Cookies-regler svæver i vinden

Hvilke regler gælder for cookies under GDPR? Det er ikke sådan lige til at gennemskue, konstaterer denne uges klummeskribent, databeskyttelsesrådgiver Lars Due Nielsen fra Persondatakonsulenterne, der har spurgt hos både Erhvervsstyrelsen og FDIH. Klummen indeholder bud på et svar.

Datatilsynet har i skrivende stund ikke udsendt en vejledning eller kommet med retningslinjer vedrørende brugen af cookies under GDPR. Det kan skyldes, at cookies og deres anvendelse er lidt af en gråzone i forhold til GDPR, samt at cookie-lovgivningen hører under Erhvervsstyrelsen. Selve handlingen, at sætte og læse en cookie, hører under cookie-lovgivningen, mens de personoplysninger, man evt. måtte gemme i en cookie, reguleres af GDPR.

Et af de store spørgsmål er, om man skal bede om samtykke, før en cookie sættes, samt om samtykket skal tolkes ud fra GDPR eller cookie-lovgivningen.

Spørgsmålene er i det hele taget mange og svarene nærmest umulige at finde. Hos Persondatakonsulenterne har vi derfor spurgt hos Erhvervsstyrelsen og de danske internethandlendes brancheforening, FDIH, for at komme nærmere et konkret svar. Mere om det senere.

Cookies hører under Erhvervsstyrelsen
Det er som nævnt Erhvervsstyrelsen, der fører tilsyn med overholdelse af cookie-lovgivningen. Måske er det derfor, at Datatilsynet ikke har grebet bolden i forhold til at vejlede om cookies i relation til GDPR. Under alle omstændigheder kan man på Erhvervsstyrelsens hjemmeside finde en række vejledninger og guides, både for offentlige og private virksomheder i relation til cookies.

Efter en gennemgang af alle vejledninger, kan vi med sikkerhed sige, at vi alle skal overholde følgende omkring cookies:

  • Vi skal klart og tydeligt informere brugerne om, at der sættes cookies på hjemmesiden, samt hvad formålet med dem er. Altså, det klassiske cookie-banner, som vi kender det. Her skal det dog anføres, at rigtig mange cookie-bannere i dag blot skriver "Vi bruger cookies for at forbedre din oplevelse på hjemmesiden", hvilket ikke er godt nok. Særligt ikke, hvis der sættes cookies fra for eksempel Facebook og Google, hvor formålet kan være markedsføring eller personalisering af indholdet på hjemmesiden. Dette er allerede kravet under cookie-lovgivningen, men det bør samtidig gøres endnu mere eksplicit under GDPR, da GDPR har et øget fokus på gennemsigtighed, så det er mere tydeligt hvad de egentlige formål er.

  • Under cookie-lovgivningen skal brugeren give sit samtykke til de cookies, der sættes. Kun rent tekniske cookies, der er nødvendige for at hjemmesiden fungerer, må man sætte, uden at der kræves samtykke. Under GDPR er der flere steder lovhjemmel til at behandle personoplysningerne, så det behøver strengt taget ikke være baseret på samtykke. For eksempel vil man formodentlig godt kunne retfærdiggøre, at behandling af en IP-adresse til statistikformål kan gøres under legitim interesse.

  • Brugeren skal kunne trække sit samtykke til brug af cookies tilbage. Her har vi tidligere set en del "Sådan sletter du cookies i din browser"-tekster, som blot henviser til, hvordan man selv sletter cookies i sin browser. Ja, selv Erhvervsstyrelsen har sådan en tekst. Dette er måske ’nok’, hvis dit samtykke alene er i relation til cookie-lovgivningen, men hvis du også benytter samme samtykke i relation til GDPR-behandlingen, så er det nok ikke nok. Det er min vurdering, at GDPR netop kræver nemmere adgang til at trække samtykke tilbage, da det omkring samtykke i GDPR hedder, "at det skal være lige så let at trække tilbage som at give". Altså bør det være nemt, let og gennemsigtigt, hvordan man trækker sit samtykke tilbage direkte på hjemmesiden – også til cookies.

