Krever handlekurv-informasjonskapsler samtykke?

Tekniske grunnlag

Handlekurv-informasjonskapsler brukes når brukeren legger produkter i nettbutikkens handlekurv. Dette tjener til sesjonsuavhengig identifisering av brukeren av serveren eller nettbutikken.

Uten mulighet for identifisering kunne nettbutikken ikke lenger knytte handlekurven til brukeren, hvis brukeren lukker nettleseren etter å ha fylt handlekurven, før kjøpet er fullført, eller hvis sesjonen avsluttes av andre grunner (f.eks. tidsavbrudd på grunn av lengre inaktivitet fra brukerens side).

Derfor lagrer serveren eller nettbutikken en informasjonskapsel på brukerens enhet som identifiserer brukeren. På denne måten kan nettbutikken, når en bruker besøker nettbutikken, ved å lese informasjonskapselen, fastslå om brukeren allerede har en uinnløst handlekurv og hente handlekurvens innhold fra databasen igjen.

Ved å lagre en handlekurv-informasjonskapsel på brukerens enhet og den senere lesingen av handlekurv-informasjonskapselen av serveren / nettbutikken, kan nettbutikken altså identifisere brukeren utover slutten av en sesjon og knytte handlekurvens innhold til brukeren.

Teknisk nødvendighet / Samtykke

Det er rimelig å anta at brukeren forventer en fungerende handlekurvløsning, at handlekurvens innhold ikke går tapt bare ved å lukke nettleseren eller ved lengre inaktivitet. Hvem har vel lyst til å samle alle produktene på nytt, bare fordi man tok en telefonsamtale eller sammenlignet priser i andre butikker i mellomtiden?

Følgelig ville handlekurv-informasjonskapsler i henhold til art. 5 (3) i direktiv 2002/58/EF (eller i Østerrike § 96 (3) TKG) klassifiseres som informasjonskapsler som er strengt nødvendige for å levere en tjeneste som brukeren uttrykkelig har bedt om.

Dermed ville det ikke være nødvendig med samtykke for lagring og lesing av handlekurv-informasjonskapsler.

Behandlingsprosess “Handlekurv”

Plasseringen av handlekurv-informasjonskapselen er imidlertid ikke en selvstendig behandlingsprosess, men bare en del av den førkontraktuelle behandlingsprosessen “Handlekurv”. Handlekurven er en førkontraktuell behandlingsprosess som utløses når en bruker legger produkter i handlekurven. Behandlingsprosessen “Handlekurv” er dermed i henhold til art. 6 nr. 1 bokstav b GDPR nødvendig for gjennomføring av førkontraktuelle tiltak som skjer på anmodning fra den registrerte.

Dermed ville det ikke være nødvendig med samtykke for hele den førkontraktuelle behandlingsprosessen “Handlekurv”.

Lovlig implementering

Så langt, så bra. Men som så ofte ellers, avhenger det også for handlekurven av riktig implementering.

Sesjonsinformasjonskapsler

Sesjonsinformasjonskapsler, altså informasjonskapsler som slettes ved slutten av sesjonen når nettleservinduet lukkes, ville være helt uproblematiske. Handlekurvens innhold ville da kanskje fortsatt være i databasen, men kunne ikke lenger knyttes til en bruker på grunn av manglende korresponderende handlekurv-informasjonskapsel.

Sesjonsinformasjonskapsler er imidlertid ikke optimale for handlekurvløsninger. Kunder legger ofte produkter i handlekurven, men kjøper ikke umiddelbart av ulike årsaker. Men hvis kunden lukker nettleservinduet for å gjøre ytterligere prissammenligninger før kjøpet eller for å tenke seg om, ville handlekurvens innhold være borte ved gjenåpning av siden hvis det var en sesjonsinformasjonskapsel.

Dette er verken optimalt for butikkeieren, da det ville redusere konverteringsraten betydelig, eller hensiktsmessig for kundene, da de måtte samle produktene sine på nytt.

Permanente informasjonskapsler

Derfor brukes permanente informasjonskapsler for handlekurven, altså informasjonskapsler som overlever slutten av sesjonen. Strengt tatt er betegnelsen permanent unøyaktig, fordi også permanente handlekurv-informasjonskapsler utløper. Når informasjonskapselen nøyaktig utløper, bestemmes av informasjonskapselens Expiry- eller Max-Age-attributt.

Lovlig utløpsdato

Teoretisk sett kunne man altså utforme en handlekurv-informasjonskapsel slik at den først utløper om 10 år. Dette ville imidlertid ikke være teknisk nødvendig for å oppnå formålet med en fornuftig handlekurvløsning, fordi det er altfor lenge. Ingen kunde kommer tilbake etter 10 år og sier: “så i dag kjøper jeg dette”. Derfor ville en så lang utløpsdato, på grunn av manglende teknisk nødvendighet, kun være tillatt med kundens samtykke. Ettersom en så lang utløpsdato uansett er meningsløs, er innhenting av samtykke naturligvis ikke et alternativ.

Korrekt er det at handlekurv-informasjonskapselens utløpsdato må tilpasses de faktiske kundebehovene. Dette er enkelt hvis man kan trekke på erfaringer eller lese ut nødvendig informasjon fra webstatistikken. Den perfekte utløpsdatoen er satt slik at flertallet av kundene som senere kommer tilbake og kjøper, fortsatt finner en full handlekurv.

7 til 14 dager er sannsynligvis uproblematisk. Alt som er lengre, bør man kunne begrunne godt med statistikk. Eksotiske avvik som “vi hadde en gang en som kom tilbake uker senere og kjøpte” skal ikke tas hensyn til ved fastsettelse av utløpsdatoen.

Ikke nødvendig med samtykke

Hvis utløpsdatoen er fornuftig konfigurert, anses det som teknisk nødvendig, for å tilby den funksjonen kunden ønsker for en handlekurv. Derfor kreves det i dette tilfellet ikke samtykke fra kunden for lagring og lesing av informasjonskapselen.