að viðskiptavinur eða aðrir þurfi að samþykkja efni stefnunnar. Klausur eins og „… með því að veita okkur persónuupplýsingar, samþykkir þú skilmála og skilyrði þessarar stefnu um persónuvernd.“ hafa enga þýðingu í sjálfu sér. Aftur á móti myndi vinnsla persónuupplýsinga sem byggð er á slíku ætluðu samþykki án efa teljast ólögmæt.
4. Óljóst hvaða upplýsingar unnið er með og hvenær
   Skýrt þarf að koma fram hvaða upplýsingar unnið er með og hvenær það er gert. Alltof algengt er að sjá orðalag eins og “… dæmi um persónuupplýsingar sem unnið er með”, „… kunnum að vinna með …“ eða „… vinnum einkum …“. Það er lykilatriði að hægt sé að gera sér fyllilega grein fyrir því hvort og þá hvenær unnið er með persónuupplýsingar.
5. Notað er lagatæknimál og langar málsgreinar
   Forðast ætti að nota upphafið mál eða flókið orðalag. Hinn almenni borgari á að geta skilið efni persónuverndarstefnu án sérþekkingar á persónuverndarlögum. Að sama skapi skal ekki nota langar málsgreinar eða langan samfelldan texta. Betra er að hafa textann hnitmiðaðan og nota upptalningu á punktaformi þegar það á við.
6. Stefnan ekki uppfærð
   Persónuverndarstefna á að endurspegla starfsemina og vera uppfærð þegar vinnsla eða lög og reglur breytast. Allmörg fyrirtæki eru með persónuverndarstefnur sem hafa verið ekki uppfærðar síðan árið 2018 og sem dæmi má nefna að í mörgum þeirra er þess getið að gagnaflutningur byggi á ,,Privacy Shield” samkomulaginu. Það samkomulag var hins ógilt með dómi Evrópudómstólsins árið 2020 og því ólöglegt að byggja á því.

Í persónuverndarlögum segir að markmið þeirra sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Stór þáttur í því að njóta friðhelgi einkalífsins gagnvart vinnslu persónuupplýsinga er að vinnslan teljist gagnsæ og sanngjörn, þ.e. uppfylli skilyrði sanngirnisreglu persónuverndarlaga. Það er því grundvallarskilyrði að einstaklingar viti að unnið sé með persónuupplýsingar um þá.

Fyrirtækjum sem vinna persónuupplýsingar um viðskiptavini sína ber því samkvæmt persónuverndarlögum að tilkynna þeim um vinnsluna en slíkar upplýsingar hafa mikla þýðingu fyrir viðkomandi t.a.m. til að geta tekið afstöðu til vinnslunnar út frá þeim réttindum sem persónuverndarlög veita. Algengast er að slíkar tilkynningar séu færðar fyrir augu viðskiptavina með svokölluðum persónuverndarstefnum á vefsíðum fyrirtækja.

Það skiptir máli hvert innihald persónuverndarstefnu er

Fjölmörg atriði þarf að hafa í huga þegar slíkar persónuverndarstefnur eru settar fram en hér verður þó einungis tæpt á þeim helstu.

Vart ætti að þurfa taka það fram að mikilvægast af öllu er að fyrirtæki hafi yfirhöfuð upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðu fyrirtækisins t.d. í formi persónuverndarstefnu. Það er ekki síður mikilvægt að persónuverndarstefna sé á áberandi stað og helst á aðalsíðu fyrirtækjavefsins. Þannig ætti ekki að þurfa nema einn til tvo „smelli“ til að komast í stefnuna.

Miklu máli getur skipt hvernig persónuverndarstefnur eru orðaðar því skýrt þarf að koma fram hvaða upplýsingar unnið er með og hvenær. Ekki ætti því að nota orðalag eins og “… dæmi um persónuupplýsingar sem unnið er með”, “… gætum unnið með …”, „… kunnum að vinna með …“ eða „… vinnum einkum …“ þegar lýst er hvaða persónuupplýsingar eru unnar. Slíkt orðalag er þó ansi algengt þrátt fyrir að vera ófullnægjandi því eins og áður sagði er það grundvallaratriði að einstaklingar viti hvaða persónuupplýsingar eru unnar um þá og hvenær það er gert. Hér er því mikilvægt að fyrirtæki noti meira afgerandi orðalag enda ætti það ekki að vefjast fyrir fyrirtækjum, sem hafa útbúið vinnsluskrá, hvenær það vinnur persónuupplýsingar um viðskiptavini sína.

Rétt er að hafa það í huga að persónuverndarstefnur eru í eðli sínu upplýsingar til hins almenna neytenda og ættu því að vera á einföldu og skýru máli. Forðast ætti að nota óútskýrð hugtök úr persónuverndarlögum og annað lagatæknimál. Því miður er alltof algengt að sjá persónuverndarstefnur þar sem notast er við langar málsgreinar, t.a.m. þar sem vinnslu persónuupplýsinga er lýst í samfelldu máli sem fyllir margar línur. Betra er að setja textann upp í punktaformi til að gera textann aðgengilegri og sporna með því við „upplýsingaþreytu“. Í því samhengi má benda á ef viðskiptavinir skilja almennt ekki efni persónuverndarstefnu og geta þannig ekki ráðið af henni hvaða persónuupplýsingar eru unnar um þá eða hvenær það er gert, þá uppfyllir vinnslan ekki kröfur persónuverndarlaga um sanngirni og gagnsæi.

Staða íslenskra fyrirtækja gagnvart persónuvernd

Eftir skoðun á fjölda vefsíðna er óhætt að fullyrða að stór hluti fyrirtækja á Íslandi uppfyllir ekki fyrrgreind skilyrði persónuverndarlaga. Í því sambandi ætti að vera nokkuð augljóst að fyrirtæki sem ekki birtir upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðu sinni, getur ekki talist uppfylla kröfur persónuverndarlaga um sanngjarna og gagnsæja vinnslu. Einnig er ljóst að fyrirtæki sem birtir ófullnægjandi persónuverndarstefnu, eins og hér hefur verið lýst, gerir það ekki heldur.

Það er mikið í húfi fyrir rekstraraðila að hafa persónuverndarmálin á hreinu því trúverðugleiki fyrirtækja og traust viðskiptavina verða ekki metin til fjár. Það verða þó hins vegar sektarákvarðanir Persónuverndar, því samkvæmt lögunum geta sektir fyrir brot á þeim reglum sem hér um ræðir numið allt að 2,4 milljörðum eða 4% af ársveltu, eftir því hvort er hærra.

Rétt er því að hvetja rekstraraðila fyrirtækja til að birta upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðum sínum. Einnig þarf að ganga úr skugga um að persónuverndarstefnan uppfylli skilyrði persónuverndarlaga. Að öðrum kosti gæti aðgerðarleysi í þessum efnum leitt til þess að bæði glatist fé og traust.

Þorsteinn birti greinina einnig á Vísi, sjá hér.