Krävs samtycke för varukorgs-cookies?

Tekniska grunder

Varukorgs-cookies används när användaren lägger produkter i webbutikens varukorg. Detta tjänar till att identifiera användaren över sessioner via servern eller webbutiken.

Utan möjlighet till identifiering skulle webbutiken inte längre kunna koppla varukorgen till användaren om användaren stänger sin webbläsare efter att ha fyllt varukorgen men innan köpet slutförs, eller om sessionen avslutas av andra skäl (t.ex. timeout på grund av längre inaktivitet från användaren).

Därför sparar servern eller webbutiken en cookie på användarens enhet som identifierar användaren. På så sätt kan webbutiken, när en användare besöker webbutiken, genom att läsa ut cookien fastställa om användaren redan har en icke inlösen varukorg och hämta innehållet i varukorgen från databasen igen.

Genom att spara en varukorgs-cookie på användarens enhet och senare läsa ut varukorgs-cookien via servern/webbutiken kan webbutiken alltså identifiera användaren över sessionens slut och koppla varukorgens innehåll till användaren.

Teknisk nödvändighet/samtycke

Rimligtvis kan man anta att användaren förväntar sig en fungerande varukorgslösning, att innehållet i varukorgen inte bara går förlorat genom att stänga webbläsaren eller genom längre inaktivitet. Vem har lust att leta reda på alla produkter igen bara för att man har haft ett telefonsamtal eller gjort en prisjämförelse hos andra butiker?

Följaktligen skulle varukorgs-cookies enligt artikel 5.3 i direktiv 2002/58/EG (eller i Österrike § 96.3 TKG) klassificeras som cookies som är absolut nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen har begärt.

Därmed skulle inget samtycke krävas för att spara och läsa ut varukorgs-cookies.

Behandlingsförfarande ”Varukorg”

Att placera varukorgs-cookien är dock inte ett självständigt behandlingsförfarande, utan bara en del av det förhandsavtalsmässiga behandlingsförfarandet ”Varukorg”. Varukorgen är ett förhandsavtalsmässigt behandlingsförfarande som utlöses när en användare lägger produkter i varukorgen. Behandlingsförfarandet ”Varukorg” är således enligt artikel 6.1 b i GDPR nödvändigt för att genomföra förhandsavtalsmässiga åtgärder som sker på begäran av den berörda personen.

Därmed skulle inget samtycke krävas för hela det förhandsavtalsmässiga behandlingsförfarandet ”Varukorg”.

Rättssäker implementering

Så långt, så bra. Som så ofta beror det dock även på rätt implementering när det gäller varukorgen.

Sessionscookies

Helt problemfritt skulle vara sessionscookies, alltså cookies som raderas i slutet av sessionen när webbläsarfönstret stängs. Varukorgens innehåll skulle då visserligen fortfarande finnas i databasen, men skulle inte längre kunna kopplas till någon användare på grund av avsaknad av motsvarande varukorgs-cookie.

Sessionscookies är dock inte optimala för varukorgslösningar. Kunder lägger ofta produkter i varukorgen, men köper inte omedelbart av olika skäl. Om kunden stänger webbläsarfönstret för att göra ytterligare prisjämförelser eller för att fundera lite, skulle varukorgens innehåll vara borta när sidan öppnas igen med en sessionscookie.

Detta är varken optimalt för butiksoperatören, eftersom det skulle sänka köpfrekvensen avsevärt, eller meningsfullt för kunderna, eftersom de skulle behöva leta reda på sina produkter igen.

Permanenta cookies

Därför används permanenta cookies för varukorgen, alltså cookies som överlever sessionens slut. Strikt taget är beteckningen permanent felaktig, eftersom även permanenta varukorgs-cookies löper ut. Exakt när cookien löper ut fastställs via attributet Expiry eller Max-Age för cookien.

Rättssäkert utgångsdatum

Teoretiskt sett skulle man alltså kunna utforma en varukorgs-cookie så att den löper ut först om 10 år. Detta skulle dock inte vara tekniskt nödvändigt för att uppnå syftet med en meningsfull varukorgslösning, eftersom det är alldeles för lång tid. Ingen kund kommer tillbaka efter 10 år och säger: ”så idag köper jag det”. Därför skulle ett så långt utgångsdatum endast vara tillåtet med kundens samtycke på grund av bristande teknisk nödvändighet. Eftersom ett så långt utgångsdatum ändå är meningslöst är inhämtande av samtycke naturligtvis inget alternativ.

Rätteligen ska utgångsdatumet för varukorgs-cookien anpassas till de faktiska kundbehoven. Detta är enkelt om man kan använda sig av erfarenheter eller läsa ut nödvändig information från webbstatistiken. Det perfekta utgångsdatumet är satt så att majoriteten av de kunder som återvänder senare och köper fortfarande hittar en full varukorg.

Problemfritt är nog 7 till 14 dagar. Allt som är längre bör man kunna motivera väl med hjälp av en statistik. Exotiska avvikelser a la ”vi hade en gång en som kom tillbaka veckor senare och köpte” ska inte beaktas vid fastställandet av utgångsdatumet.

Inget samtycke nödvändigt

Är utgångsdatumet konfigurerat på ett meningsfullt sätt, gäller det som tekniskt nödvändigt för att tillhandahålla den funktion som kunden önskar för en varukorg. Därför krävs i detta fall inget samtycke från kunden för lagring och utläsning av cookien.