Cookies – opdatering

Det er ikke længere nok at have et banner, der oplyser om cookies. Forhåndsafkrydsede felter og inaktivitet er IKKE et gyldigt samtykke.
Nu skal det være muligt at give separat samtykke til forskellige formål, f.eks. statistik og markedsføring.
Der skal også vises en liste over de virksomheder, der videregives oplysninger til, og varigheden af databehandlingen (udløbsdato).

Baggrund for en opdatering

I oktober 2019 faldt der en EU-dom om krav til samtykke ved brug af cookies, og I februar 2020 udtalte Datatilsynet alvorlig kritik af en vejrsides håndtering af samtykke.
Netop nu er Datatilsynet også ved at undersøge Den Blå Avis’ samtykkeløsning, der svarer til mange andre siders.

Det har givet anledning til, at mange har revideret de cookie-erklæringer og samtykkeregistreringer, vi alle efterhånden møder på daglig basis. Mange oplever derfor nye udgaver af de ”populære” pop-ups på diverse hjemmesider.
Det giver derfor også anledning til denne opdatering om cookies som er efterfølger til vores artikel fra marts 2019, der kan læses her.

Eksempel på ”bad practise”

Mange samtykkeerklæringer består stadig af de to valgmuligheder ”OK” og ”Vis detaljer”, hvor sidstnævnte linker til en privatlivspolitik.  Denne samtykkeerklæring udløste alvorlig kritik fra Datatilsynet, og har man en sådan erklæring på hjemmesiden, bør man ændre den.

I vores tidligere artikel om cookies har vi beskrevet Erhvervsstyrelsens (det er dem, som fører tilsyn med cookieloven) ”bløde” håndhævelse af forudgående samtykke. Dette skal man altså ikke længere regne som praksis.

Siden 2013 har det været Erhvervsstyrelsens praksis, at brugerens viljetilkendegivelse bl.a. kan ske ved aktiv brug af en tjeneste – fx ved at brugeren klikker videre på hjemmesiden. Mange hjemmesider benytter således i dag en formulering som ligner denne: ”Ved at klikke OK eller gå videre accepterer du vores cookies.”

Det er Erhvervsstyrelsens vurdering, at dommen og dens fortolkning af ”aktiv handling” betyder, at ”gå videre” kan sidestilles med et forudafkrydset felt og ikke kan anses som udtryk for brugerens aktive, specifikke samtykke til at anvende cookies.

På den baggrund har Erhvervsstyrelsen besluttet at ændre sin praksis på dette område således, at brugerens samtykke ikke længere kan indhentes på den beskrevne måde” (Kilde: Erhvervsstyrelsens vejledning)

Erhvervsstyrelsen har altså skærpet praksis for håndhævelse af loven.

Hvilke krav er der så nu?

Erhvervsstyrelsen lister krav til overholdelse af loven på deres hjemmeside:

Krav til samtykke:

  • Brugeren skal kunne give samtykke eller afslå at give samtykke til brug af cookies.
  • Brugeren skal kunne tilbagekalde et tidligere givet samtykke.
  • Brugeren skal let kunne finde yderligere information om brugen af cookies på hjemmesiden.
  • Samtykket skal være knyttet til det formål, som indsamlingen af data skal anvendes til at opfylde.

For at opfylde informationskravet skal du:

  • skrive informationen i et klart, præcist og letforståeligt sprog eller tilsvarende i letforståeligt billedsprog, fx piktogrammer.
  • oplyse om formålene med at bruge cookies.
  • fortælle brugerne, hvem der sætter de anvendte cookies – det kan være hjemmesidens ejer eller en tredjepart.
  • oplyse om, hvordan brugeren samtykker til eller afslår brug af cookies.
  • oplyse, hvordan brugeren kan trække sit samtykke tilbage. 
  • oplyse om cookiernes funktionsvarighed (udløbsdato).

Giv den besøgende et valg

En af de nye ting i Datatilsynets vejledning er, at den besøgende skal kunne vælge eller fravælge forskellige typer af cookies, f.eks. statistiske cookies og markedsføringscookies. Dette kan for nogle hjemmesider have konsekvenser for, hvad den besøgende kan se på hjemmesiden – men det giver den besøgende et valg, og ifølge Datatilsynet er det et krav for at leve op til GDPR.

