Halå listan!
Cookielagen håller på att bli en rödgubbe-lag tyvärr, och olika EU-länder har valt att vara mer eller mindre nitiska med den. .NL är ganska hårda, medan UK precis mesat till sin implementation ordentligt[1].
Jag har skrivit ihop en text[2] med vad jag tycker dfri bör ha för position till cookielagen. Vi kanske kan bråka lite om formuleringar, och vad som ska vara med och inte? Alla åsikter mottages tacksamt, för det börjar bli dags att be PTS att tydliggöra vad som gäller. (om nu cookielagen inte behöver följas, hade det inte varit trevligt om det samma gällde DLD? Hur vet man skillnaden på vilka lagar som bör följas och inte?)
Mvh Andreas
1. http://www.theregister.co.uk/2013/02/01/ico_cookie_policy_change/
För er som hatar PDF:
2.
Cookielagen Cookielagen, eller implementationen av The revised E-Privacy Directive eller Directive 2009/136/EC var mycket diskuterad under sommaren 2011, då lagen trädde i kraft i Sverige. Efter det har tyvärr inte mycket hänt, framförallt för att man då ansåg att ägare till webbsiter skulle få tid att anpassa dem till att följa direktivet.
Problemet har delvis varit tekniskt, hur vet man om användaren givigt sin tillåtelse att sätta cookies, eller inte, utan att sätta en cookie som informerar om användarens val? Det är dock inte 2011 längre, och idag har samtliga stora webbläsare stöd för DNT, eller Do-not-track. Även Google valde att implementera DNT i sin webbläsare, trots att de vid tidpunkten var mycket kritiska emot både lagen och förslaget på lösning.
Enkelt förklarat så inkluderas användarens önskemål om huruvida spårning är ok eller inte med i varje http-anrop, så att webbplatsägaren enkelt ska kunna ta användarens önskemål i beaktning, utan att för den sakens skulle behöva ställa frågor om användarens preferenser.
DNT ligger väl i linje med direktivets önskan att detta ska kunna genomföras på ett användarvänligt sätt. Vad säger lagen? Lagen i sin svenska implemtantion men även direktivet gör det tydligt att detta inte är till för att begränsa för skaparna av webbsiter;
18 § /Träder i kraft I:2011-07-01/ Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Lag (2011:590).
Vad innebär detta? Detta betyder att om en användare väljer att ”logga in”, eller kanske bockar i en checkbox ”kom ihåg mig” eller möjligen ”lägg vara i korgen” så är det helt i sin ordning att sätta en cookie, utan att be om lov. Användaren har begärt detta.
Det som däremot inte är tillåtet är att sätta en cookie som delas med andra i syfte att spåra, en cookie som är giltig flera år framåt i tiden (om nu användaren inte explicit efterfrågat att tex bli ihågkommen så länge) eller en cookie som används i syfte att göra användaren unikt identifierbar – utan att först be om lov och få ett godkännande att göra detta.
Det är enkelt, be om lov om inte användaren bett dig först. En slags hövlighetsprincip om man så vill.
DFRI:s position DFRI anser att cookielagen är bra, då den utan att göra det tekniskt svårt för användaren gör det möjligt för användaren att uttrycka en önskan om att slippa bli spårad. DFRI anser därför att lagen bör efterlevas och att det även ska innebära repressalier att inte efterleva den.
Cookielagen är en av de få lagar som gör det möjligt för användare utan teknisk specialkompetens att göra det tydligt att de inte önskar att bli spårade, något som alla bör ha rätt till, inte bara de som besitter den tekniska kompetensen. Vanliga argument mot cookielagen:
Den går inte att efterleva på ett vettigt sätt (tenkiskt) Så var det möjligtvis 2011, men idag är läget annorlunda. Att läsa upp en http-header och sedan därefter avgöra om cookies ska sättas eller inte är rent tekniskt väldigt enkelt. Websiterna blir så fula och jobbiga att använda när popups hela tiden ska fråga om cookies Med DNT finns det inte längre något behov att ha några popups eller dylikt, då användaren redan tidigare uttryckt sitt önskemål. Det som däremot behöver finnas kvar är texten om cookies och vad de används till.
Cookies behövs för att jag ska kunna veta hur mina användare nyttjar min webbplats Detta går alldeles utmärkt att göra både genom att analysera serverloggar eller genom att be användare om lov om de nu önskar bli unikt identifierbara. Ett annat alternativ är att endast göra detta med inloggade användare, eller för den delen genom att skapa ett unikt ID för varje session som sedan används i adressfältet. Du kan däremot inte göra detta persistent till samma användare utan att först be om lov.