Samtykke før der sættes cookies?
Det helt store samtaleemne er, hvorvidt brugeren skal give sit samtykke, før der sættes cookies, samt hvad der kan betragtes som et samtykke?

99 procent af alle cookie-bannere i dag antager et samtykke, hvis brugeren klikker ”OK” (og ofte kan man ikke andet) eller blot browser videre på hjemmesiden. Hvis vi igen kigger på GDPR, så er kravene til samtykke nu blevet meget eksplicitte, og et samtykke er kun gældende, hvis der gives et reelt valg, og hvis der er tale om en utvetydig viljestilkendegivelse. Skal en behandling være baseret på samtykke, så skal det nu være meget eksplicit, hvad man siger ja til.

Så skal vi nu til at have en stor knap og et afkrydsningsfelt, før brugerne får adgang til hjemmesiden? Nej, heldigvis ikke… Men hvordan får vi så brugerens samtykke, inden der sættes cookies?

Læser man Erhvervsstyrelsens egne ’3 gode råd’, så skriver de, at man skal få brugerens samtykke, inden der sættes cookies.

Senest har FDIH også været i dialog med Erhvervsstyrelsen, og i et blogindlæg fremhæver FDIH særligt, at man skal have samtykke, inden cookies sættes.

Men er det sandt, at vi skal have samtykke, inden der sættes cookies? I teorien og jævnfør lovgivningen er svaret ja.

MEN! For der er et stort men. I Erhvervsstyrelsens vejledning til cookie-bekendtgørelsen, skriver de på side 5 følgende:

”Dialogen med Kommissionen og de øvrige medlemslande viser en bred enighed om fortolkningen af samtykkereglerne i EU, men nogle lande håndhæver i praksis samtykkekravet således, at det i særlige tilfælde accepteres, at cookies lagres forud for at brugeren har givet samtykke hertil. Der er behov for en nærmere afklaring fra Kommissionen omkring denne praksis. Indtil afklaring foreligger, vil Erhvervsstyrelsen ikke håndhæve kravet om forudgående samtykke. Styrelsen vil i tilsynet med reglerne i stedet lægge vægt på hjemmeside ejerens indsats for at sikre fyldestgørende information til brugeren om hjemmesidens anvendelse af cookies, samt mulighed for brugeren til at acceptere eller afvise cookies.

Erhvervsstyrelsen”

Altså skriver Erhvervsstyrelsen her, at selvom loven siger, at vi skal have samtykke inden der sættes cookies, så håndhæves det ikke, så længe der ikke foreligger en afklaring fra Kommissionen! Vejledningen er dateret april 2013, hvorfor vi har spurgt både Erhvervsstyrelsen og FDIH, om der er kommet en afklaring eller om ovenstående uddrag fra vejledningen stadig er gældende?

FDIH: Ingen ændringer
FDIH har svaret, at der ikke er nogen ændringer, hverken i lovgivningen eller i Erhvervsstyrelsens håndhævelse af reglerne. Erhvervsstyrelsen foretager sig ikke noget før, vi har fået de nye cookie-regler (ePrivacy direktivet, som er i behandling i EU), svarer FDIH.

Erhvervsstyrelsen har svaret, at der kort fortalt ikke er kommet en afklaring fra Kommissionen af spørgsmålet, samt at Erhvervsstyrelsen i øjeblikket vurderer behovet for at revidere teksten i cookievejledningen.

Erhvervsstyrelsen svarer endvidere, at som det fremgår af cookie-vejledningen, så er der bred enighed om, at reglerne formentlig skal fortolkes således, at et samtykke til cookies for at være gyldigt skal være givet, før disse placeres eller læses i brugerens udstyr (computer, mobiltelefon, tablet m.v.). Dette ændrer for eksempel den nye generelle databeskyttelsesforordning (GDPR) ikke på. Således giver det god mening, når FDIH og andre vejleder til at indhente samtykke til brug af cookies, inden de placeres eller læses i brugernes udstyr.