Lev op til GDPR

Cookieloven forholder sig alene til indsamlingen af oplysninger, mens GDPR forholder sig til behandlingen af oplysningerne. Det er derfor vigtigt at have begge lovgivninger in mente når du arbejder med cookies.

F.eks. kan statistiske oplysninger om hjemmesidebesøgende ligge under GDPR, da man typisk vil bruge oplysningerne til at måle adfærd på hjemmesiden med henblik på tilpasning af sin markedsføring. Dette formål er derfor vigtigt at beskrive i sin privatlivspolitik for hjemmesidebesøgende.

Datatilsynet lister øvrige krav til overholdelse af forordningen:

  • Det skal være et aktivt tilvalg, når en besøgende på din hjemmeside giver lov til, at vedkommendes oplysninger behandles.
  • Det skal være klart, hvilke forskellige formål du gerne vil behandle oplysningerne til.
  • Det skal være let for den besøgende at give samtykke til nogle formål og ikke give samtykke til andre.
  • Det skal være nemt ikke at give samtykke – også rent visuelt.
  • Desuden skal du kunne dokumentere, hvad en besøgende har givet samtykke til – og hvordan samtykket er indhentet.

(Kilde: datatilsynets nye retningslinjer for behandling af personoplysninger om hjemmesidebesøgende)

Cookies og sociale medier

Erhvervsstyrelsen anbefaler, at man er særligt opmærksom på plugins fra sociale medier på ens hjemmeside: ”Linkes der på hjemmesiden til andre hjemmesider, anvendes der ”synes-godt-om”- og ”del”-knapper fra fx Facebook eller indlejres der medieelementer fra fx YouTube-videoer eller Instagram-billeder, er det vigtigt at være opmærksom på, hvorvidt disse sociale medier sætter cookies, allerede inden brugeren interagerer med dem. Det er som nævnt hjemmesideejeren, der i sidste ende er ansvarlig for alle de cookies og lignende teknologier, der anvendes på hjemmesiden.”‘ (kilde: Erhvervsstyrelsens trykte vejledning, s. 8 og 9)
Det samme gælder for indlejrede elementer som f.eks. videoer.

Man bør derfor:

  1. have fyldestgørende information om brugen af sociale plugins og indlejring.
  2. sikre sig, at det sociale medie først sætter cookies når der trykkes på ”like”, ”del” eller ”afspil”- knap.
  3. at den besøgende bliver ekstra opmærksom på at der sættes cookies når man trykker på knappen. 

Anvender du Facebook som analyseværktøj, Facebook Pixels, skal du være opmærksom på, at der er tale om et delt dataansvar, og der skal derfor indgås en aftale om dette. Dette er der i skrivende stund ikke set eksempler på i praksis, men man bør som minimum gøre opmærksom på ansvarsfordelingen i sin persondatapolitik.  

Cookies og statistik

Der findes en række gratis værktøjer til statistik og analyse af hjemmesider. Google Analytics er nok det mest brugte. Prisen for det gratis værktøj er ofte, at udbyderen i mange tilfælde videregiver oplysninger til tredjepart.
I skal huske at have en databehandleraftale med udbyderen af værktøjet.
Læs i øvrigt denne artikel om Google Analytics (https://www.mico.dk/google-analytics/).

Flere lovgivninger

Cookieloven forholder sig alene til indsamlingen af oplysninger, mens GDPR forholder sig til behandlingen af oplysningerne. Det er derfor vigtigt at have begge lovgivninger in mente når du arbejder med cookies.

F.eks. kan statistiske oplysninger om hjemmesidebesøgende ligge under GDPR, da man typisk vil bruge oplysningerne til at måle adfærd på hjemmesiden med henblik på tilpasning af sin markedsføring. Dette formål er derfor vigtigt at beskrive i sin privatlivspolitik for hjemmesidebesøgende.

Der er hjælp at hente

Der kan være svært at overskue at lave de ”elskede” pop-up-bannere selv til sin hjemmeside, men der findes en række plugins, som lever op til lovgivningen. Det er typisk et abonnement man køber.
Mulige værktøjer til Pluginløsninger kan være CookieBot, Cookie Information eller CookiePro. Ring til os og hør nærmere.

Links og Kilder