Det er lovpligtigt for hjemmesideejeren at informere brugeren om brugen af cookies på hjemmesiden.
Det er ligeledes lovpligtigt at indhente og dokumentere samtykke fra brugerne på baggrund af infor-mationerne.
I praksis betyder det, at man som bruger skal kunne sige nej tak til cookies. Ved indhentelse af sam-tykket, er der flere gyldighedsbetingelser. De væsentligste gyldighedsbetingelser er, at formålet med indsamlingen ikke må være skjult, og samtykket må ikke være designet med forhåndsafkrydsede fel-ter eller vildledning med farver og knapper, der er egnet til at gøre cookiesamtykket uklart for bruge-ren.
Hvis de pågældende cookies muliggør en personlig identifikation af brugeren, gælder persondatareg-lerne ved siden af cookiereglerne. Det betyder, at informationskravene til brugeren øges, og de øvrige bagvedliggende compliancekrav i GDPR aktiveres.
Cookie- og persondatareglerne stammer fra EU’s charter om grundlæggende rettigheder, og har til formål at beskytte os som individer (og brugere af internettet). Dette formål ses afspejlet i følgende bestemmelser i charteret:
Artikel 7: “Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation.”
Artikel 8: “Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.
Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigel-se heraf.
Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.”
For at sætte reglerne i perspektiv, kan det samtidig nævnes, at Artikel 2 handler om ret til livet og Ar-tikel 10 handler om ret til at tænke frit.
En cookie er en lille tekstfil, som lagres lokalt på brugerens terminaludstyr (f.eks. computer, tablet og smartphone).
Begrebet “cookie(s)” anvendes imidlertid ofte som en forenklet samlebetegnelse for alle mekanismer, der understøtter overvågning af aktiviteter på internettet.
I ePrivacy-direktivet, der regulerer brugen af cookies, benyttes begrebet “trafikdata”, som teknisk set er væsentligt bredere end “cookies”.
I denne guide benytter vi begrebet “cookies” om alle typer “trafikdata”, herunder logfiler, pixels og forskellige typer tracking-mekanismer.
Der findes flere metoder til at kategorisere cookies. Den mest gængse opdeling fremgår af mange hjemmesider med følgende kategorier:
1. Teknisk nødvendige cookies (sørger for hjemmesidens basale funktioner).
2. Statistikcookies (giver grundlag for optimering af brugervenlighed).
3. Præferencecookies (sporer adfærd for at huske sprog, login o. lign.).
4. Marketingcookies (sporer adfærd for at målrette annoncer).
Den store forskel for privatlivets fred, som jo er hele formålet med reglerne, afhænger imidlertid ofte af, om der er tale om såkaldte førstepartscookies eller tredjepartscookies. Det er dog de færreste hjemmesider, som skelner mellem første- og tredjepartscookies ved præsentation af brugen af cookies.
Førstepartscookies betyder, at det er hjemmesideejeren, der har placeret cookies på hjemmesiden. Det betyder som regel, at hjemmesideejeren modtager den trafikdata, der bliver indsamlet.
Tredjepartscookies betyder, at det er en tredjepart, der har placeret cookien på hjemmesiden. Det betyder i de fleste tilfælde, at tredjeparten modtager den trafikdata, der bliver indsamlet.
De to overordnede kategoriseringer skal ses i sammenhæng. En statistikcookie kan f.eks. være både en førstepartscookie og en tredjepartscookie. Det gælder f.eks. Google Analytics. Her får ejeren af hjemmesiden brugerdata om aktiviteten på hjemmesiden, men Google får også del i de indsamlede data, hvilket understøtter Googles eget forretningskoncept.
Brugen af Google Analytics betyder, at Google får lov til at følge med i, hvad der sker på alle de hjemmesider, hvor Google Analytics er implementeret. Den data kan Google derefter benytte i sit samarbejde med andre virksomheder. Det samme gælder Facebook, der indsamler data fra hjemmesider ved hjælp af Facebook-pixel. Det er en lille fil, der f.eks. sidder i deres Facebook-ikon. Hvis man indsætter ikonet for at linke til sin virksomhedsside på Facebook, så indsamler Facebook trafikdata fra hjemmesiden, som kan benyttes til annoncering på Facebook via samarbejder med andre virksomheder. Det samme gælder ikonerne for Twitter, LinkedIn og Instagram.
Det har stor praktisk betydning for, hvordan man effektivt kan indhente et lovligt samtykke, at man kan skelne mellem de relevante kategorier af cookies og modtagerne af den indsamlede data.
Teknisk nødvendige cookies kræver hverken information eller samtykke fra brugeren, da disses formål alene er at understøtte funktionerne på hjemmesiden.
Øvrige typer af cookies kræver forudgående samtykke med information om indsamlingsformålet og varigheden af behandlingen.
Kravet om et forudgående samtykke er årsagen til, at cookiebanneret skal poppe op ved første besøg på hjemmesiden. Rent teknisk kræver det samtidig, at der ikke indsamles nogen cookies inden, der er taget stilling fra brugerens side.
For at leve op til reglerne skal samtykket tage højde for følgende:
1. Brugeren skal oplyses om formålet med indsamlingen (f.eks. markedsføring, præferencer og statistik).
2. Det skal være muligt for brugeren at til- og fravælge de forskellige formål.
3. Brugeren skal have mulighed for at afvise cookies.
4. Samtykket må ikke være designet, så det er mere besværligt for brugeren at vælge til eller fra eller helt at afvise cookies i forhold til at acceptere cookies.
5. Samtykket skal være aktivt – det må f.eks. ikke være muligt at benytte hjemmesiden uden samtykket, hvis cookies dermed indsamles i praksis.