Sidst men ikke mindst fremhæver Erhvervsstyrelsen, at det er vigtigt at holde sig for øje, at cookie-reglerne alene omhandler selve indsamlingssituationen, for eksempel når data lagres i eller lagret data hentes fra en cookie. Videre behandling af sådan data, der indeholder personoplysninger, er underlagt reglerne i GDPR. Spørgsmålet om, hvorvidt behandling herefter lovligt kan foretages med det oprindelige samtykke som hjemmel, hører under Datatilsynets ansvarsområde og må besvares af dem.

Altså må vi afvente udmelding eller yderligere vejledning fra Datatilsynet, før vi med sikkerhed kan konkludere hvad der er op og ned omkring cookies.

Hvad vil du overholde - loven eller etikken?
Med andre ord: Indtil der foreligger en helt klar vejledning, så handler det grundlæggende om, hvorvidt man vil være den gode dreng i klassen eller om man vil ’bryde’ loven, i hvert fald når det komme til samtykke i forbindelse med cookies. Hos Persondatakonsulenterne vurderer vi, at det jo er konkurrenceforvridende, hvis nogen overholder reglerne og andre vælger ikke at gøre det, fordi de ikke bliver straffet.

Så er du den lille webshop, der får 70 procent af din omsætning gennem Facebook-annoncering, så kan det betyde et stort tab i omsætning, hvis du vælger at bede om samtykke, inden cookies sættes. Og vælger din konkurrent ikke at gøre det, så ender du som taberen i et spil, hvor vinderen ikke straffes for at snyde.

Alle hjemmesideejere skal kigge sig selv i øjnene og vurdere deres konkurrencemæssige situation. Hvis du står til at miste meget af din omsætning, så ville jeg overveje at undlade samtykket, men hvis det ikke gøre en forskel, bør du naturligvis overholde reglerne, også selv om de ikke håndhæves. Det er også muligt, at brugerne generelt bliver mere bevidste omkring, hvad deres data anvendes til og dermed ad egen vej begynder at regulere markedet – og dermed fravælger dem, der ikke udviser tilstrækkelig gennemsigtighed.

Det gør Persondatakonsulenterne
1) Vi sætter cookies ved første besøg på hjemmesiden – også før du har givet samtykke.

2) Vi oplyser tydeligt øverst i vores cookie-banner, hvad formålet er med cookies på hjemmesiden. Dette formål er permanent gentaget i footeren på alle sider, så det også er tilgængeligt når cookie-banneret er klikket væk.

3) Vi gør det nemt at trække sit samtykke tilbage for de enkelte cookies direkte på vores cookies-side.

4) Vi respekterer "Do Not Track". Hvis man besøger vores hjemmeside og har aktiveret "Do Not Track" i sin browser, så sættes der ikke nogle cookies, før der aktivt gives samtykke til hver enkelt.

Dette er vores bedste bud på en implementering af cookies, som er oplysende, gennemsigtig og hvor det er nemt at trække sit samtykke tilbage. Og ja, så har vi ind til videre valgt at sætte cookies før samtykke, så længe der ikke foreligger bedre vejledning fra FDIH, Erhvervsstyrelsen eller Datatilsynet.

Skrevet af

Lars Due Nielsen

Lars Due Nielsen, Databeskyttelsesrådgiver, IT- og persondatakonsulent

Lars Due Nielsen er databeskyttelsesrådgiver samt IT- og persondatakonsulent, og leder til dagligt rådgivningsvirksomheden Persondatakonsulenterne, der rådgiver virksomheder om GDPR-compliance. Han har 18 års erfaring fra IT-branchen samt en juridisk overbygning i persondataret og GDPR. Lars Due Nielsen fungerer både som GDPR-rådgiver, ekstern Databeskyttelsesrådgiver (DPO), underviser og foredragsholder.

Klummer

Se alle