Halå listan!
Cookielagen håller på att bli en rödgubbe-lag tyvärr, och olika EU-länder har valt att vara mer eller mindre nitiska med den. .NL är ganska hårda, medan UK precis mesat till sin implementation ordentligt[1].
Jag har skrivit ihop en text[2] med vad jag tycker dfri bör ha för position till cookielagen. Vi kanske kan bråka lite om formuleringar, och vad som ska vara med och inte? Alla åsikter mottages tacksamt, för det börjar bli dags att be PTS att tydliggöra vad som gäller. (om nu cookielagen inte behöver följas, hade det inte varit trevligt om det samma gällde DLD? Hur vet man skillnaden på vilka lagar som bör följas och inte?)
Mvh Andreas
1. http://www.theregister.co.uk/2013/02/01/ico_cookie_policy_change/
För er som hatar PDF:
2.
Cookielagen Cookielagen, eller implementationen av The revised E-Privacy Directive eller Directive 2009/136/EC var mycket diskuterad under sommaren 2011, då lagen trädde i kraft i Sverige. Efter det har tyvärr inte mycket hänt, framförallt för att man då ansåg att ägare till webbsiter skulle få tid att anpassa dem till att följa direktivet.
Problemet har delvis varit tekniskt, hur vet man om användaren givigt sin tillåtelse att sätta cookies, eller inte, utan att sätta en cookie som informerar om användarens val? Det är dock inte 2011 längre, och idag har samtliga stora webbläsare stöd för DNT, eller Do-not-track. Även Google valde att implementera DNT i sin webbläsare, trots att de vid tidpunkten var mycket kritiska emot både lagen och förslaget på lösning.
Enkelt förklarat så inkluderas användarens önskemål om huruvida spårning är ok eller inte med i varje http-anrop, så att webbplatsägaren enkelt ska kunna ta användarens önskemål i beaktning, utan att för den sakens skulle behöva ställa frågor om användarens preferenser.
DNT ligger väl i linje med direktivets önskan att detta ska kunna genomföras på ett användarvänligt sätt. Vad säger lagen? Lagen i sin svenska implemtantion men även direktivet gör det tydligt att detta inte är till för att begränsa för skaparna av webbsiter;
18 § /Träder i kraft I:2011-07-01/ Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Lag (2011:590).
Vad innebär detta? Detta betyder att om en användare väljer att ”logga in”, eller kanske bockar i en checkbox ”kom ihåg mig” eller möjligen ”lägg vara i korgen” så är det helt i sin ordning att sätta en cookie, utan att be om lov. Användaren har begärt detta.
Det som däremot inte är tillåtet är att sätta en cookie som delas med andra i syfte att spåra, en cookie som är giltig flera år framåt i tiden (om nu användaren inte explicit efterfrågat att tex bli ihågkommen så länge) eller en cookie som används i syfte att göra användaren unikt identifierbar – utan att först be om lov och få ett godkännande att göra detta.
Det är enkelt, be om lov om inte användaren bett dig först. En slags hövlighetsprincip om man så vill.
DFRI:s position DFRI anser att cookielagen är bra, då den utan att göra det tekniskt svårt för användaren gör det möjligt för användaren att uttrycka en önskan om att slippa bli spårad. DFRI anser därför att lagen bör efterlevas och att det även ska innebära repressalier att inte efterleva den.
Cookielagen är en av de få lagar som gör det möjligt för användare utan teknisk specialkompetens att göra det tydligt att de inte önskar att bli spårade, något som alla bör ha rätt till, inte bara de som besitter den tekniska kompetensen. Vanliga argument mot cookielagen:
Den går inte att efterleva på ett vettigt sätt (tenkiskt) Så var det möjligtvis 2011, men idag är läget annorlunda. Att läsa upp en http-header och sedan därefter avgöra om cookies ska sättas eller inte är rent tekniskt väldigt enkelt. Websiterna blir så fula och jobbiga att använda när popups hela tiden ska fråga om cookies Med DNT finns det inte längre något behov att ha några popups eller dylikt, då användaren redan tidigare uttryckt sitt önskemål. Det som däremot behöver finnas kvar är texten om cookies och vad de används till.
Cookies behövs för att jag ska kunna veta hur mina användare nyttjar min webbplats Detta går alldeles utmärkt att göra både genom att analysera serverloggar eller genom att be användare om lov om de nu önskar bli unikt identifierbara. Ett annat alternativ är att endast göra detta med inloggade användare, eller för den delen genom att skapa ett unikt ID för varje session som sedan används i adressfältet. Du kan däremot inte göra detta persistent till samma användare utan att först be om lov.
Hej Andreas,
Cookielagen håller på att bli en rödgubbe-lag tyvärr, och olika EU-länder har valt att vara mer eller mindre nitiska med den. .NL är ganska hårda, medan UK precis mesat till sin implementation ordentligt[1].
Jag har skrivit ihop en text[2] med vad jag tycker dfri bör ha för position till cookielagen.
tack för det! Jag håller med med den största delen.
