Hører egentlig ikke (kun) hjemme under GDPR. Faktisk har den sin egen lov og hører under erhvervsstyrelsens tilsyn – og ikke datatilsynets.
Men den hører så alligevel under GDPR da cookies indsamler persondata. Derfor fortjener den også en artikel her.
Hvad er en cookie?
En cookie er en lille fil som mange hjemmesider bruger til at indsamle forskellige oplysninger om dig. Den lægges på din computer/tablet/telefon når du besøger en hjemmeside.
En del cookies bidrager til at optimere din oplevelse på hjemmesider og gemmer f.eks. log-inoplysninger så du ikke skal indtaste oplysningerne hver gang du besøger siden eller husker hvad du lægger i en indkøbskurv på en side.
En stor mundfuld
Cookie-reglerne er en temmelig stor mundfuld, da der er mange regler, bekendtgørelser og forordninger som man skal have styr på. Datatilsynet er klar over dette og har d. 6. marts 2019 udsendt en orientering, hvor de varsler en nærmere vejledning for området i løbet af foråret!
Godt så. Nu har vi fået på plads at det er en jungle med reglerne… Men det betyder ikke at vi helt skal opgive at forholde os til dem!
“Der er behov for en nærmere afklaring fra Kommissionen omkring denne praksis. Indtil afklaring foreligger, vil Erhvervsstyrelsen ikke håndhæve kravet om forudgående samtykke. Styrelsen vil i tilsynet med reglerne i stedet lægge vægt på hjemmeside ejerens indsats for at sikre fyldestgørende information til brugeren om hjemmesidens anvendelse af cookies, samt mulighed for brugeren til at acceptere eller afvise cookies.” (Kilde: Erhvervsministeriets vejledning s. 5)
Der er altså 2 ting der er vigtige:
- Sørg for at dine brugere er informeret.
- Sørg for at de kan acceptere ELLER afvise cookies.
Altså: Sørg for at I har formuleret en cookie-politik på jeres hjemmeside. Og at det er i et klart, præcist og letforståeligt sprog (bekendtgørelsen §3, stk. 2 nr.1).
Og det er så her, det alligevel ikke bliver så lige til… for at formulere sin politik er man nødt til at vide hvilke cookies man faktisk lægger på brugerens hjemmeside. Ring evt. til din web-udvikler og hør nærmere. Erhvervsstyrelsen har også lavet en teknisk gennemgang i deres vejledning i kapitel 6. Du kan også med dette værktøj selv kigge din hjemmeside igennem og se hvilke cookies der bliver lagret.
Sørg også for at I ikke indsamler unødige data. Bruger I f.eks. Google Analytics, så læs mere her.
Kend forskellen på 1. part og 3. parts cookie
Det er vigtigt at du kender forskellen på 1. parts og 3. parts cookies når du informerer dine brugere om cookies på din hjemmeside. 1. parts cookies er dem du selv har sat (f.eks. styring af grafik og besøgsstatistik) og det er kun dig der bruger de data der registreres.
3. parts cookies er dem som andre sætter på din hjemmeside når du f.eks. placerer et indlejret logo eller video på din hjemmeside. (f.eks. Facebook, Youtube, LinkedIn, Twitter m.m.) og giver en 3. part adgang til de oplysninger der registreres.
Cookie-politik
Når I kender jeres cookies, så skal det bare formuleres i et klart, præcist og letforståeligt sprog til jeres brugere hvordan og hvorfor I bruger dem.
“At samtykket skal være frivilligt indebærer bl.a., at brugere skal have et faktisk valg. Det er ikke et krav, at hjemmesider kan fungere uden brug af cookies eller lignende teknologier, hvorfor afvisning af cookies kan medføre, at brugerens eneste mulighed er at forlade hjemmesiden. Virksomheder har selvsagt et incitament for, at deres hjemmeside er tilgængelig, men det er ikke lovstridigt at have løsninger, der afskærer brugere, som ikke vil acceptere brugen af cookies.”
(Kilde: Erhvervsministeriets vejledning s. 19)
Oplyse om cookiepolitik – de “bløde” regler
Der er rigtig mange forskellige måder at informere jeres brugere på. Og der findes mange gode plug-ins der tilbyder diverse løsninger. Hør evt. med din hjemmesideudvikler hvilken løsning der kan passe til din side.
