Fokus på cookieløsninger
Har du styr på kravene til et cookiesamtykke?
Man skal indhente et samtykke fra besøgende på ens hjemmeside, inden man placerer cookies, ud over cookies, der er nødvendige for at en hjemmeside kan fungere.
Kravene til et gyldigt samtykke er netop et område, der har givet og fortsat giver mange udfordringer. Virksomheder, der investerer i online markedsføring, har stor interesse i at kunne placere cookies. Dette for at kunne målrette annoncer så effektivt som muligt.
Niveauet af besøgende på ens hjemmeside, der afgiver et samtykke, er derfor også blevet et direkte konkurrencemeter for mange virksomheder. Den valgte cookieløsning skal derfor have en så høj samtykke-rating som muligt.
Hvad sker der, hvis de samtykker, man indhenter, ikke er lovlige?
En ulovligt sat cookie straffes med bøde. I de fleste tilfælde vil brugen af cookies også være lig med behandling af personoplysninger. Dette fordi der ved brug af cookies ofte opsamles IP-adresser, og IP-adresser som hovedregel anses for at være personoplysninger.
En sådan ulovlig behandling kan straffes efter databeskyttelsesreglerne. Ifølge Datatilsynets nye bødevejledning ved vi, at behandling uden et gyldigt samtykke er en kategori 5 forseelse, der dækker over mere alvorlige overtrædelser.
Bøder er en ting, men mere alvorligt kan det være, hvis de indsamlede samtykker er ugyldige, og en virksomhed tillige mister et kæmpe markedsføringspotentiale.
Lidt baggrundsviden om reglerne
For at man må anvende cookies via ens hjemmeside, skal man indhente et samtykke fra de besøgende, medmindre de satte cookies er nødvendige, for at hjemmesiden kan fungere. For at et samtykke er gyldigt, er der dog en lang række krav, det skal overholde.
Kravene til et gyldigt samtykke er delvist defineret i reglerne om cookies, som findes i e-Privacy direktivet (der i Danmark er implementeret i cookiebekendtgørelsen) samt databeskyttelsesforordningen (GDPR). Planen fra EU’s side var, at bl.a. cookiereglerne skulle være opdateret sammen med databeskyttelsesreglerne i 2018, så der ikke opstod uhensigtsmæssige situationer.
Desværre blev der ikke opnået enighed om, hvordan en ny lov vedr. bl.a. cookies skulle se ud, hvilket har ledt til mange frustrationer i bl.a. markedsføringsindustrien. Den såkaldte e-Privacy forordning, som skulle tage hånd om problemerne, er fortsat ikke faldet på plads.
Det betyder, at vi i dag må se på de gamle regler i e-Privacy direktivet/ cookiebekendtgørelsen, der henviser til kravene til et gyldigt samtykke i databeskyttelsesreglerne, når vi vil bruge cookies.
Nogle konkrete typer af cookieløsninger
“Ved at klikke videre accepterer du vores cookies”
Vi støder ofte på cookiebannere, som popper op i på hjemmesiden, og som oplyser, at vi ved at klikke videre på hjemmesiden accepterer brugen af cookies. Denne type løsning er helt åbenbart ikke lovlig. Denne løsning var forud for GDPR accepteret af Erhvervsstyrelsen, men blev underkendt i EU-dommen C‑673/17. Erhvervsstyrelsen har nu ændret praksis og anser ikke længere sådanne løsninger for lovlige.
“Accepter alle cookies” eller ”Vis mere”
Den næste type af cookieløsninger er dem, der oftest præsenterer os for 4 mulige typer af cookies, som vi kan acceptere, nemlig nødvendige, præference, statistiske og markedsføringscookies.
I Datatilsynets afgørelse vedr. DMI’s tidligere cookieløsning blev det fastslået, at det ikke var tilladt at gemme disse valgmuligheder bag en ”vis mere”-knap. Med andre ord er det ikke tilladt at lade besøgende blive mødt med valget mellem at acceptere alle cookies eller klikke på en ”vis mere”-knap, for at kunne ændre heri.
Den næste faldgrube er cookieløsningen, hvor alle felterne er afkrydset på forhånd.
Her kan man enten fravælge de enkelte typer eller blot bekræfte, at de afkrydsede cookies må anvendes. Denne løsning er heller ikke lovlig. Dette blev bl.a. fastslået i EU-dommen C‑673/17. Domstolen henviste til, at et samtykke til cookies ikke er gyldigt afgivet, når cookies tillades ved hjælp af et forudafkrydset felt, som brugeren skal vælge fra for at nægte at give sit samtykke.
Efter afsigelsen af dommen vedr. forudafkrydsede felter begyndte der at komme nye ”grå-zone” løsninger, hvor kun de nødvendige cookies er obligatoriske og forudafkrydset i overensstemmelse med loven. De øvrige typer cookies kan frit tilvælges.
Når man har afkrydset de cookies, som man vil acceptere, kan man vælge mellem to knapper. Enten kan man tillade de udvalgte cookies (dem man selv satte kryds ved), alternativt kan man tillade alle cookies.
Fidusen her er, at ”Samtyk til alle”-knappen er highlightet, mens den anden er utydelig. De fleste besøgende vil her helt instinktivt klikke på ”Samtyk til alle”. Der har længe været stor debat om, hvorvidt en sådan løsning er lovlig.
Dette forventes da også afklaret, når vi engang får erstatningen til e-Privacy direktivet og cookiebekendtgørelsen. Indtil da er Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet dog kommet med en bemærkning hertil i deres nye ”Quick-guide til at sætte cookies”.
Heri står der, at man ikke må ”nudge brugerne til at samtykke f.eks. gennem knappers størrelse, farve og placering”. Meget tyder derfor på, at disse løsninger også er ulovlige i Datatilsynets øjne.
Hvad kan du gøre?
For at et cookiesamtykke anses for gyldigt, skal den besøgende have kontrollen herover. Det er dog tydeligt at se på de mange forskellige cookieløsninger, at der ikke er klarhed over, hvor grænsen går. Der er fortsat mange spørgsmål, der ikke er afklaret, og som forhåbentligt bliver adresseret i den nye EU-lovgivning. Eksempelvis er det væsentligt, om et samtykke er ugyldigt, hvis man blokerer adgangen til en hjemmeside, indtil den besøgende har taget stilling til brugen af cookies.
Indtil da anbefales virksomheder at gøre sig overvejelser om, hvorvidt det er værd at bevæge sig i en grå-zone, når konsekvensen kan blive en masse tabt arbejde. Afhængigt af omstændighederne kan det også være værd for virksomheder, der køber sig til onlineløsninger, at gennemgå eventuelle kontraktbetingelser, som beskriver, hvem der bærer ansvaret for, at cookieløsningen er lovlig. En bøde kan man ikke overvælte på en leverandør, men det kan ikke afvises, at et erstatningskrav for et evt. tab kan gøres gældende.
Hvis du vil vide mere, er du velkommen til at kontakte Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk.
Læs også vores artikel omkring samtykke til behandling af personoplysninger