För er som hatar PDF:
:)
[snip]
DNT ligger väl i linje med direktivets önskan att detta ska kunna genomföras på ett användarvänligt sätt. Vad säger lagen? Lagen i sin svenska implemtantion
implementation
men även direktivet gör det tydligt att detta inte är till för att begränsa för skaparna av webbsiter;
18 § /Träder i kraft I:2011-07-01/ Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Lag (2011:590).
Vad innebär detta? Detta betyder att om en användare väljer att ”logga in”, eller kanske bockar i en checkbox ”kom ihåg mig” eller möjligen ”lägg vara i korgen” så är det helt i sin ordning att sätta en cookie, utan att be om lov. Användaren har begärt detta.
Det som däremot inte är tillåtet är att sätta en cookie som delas med andra i syfte att spåra, en cookie som är giltig flera år framåt i tiden (om nu användaren inte explicit efterfrågat att tex bli ihågkommen så länge) eller en cookie som används i syfte att göra användaren unikt identifierbar – utan att först be om lov och få ett godkännande att göra detta.
Det är enkelt, be om lov om inte användaren bett dig först. En slags hövlighetsprincip om man så vill.
DFRI:s position DFRI anser att cookielagen är bra, då den utan att göra det tekniskt svårt för användaren gör det möjligt för användaren att uttrycka en önskan om att slippa bli spårad. DFRI anser därför att lagen bör efterlevas och att det även ska innebära repressalier att inte efterleva den.
Cookielagen är en av de få lagar som gör det möjligt för användare utan teknisk specialkompetens att göra det tydligt att de inte önskar att bli spårade, något som alla bör ha rätt till, inte bara de som besitter den tekniska kompetensen.
Kanske bättre att ha bara en avsnitt:
"DFRI anser att cookielagen är bra, då den utan att göra det tekniskt svårt för användaren gör det möjligt för henne/honom att uttrycka en önskan om att slippa bli spårad, något som alla bör ha rätt till. DFRI anser därför att lagen bör efterlevas och att det även ska innebära repressalier att inte efterleva den."
Vanliga argument mot cookielagen:
Den går inte att efterleva på ett vettigt sätt (tenkiskt) Så var det möjligtvis 2011, men idag är läget annorlunda. Att läsa upp en http-header och sedan därefter avgöra om cookies ska sättas eller inte är rent tekniskt väldigt enkelt. Websiterna blir så fula och jobbiga att använda när popups hela tiden ska fråga om cookies Med DNT finns det inte längre något behov att ha några popups eller dylikt, då användaren redan tidigare uttryckt sitt önskemål.
Ha den? Hur är det med en Internet Explorer 10 användare:
http://www.digitaltrends.com/web/yahoo-do-not-track-microsoft-internet-explo...
(se där citatet av Brad Smith som är intressant)
[snip]
eller för den delen genom att skapa ett unikt ID för varje session som sedan används i adressfältet. Du kan däremot inte göra detta persistent till samma användare utan att först be om lov.
Det låter som tracking är bra oavsett vad en användare ville så länge det är bara per session. Då håller jag inte med. Vad är med tracking cookies per session då? Och vad är med en användare som aldrig stänger av sin webbläsare så att det finns bara en stor session? Om det är syftet som spelar den utslagsgivande roll (det tror jag (också)) så börde det inte vara okej heller att har tracking cookies eller tracking X per session om en användare sade "nej" med DNT eller på ett annat sätt. Förresten, jag tror man kunde argumentera att §18 gäller också ett unkikt ID, för det är lagrat i din webbläsare (dvs i din dator). Men kanske det spelar en roll vad §18 menar med "terminalutrustning" här, vet inte...
Georg
Förresten, jag tror man kunde argumentera att §18 gäller också ett unkikt ID, för det är lagrat i din webbläsare (dvs i din dator). Men kanske det spelar en roll vad §18 menar med "terminalutrustning" här, vet inte...
Mmm... när jag funderar på det så verkar det inte längre som ett bra argument. Ett unikt ID är i webbläsarens cache men det spelar ingen roll för den trackingmethoden. Så kanske det är fel att säga "§18 gäller också". Och dessutom IANAL :)
Georg
Halå! Jag klipper lite. :>
Vanliga argument mot cookielagen:
Den går inte att efterleva på ett vettigt sätt (tenkiskt) Så var det möjligtvis 2011, men idag är läget annorlunda. Att läsa upp en http-header och sedan därefter avgöra om cookies ska sättas eller inte är rent tekniskt väldigt enkelt. Websiterna blir så fula och jobbiga att använda när popups hela tiden ska fråga om cookies Med DNT finns det inte längre något behov att ha några popups eller dylikt, då användaren redan tidigare uttryckt sitt önskemål.
Ha den? Hur är det med en Internet Explorer 10 användare:
http://www.digitaltrends.com/web/yahoo-do-not-track-microsoft-internet-explo...
Att det är påslaget default är knappast ett problem, eftersom det är OPT IN enligt direktivet, inte OPT OUT.
