Brev till PTS om tillsyn av lagen mot ofrivillig spårning
Föreningen för Digitala fri och rättigheter påbörjade våren 2013 en kampanj för att stödja lagen mot ofrivillig spårning av slutanvändare (“kaklagen” eller LEK kap 6 §18). Bestämmelsen kommer från det europeiska e-Dataskyddsdirektivet och har skapat uppmärksamhet och kritik från marknadsföringsindustrin. I korthet utvecklade DFRI ett plugin för Firefox och Chrome som låter slutanvändare rapportera till Post- och telestyrelsen (PTS) att företag på nätet inte följer lagen. Jag använde själv PTS-knappen vid ett par tillfällen, och hade möjlighet att skynda på PTS tillsynsarbete, som nu kommit igång ordentligt.
Ett stort problem för både oss, allmänheten, och PTS, är att marknadsföringsindustrin har mycket bättre möjligheter att göra sig hörda i PTS pågående arbete än vad vi som allmänhet har. Marknadsföringsindustrin har också goda möjligheter att komma ut i svenska medier, och marknadsföra sina viktiga ståndpunkter till mediarepresentanter och opinionsbildare. Därför är kampanjer som DFRI:s väldigt viktiga.
Jag har också noterat att fler hemsidor börjat visa att de använder kakor för att spåra användare. Andra former av spårning (script, fingerprinting, och liknande) sker fortfarande i det dolda. I nedanstående mejl till Post- och telestyrelsen framför jag oro, inte bara för att den mesta spårningen fortfarande är otransparent, utan att även upplysningen om spårning medelst kakor presenteras som givet faktum. I vissa EU-länder, t ex Storbritannien, har tillsynsmyndigheterna uttryckligen uttalat att “implicit godkännande” av spårning är tillräckligt för att spårning ska kunna ske. T ex, att jag besöker en hemsida, blir spårad, och eftersom jag har besökt hemsidan har jag godkänt detta trots att jag hade mycket få möjligheter att förstå avtalet innan jag faktiskt besökte hemsidan. Implicit godkännande är en avtalsrättslig styggelse, som inte skulle accepteras utanför nätet och som Post- och telestyrelsen - om inte annat så i syfte att se till att samma regler gäller på, som utanför, internet - bör hålla sig borta ifrån.
Hej PTS,
Jag undrar hur det går med er pågående tillsyn av LEK kap 6 §18.
Ett ökande antal hemsidor i Sverige har börjat deklarera saker som “ Vi använder cookies för att ge dig bästa möjliga kundupplevelse. Om du fortsätter innebär det att du accepterar att cookies används. ” (taget från sj.se:s huvudsida). Ett liknande meddelande förekom tidigare på regeringen.se, även om det i dagsläget är flyttat till http://www.regeringen.se/sb/d/15003/a/18581 (en länk tillgänglig från huvudsidan, men allra längst ned till höger).
Jag är oroad för att det håller på att etableras en praxis av “implicit tillstånd” i Sverige. Eftersom jag, som konsument, har besökt en hemsida har jag - med eller utan min vetskap - implicit gått med på att hemsidan spårar mig via script, kakor, osv. SJ.se spårar mig t ex enligt Firefox-pluginet Ghostery genom både Adobe Omniture, Tealeaf och Adform.
“Implicit tillstånd” eller “implicit godkännande av ett avtal att låta sig spåras” är ingen bra avtalsrättslig princip att göra allmän i elektroniska miljöer, tror jag. Utanför internet skulle vi inte godta att konsumenter eller någon annan påtvingas ett avtal de inte är medvetna om eller kan förhindra, bara för att de råkar befinna sig någonstans. Praxis från områden som idag upplevs mer normala (t ex tjänsteleveranser och produktleveranser till privatperson) innehåller extra starkt skydd för privatpersoner (som mig) t o m när avtalet inte alls är implicit (jfr KKöpL eller KTjänstL), och det vore oerhört olyckligt (enligt mig) om PTS i sitt tillsynsarbete råkar förleda kommersiell sektor och företag att internet är en plats där inga konsumenträttigheter gäller.
Därför vill jag gärna vet hur PTS i dagsläget behandlar frågan, och om PTS kan förtydliga att de just inte arbetar emot de sunda avtalsrättsliga principer som gäller utanför nätet. Jag hoppas att PTS delar uppfattningen att samma regler ska gälla på som utanför internet.
hälsar,
Amelia Andersdotter
On 05/13/13 08:12, Konsument wrote:
Hej,Tack för ditt senaste mejl.
