För ett tag sedan skrev
Linus Nordberg på
twitter om den så kallade kaklagen.
Jag svarade att
jag tyckte lagen var korkad och borde ignoreras,
varpå Linus bad mig utveckla åsikten, och jag sa att jag skulle försöka
åstadkomma ett blogginlägg om det. Här är det inlägget.
Jag börjar med att göra något av en helomvänding.
Lagen kanske faktiskt är riktigt vettig.
I så fall är dock den tolkning många gör av den fel.
Här är själva lagtexten:
Uppgifter får lagras i eller hämtas från en abonnents eller
användares terminalutrustning endast om abonnenten eller användaren får
tillgång till information om ändamålet med behandlingen och samtycker
till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för
att överföra ett elektroniskt meddelande via ett elektroniskt
kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst
som användaren eller abonnenten uttryckligen har begärt.
Lag (2011:590)
Uppgifter som lagras i terminalutrustning är till exempel kakor
i en webbläsare (den krånliga formuleringen är bra, eftersom den inkluderar
även liknande saker i andra system, även sådana som inte finns än, och i
telefonisystem där man som vanlig användare har mycket mindre makt
över sin egen utrustning).
För att lagra kakor krävs alltså dels att användaren får reda på vad
kakorna är till för och dels att användaren går med på att använda kakorna.
Om lagen är bra eller dålig beror på hur mycket man lägger i orden
informera, nödvändig, och
samtycker.
Så hur ska man tolka lagen?
Jag tittar närmare på ett par webbsidor vars utgivare borde ha koll.
Intressant nog har de gjort ganska olika tolkningar.
På regeringen.se visas en ruta högst upp på alla sidor på
siten, där det står
På regeringen.se används kakor, bl.a. för anonym statistik. Du
hjälper oss att göra en bättre webb om du accepterar kakor.
följt
av en kryssruta och en knapp med texten Jag accepterar
kakor
.
Texten är en länk till en sida som dels förklarar att de oavsett mitt val
redan har lagrat ett antal kakor (som "försvinner när du stänger ner din
webbläsare"). och dels i allmänna ordalag förklarar vad kakorna används
till, dock utan att nämna någon specifik kaka vid namn. De ofrivilliga
kakorna heter userId, enableCookies, __utma, __utmz, __atuvc, JSESSIONID,
och X-Mapping-qbooldlg. Bara de två sistnämnda är faktiskt sådana som
försvinner när användaren stänger ner sin webbläsare.
Regeringen tycker alltså att samtycke är något
som ska ges explicit på själva siten.
Men de tycker också att de informerar trots att
informationen inte är helt korrekt, och de tycker tydligen att de kakor som
används för att analysera besöksmönster för att eventuellt kunna förbättra
innehållet kan räknas som nödvändiga
(och de tycker det är ok att låta ett kommersiellt utländskt företag
hantera besöksuppgifter för att göra den analysen).
På lagen.nu finns ett stycke längst ned på förstasidan:
Lagen.nu använder cookies, och enligt 6 kap. 18 § lagen om
elektronisk kommunikation ska man informera om syftet med dessa. Läs mer
här!
med länk till sjävla lagtexten och
en sida om kakor på
lagen.nu.
Här informerar man kortfattat men konkret och
såvitt jag kan bedömma korrekt. Man anser inte att några kakor är
nödvändiga för tjänsten.
Användaren anses ha gett sitt samtycke helt enkelt
genom att inte stänga av kakor i sin browser.
Om den tolkning lagen.nu har gjort är korrekt så tycker jag att lagen
är vettig och bör följas.
Så jag utgår från att lagen är vettig, väljer den tolkning som i så fall
måste vara den riktiga och följer den.
Här är min information om kakor.
Men vilken tolkning är egentligen den rätta?
Kommentarer välkommnas både från eventuella jurister som läser detta och
från tekniker och lekmän!
Latest comments