Ingen DNT <- Ful ruta: får jag sätta cookie? DNT: 0 <- Ok, användaren tycker det är ok med tracking DNT: 1 <- INTE Ok med tracking, sätter inga cookies öht om de inte begärs eller om jag ber om lov.
[snip]
eller för den delen genom att skapa ett unikt ID för varje session som sedan används i adressfältet. Du kan däremot inte göra detta persistent till samma användare utan att först be om lov.
Det låter som tracking är bra oavsett vad en användare ville så länge det är bara per session. Då håller jag inte med.
Det är inte OK nej om du inte ber om lov först enl. lagen. MEN: om du loggar in och får en cookie så har du implicit begärt detta. Om det sedan resulterar i att du också blir track:ad (google är ett bra exempel här) som konsekvens är det tråkigt, men du har fortfarande begärt det.
Vad är med tracking
cookies per session då? Och vad är med en användare som aldrig stänger av sin webbläsare så att det finns bara en stor session?
Du får inte sätta sessionscookies om inte användaren explicit begärt det (eller givigt om jag tolkar lagen rätt.
Om det är syftet som spelar den utslagsgivande roll (det tror jag (också)) så börde det inte vara okej heller att har tracking cookies eller tracking X per session om en användare sade "nej" med DNT eller på ett annat sätt.
Så länge du har givit ditt medgivande, och dina handlingar resulterar i att du också kan spåras är det nog OK, iaf enligt lagen. Men IANAL jag med.
/andreas
Hej igen,
Med DNT finns det inte längre något behov att ha några popups eller dylikt, då användaren redan tidigare uttryckt sitt önskemål.
Ha den? Hur är det med en Internet Explorer 10 användare:
http://www.digitaltrends.com/web/yahoo-do-not-track-microsoft-internet-explo...
Att det är påslaget default är knappast ett problem, eftersom det är OPT IN enligt direktivet, inte OPT OUT.
jo, enligt direktivet är det inget problem. Men ditt argument var att användaren har redan tidigare _uttryckt_ sitt önskemål med DNT. Om det vore så varför säger bl.a. Yahoo och andra att de ska ignorera DNT om det är från en IE 10 användare? Jag tror att argumentet med DNT (att det är enkelt att respektera användarens önskemål med det) är bra men fungerar inte ang. en IE 10 användare, för där har användaren inte uttryckt att hon/han vill inte bli träck:ad.
eller för den delen genom att skapa ett unikt ID för varje session som sedan används i adressfältet. Du kan däremot inte göra detta persistent till samma användare utan att först be om lov.
Det låter som tracking är bra oavsett vad en användare ville så länge det är bara per session. Då håller jag inte med.
Det är inte OK nej om du inte ber om lov först enl. lagen. MEN: om du loggar in och får en cookie så har du implicit begärt detta. Om det sedan resulterar i att du också blir track:ad (google är ett bra exempel här) som konsekvens är det tråkigt, men du har fortfarande begärt det.
Självklart. Det bara lät (för mig) som det är ett bra alternativ med ett unikt ID i adressfältet om man vill inte be om lov först (med nackdelen att det är inte persistent). Och det borde DFRI inte rekommendera IMO. Men kanske det var inte meningen och min svenska var bara för dåligt (jag visste inte vad jag skulle göra med "för den delen" ;) )...
Georg
Andreas Jonsson andreas@romab.com wrote Thu, 07 Feb 2013 00:58:32 +0100:
| Halå listan! | | Cookielagen håller på att bli en rödgubbe-lag tyvärr, och olika | EU-länder har valt att vara mer eller mindre nitiska med den. .NL är | ganska hårda, medan UK precis mesat till sin implementation ordentligt[1]. | | Jag har skrivit ihop en text[2] med vad jag tycker dfri bör ha för | position till cookielagen. Vi kanske kan bråka lite om formuleringar, | och vad som ska vara med och inte? Alla åsikter mottages tacksamt, för | det börjar bli dags att be PTS att tydliggöra vad som gäller. (om nu | cookielagen inte behöver följas, hade det inte varit trevligt om det | samma gällde DLD? Hur vet man skillnaden på vilka lagar som bör följas | och inte?)
Jag gillar skarpt det här sättet att driva frågan!
| 1. http://www.theregister.co.uk/2013/02/01/ico_cookie_policy_change/ | | För er som hatar PDF:
Och för er som gillar fungerande samarbete om förändringar i texter: https://www.dfri.se/cookielagen-position/
Texten i wikin innehåller några språkändringar och Georgs föreslagna hopslagning av två stycken i "DFRI:s position".
Jag har inte så mycket kommentarer till analysen av läget då jag är okunnig på området. Har du en läslista för den som vill förstå mer, f.a. om hur cookies används i praktiken. Inte främst tekniskt utan mer om vilka slags funktioner man implementerar mha cookies. Jag tänker mig att många av dom funktioner man bygger är osynliga för användaren av en webtjänst, t.ex. tracking av olika slag.
Om https://www.dfri.se/cookielagen fortfarande är aktuell (dvs inte felaktig) så kanske vi kunde lägga till lite nya grejer till den och peka på den från vårt positionspapper?
Tack för den här texten, Andreas!