Hvis brugen af cookies muliggør en personlig identifikation af brugeren, gælder persondatareglerne ved siden af cookiereglerne. Det betyder, at informationskravene til brugeren øges og de øvrige, bag-vedliggende compliancekrav i GDPR aktiveres.
Som eksempler på de øgede informationskrav kan nævnes klagevejledning, konsekvenserne ved fra-valg af cookies og logikken bag evt. profilering foretaget af hjemmesideejeren. Som eksempler på de øgede compliancekrav kan nævnes kravet til at føre en fortegnelse over behandlingsaktiviteter og dokumentation for risikoanalysen, som skal vægte sikkerheden ved behandlingen på den ene side og privatlivets fred på den anden side.
Reglerne og den praktiske anvendelse af cookies er efter vores mening blevet alt for komplekse til at blive kogt ned til et spiseligt samtykke for brugeren af en hjemmeside.
En meget stor del af danske virksomheder har siden oktober 2019 opdateret cookiesamtykket på deres hjemmesider, så det omfatter en “Acceptér alle”-knap og en “Kun nødvendige”-knap. Der findes mange andre eksempler, f.eks.: “Tillad valgte” og “Afvis alle” mv.
Resultatet af denne form for implementering er en meget sort/hvid verden. Enten får man samtykke til alt, eller også får man intet.
Implementeringen af reglerne bærer præg af dette, da langt de fleste cookiebannere præsenterer brugen af cookies på en meget forenklet måde. Det er vores tese, at det resulterer i, at mange brugere klikker “Kun nødvendige” eller “Afvis Alle”. Dermed får man som hjemmesideejer nærmest ingen data.
Det er specielt udbredelsen af tredjepartscookies til brug for markedsføring, profilering og sporing, der er årsagen til, at reglerne om privatlivs- og kommunikationsbeskyttelse er vigtige. Den forenklede implementering har medført, at andre formål med cookies er gået fuldstændigt tabt.
Det kan f.eks. være meget værdifuldt for hjemmesideejeren at få anonyme statistikker for brugen af hjemmesiden med henblik på at forbedre hjemmesidens funktioner og understøtte forretningen (førstepartsstatistikcookies). Det kan også være rart for brugeren, at indstillinger om sprog og tidligere stillingtagen til cookies huskes (præferencecookies).
For begge disse formål burde det være muligt at indhente et samtykke fra brugeren, da det er brugeren og virksomheden, der er i fokus, og fordi konsekvenserne for privatlivet er ubetydelige (anonym statistik og brugervenlighed).
Resultatet er, at reglernes kompleksitet, løbende lovændringer, mangel på viden om de tekniske mekanismer (f.eks. Facebooks pixel) og virksomhedernes ønske om at benytte de gode og fornuftige cookiefunktioner, har den effekt, at langt størstedelen af alle cookiebannere og cookiepolitikker bevidst eller ubevidst er ulovlige.
Det er Erhvervsstyrelsen, der håndhæver cookiereglerne. Overtrædelser kan sanktioneres med bøder.
Når brugen af cookies omfatter behandling af personoplysninger, kan Datatilsynet ligeledes håndhæve databeskyttelsesreglerne i den sammenhæng, herunder også cookiereglerne, der spiller sammen med GDPR. Overtrædelser kan sanktioneres med bøder.
Det er Datatilsynets håndhævelse af reglerne, der bør få hjemmesideejere til at prioritere overholdelsen af reglerne. Datatilsynet har mulighed for at udstede langt større bøder, end der er tradition for hos Erhvervsstyrelsen.
Erfaringsmæssigt, er det ret få cookieaktiviteter, der ikke vil være omfattet af databeskyttelsesreglerne.
Vi ønsker ikke at hænge specifikke virksomheder ud, men kan nøjes med at illustrere, at selv myndighederne har svært ved at blive enige.
I Erhvervsstyrelsens Cookievejledning kan man f.eks. finde følgende eksempel på et “lovligt” cookie-samtykke:
I Datatilsynets Vejledning om behandling af personoplysninger for hjemmesidebesøgende kan man finde følgende eksempel på et ulovligt cookiesamtykke:
I Datatilsynets vejledning anføres om eksemplet:
“En mekanisme eller løsning til indhentning af samtykke, hvor muligheden for at afstå fra at give sam-tykke til behandling af personoplysninger ikke har samme meddelelseseffekt, som muligheden for at give samtykke, vil ikke være lovlig, idet den registrerede indirekte skubbes i retning af at give samtykke.”
Fra Datatilsynets afgørelse i DMI-sagen den 11. februar 2020 kan man endvidere finde følgende vurdering:
“Det er Datatilsynets vurdering, at den nuværende opbygning af DMI’s samtykkeløsning, hvor den be-søgende ved første besøg præsenteres for to valg i relation til behandling af personoplysninger; “OK” og “Vis detaljer”, ikke opfylder dette krav om gennemsigtighed.”
For os står det klart, at Datatilsynet underkender Erhvervsstyrelsens eksempel. Det skal være lige så nemt at afvise cookies, som at acceptere cookies.
Vi anbefaler, at man først og fremmest gør op, hvad man ønsker at benytte cookies til, og hvilke cookies man rent faktisk har på hjemmesiden.
Dernæst bør man vælge en samtykkeform, som gør det sandsynligt, at man rent faktisk opnår samtykket.
Hvis du har feedback eller er interesseret i konkret rådgivning, kan du kontakte Ulrich Hejle eller Cecilie Markvart Haugsted.
Vi kan gennemse eksisterende og påtænkte samtykkeløsninger og samarbejder med flere dygtige ud-viklere af hjemmesider, hvis der er behov for teknisk bistand til at ændre på løsningerne.