Under 2018 införde EU en lag vid namn General Data Protection Regulation (GDPR). Syftet med lagen var att skydda användare från den automatiska lagring av personlig data i form av så kallade cookie-filer. Med GDPR på plats måste webbsidor informera besökaren om vilka uppgifter som sparas, och be besökaren om tillstånd för att laga uppgifterna.
GDPR definierar dock inte hur webbsidor implementerar detta dataskydd, något som lett till att vissa företag låser innehåll bakom väggar som kräver att användaren accepterar datalagringen för att visa innehållet. Detta står i kontrast mot syftet med GDPR, vars syfte var att ge individen möjligheten att välja att acceptera spårning eller ej. Nu publicerar EU uppdaterade riktlinjer (PDF) som bland annat definierar att det inte är tillåtet att tvinga besökaren att acceptera dataspårning för att låsa upp innehåll.
40. A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given.
41. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice.
Ett annat tillägg i riktlinjerna berör aktörer som tillämpar grundläggande interaktion med webbsidans innehåll som ett godtagande av dataspårning. Vissa webbsidor tolkar grundläggande interaktion som scrollande eller svepande gester som ett godkännande av dess GDPR-regler. EU konstaterar att sådan interaktion inte kan avgöra om användaren accepterar eller motsätter sig reglerna, och interaktionen kan därför inte tolkas som ett godkännande av dataspårningen.
Ändringarna i GDPR är dock endast riktlinjer från EU som medlemsländer sedan ska tolka för nationella lagar. Webbsidor kan välja att implementera ändringarna frivilligt, men hur snabbt ett lagstadgat införande kan ske på nationell nivå är oklart i skrivande stund.