Der er behov for en nærmere afklaring fra Kommissionen omkring denne praksis. Indtil afklaring foreligger, vil Erhvervsstyrelsen ikke håndhæve kravet om forudgående samtykke. Styrelsen vil i tilsynet med reglerne i stedet lægge vægt på hjemmeside ejerens indsats for at sikre fyldestgørende information til brugeren om hjemmesidens anvendelse af cookies, samt mulighed for brugeren til at acceptere eller afvise cookies.
(Kilde: Erhvervsministeriets vejledning s. 21)
Med andre ord – du kan godt skrive: “Vi bruger cookies til statistik og målrettet markedsføring fra os selv og vores annoncører. Klikker du videre på siden, accepterer du, at der sættes cookies til disse formål. Læs mere her (indsæt link til cookie-politik) om vores brug af cookies, herunder hvordan du fravælger brugen af cookies.” – i hvert fald indtil videre.
Du skal blot huske at gøre det tydeligt for brugeren så snart vedkommende er på jeres hjemmeside og at give dem mulighed for at fravælge cookies.
De “hårde” regler
I andre lande tolkes reglerne anderledes. F.eks. er der i den engelske vejledning til cookies ikke åbnet op for ovenstående, men fastslår at samtykket skal indhentes inden cookien lægges (dog accepterer de at det ikke altid sker). Andre lande følger så småt trop, så skal man alligevel ændre noget på hjemmesiden for at leve op til reglerne, så overvej at gøre den “klar” til nye, strammere, retningslinjer fra erhvervsministeriet.
Læser man iøvrigt betragtning 32 til forordningen står der “Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke”…
Så man kan jo overveje hvor længe erhvervsministeriets “bløde” tolkning af reglerne holder vand.
Krav til indhold
En Cookie-politik bør som minimum indeholde:
- Formålet med brug af cookies.
- Identifikation af hvem der sætter cookies
- Kategorisering af cookies. (hvilken type cookie: f.eks.Tekniske, statistik, personaliserede, markedsføring).
- Let adgang til at trække et samtykke tilbage. Anbefales, er ikke et krav!
- Hvordan man sletter cookies.
- Kontaktinformation ved spørgsmål eller klage.
Det er ikke et krav at give en detaljeret oversigt over hvilke cookie der lægges, så længe der er en dækkende beskrivelse af formål og hvem der lægger cookien (hvem der har adgang til data).
Er der ikke en måde man kan komme udenom samtykke på?
Jo, det er der. Hvis du KUN bruger ”tekniske cookies” (eller ”funktions-cookies”) der optimerer brugerens oplevelse på din hjemmeside. Altså hvis du hverken bruger Google Analytics eller har Facebook indlejret på din hjemmeside og de cookies du ligger, alene er med til at få siden til fungere.
En afsluttende note
Det forventes i øvrigt at de nuværende regler vil blive erstattet i løbet af 2020 af det nye ePrivacy Regulativ (ePR), som vil lægge i tråd med GDPR – det vil dog ”trumfe” GDPR og vil derfor i nogle tilfælde betyde at det ikke er nok at være GDPR-compliant. (Nogle rygter siger dog at ePR er blevet overflødigt med GDPR, hvorfor den måske aldrig kommer)
De nye regler kommer overordnet set til at handle om al elektronisk kommunikation (e-mail, chats, online-telefoni og cookie-regler).
Det er endnu uvist i hvor høj grad der vil blive ændret på det nuværende samtykkekrav vedr. cookies, men der er i EU fokus på at de nuværende samtykke-erklæringer vi bruger p.t., ikke er den optimale løsning.
Kilder og links
- Datatilsynets vejledning om brug af cookies (februar 2020)
- Cookie-bekendtgørelsen på Retsinformation.dk
- Erhvervsstyrelsens vejledning for brug af cookies
- Erhvervsstyrelsens 3 gode råd til at opfylde cookiereglerne
- Om det nye ePR-direktiv
- Konkurrence – og Forbrugerstyrelsen om cookies
- Direktiv 2002/58/EF om behandling af personoplysninger i elektronisk kommunikation. (art. 5, stk. 3 omhandler cookies)