Ja det är ett spännande arbete som är på gång. Det är bara ett fåtal länder i europa som har en uppdelning mellan en dataskyddsmyndighet och en regulatorisk tillsynsmyndighet för elektroniska kommunikationer som den i Sverige, därav att vi inte har blivit inbjudna till i TS-gruppen mer än vid ett fåtal tillfällen tidigare. Nu ser vi fram emot en kommande workshop i kak-frågan under sommaren eller i början av hösten.
Vad gäller DNT-förslaget har jag inga uppgifter utan vi får avvakta och se.
Med vänlig hälsning
X
Du skrev: Hej X,
Tack för ditt uttömmande svar och förlåt att jag spammade lite :-)
Det låter som ett spännande samarbete med artikel 29-gruppen. Har det redan påbörjats eller är det i startfaserna?
Vet ni också hur det har gått med Neelie Kroes rekommendationer att implementera DNT-standarden? Så vitt jag kan se behöver man dels att alla webbläsare slår på DNT by default, och sedan DNT-header på hemsidan. Vet inte om Kroes var inne på samma tanke runt 2010-2011 men hon pratade om något liknande iaf.
hälsar,
Amelia
On 2013-05-07 08:53, Konsument wrote: > Hej, > > och tack för ditt mejl. PTS har tagit emot din anmälan rörande SvD:s användning > av kakor. Det är alltid värdefullt för myndigheten att få en uppfattning om > marknaden och omvärlden. Myndigheten avgör dock självständigt om tillsyn ska > inledas och har således inte någon skyldighet att agera på enskilda anmälningar. > > Enligt bestämmelsen i 6 kap. 18 § LEK måste webbplatsinnehavaren informera alla > webbplatsens besökare om hur information lagras i eller hämtas från deras > datorer. Det innebär att information måste lämnas om vilka kakor som används, i > vilket syfte de används, vilka uppgifter som sparas i kakorna och hur länge > kakorna sparas på besökarnas datorer. Webbplatsens besökare måste också samtycka > till användningen av kakor. Det innebär att webbplatsinnehavaren måste se till > att det finns möjlighet för besökaren att ta del av informationen om kakorna och > baserat på denna information visa att han eller hon samtycker, det vill säga > godkänner, att webbplatsen använder kakor på det sätt som beskrivs. > > PTS har gett dem som har webbplatser tid och utrymme att själva utveckla > passande lösningar för att inhämta samtycke och lämna information till > webbplatsens besökare. Varje webbplats är unik och det finns därför inte en enda > lösning som passar på alla webbplatser. > > I år har PTS bidragit till att alla regulatoriska myndigheter har samlats i > Bryssel för att diskutera tillämpningssvårigheter med kak-bestämmelsen i 6 kap. > 18 § LEK (artikel 5(3) i ePrivacy direktivet) i en arbetsgrupp under WP > 29-gruppen, Technical Subgroup, en grupp som från början är avsedd för > dataskyddsmyndigheterna (där Sverige representeras av Datainspektionen). PTS > kommer att inleda tillsyn på området efter sommaren och har även för avsikt att > ta fram en vägledning för vad som krävs för att leva upp till bestämmelsen och > särskilt kravet på information och samtycke. > > Som jag skrev inledningsvis är det värdefullt för oss att få del av synpunkter > och klagomål och din input kan mycket väl komma att beaktas inom ramen för vår > planerade tillsyn, för det mycket riktigt vi som är tillsynsmyndighet. > > Med vänlig hälsning > > X, jurist > > _________________________________ > Post- och telestyrelsen (PTS) > Nätsäkerhetsavdelningen > Enheten för integritet och driftsäkerhet > www.pts.se > > > > Du skrev: > —–Ursprungligt meddelande—– > Från: Amelia Andersdotter > Skickat: den 2 maj 2013 18:30 > Till: Diarielåda > Ämne: Önskar tillsyn angående www.svd.se (LEK kap6 §18) > > Hej PTS! > Jag besväras av att www.svd.se inte tycks följa LEK kap 6 §18. Här följer de > kakor som www.svd.se valt att utan samtycke lagra på min > terminalutrustning: > > svd-wp-quota=**************************; svd-mc=*; > JSESSIONID=***************************; EASFv=*; xtvrn=******; xtan=; > xtant=; s_cc=; s_ppv=; > gpv_pn=*********************************************; > s_nr=*******; ev6=***************; s_sq=*******; > s_vi=***************************************** > > Så som jag har förstått är PTS tillsynsmyndighet för den här lagen. Jag önskar > därför veta om det är så och i så fall hur ni följer upp sådana här ärenden. > > Tacksam för svar, > > Amelia Andersdotter > >
Amelia Andersdotter
“Rätten till privatliv är rätten att själva kunna överblicka vilka vi är och hur vi blir sådana.”