Cookies

Af Sascha Hegner Specht

Hører egentlig ikke (kun) hjemme under GDPR. Faktisk har den sin egen lov og hører under erhvervsstyrelsens tilsyn – og ikke datatilsynets.
Men den hører så alligevel under GDPR da cookies indsamler persondata. Derfor fortjener den også en artikel her. 

Hvad er en cookie?
En cookie er en lille fil som mange hjemmesider bruger til at indsamle forskellige oplysninger om dig. Den lægges på din computer/tablet/telefon når du besøger en hjemmeside.

En del cookies bidrager til at optimere din oplevelse på hjemmesider og gemmer f.eks. log-inoplysninger så du ikke skal indtaste oplysningerne hver gang du besøger siden eller husker hvad du lægger i en indkøbskurv på en side.

En stor mundfuld

Cookie-reglerne er en temmelig stor mundfuld, da der er mange regler, bekendtgørelser og forordninger som man skal have styr på. Datatilsynet er klar over dette og har d. 6. marts 2019 udsendt denne orientering, hvor de varsler en nærmere vejledning for området i løbet af foråret!

Godt så. Nu har vi fået på plads at det er en jungle med reglerne… Men det betyder ikke at vi helt skal opgive at forholde os til dem!

“Der er behov for en nærmere afklaring fra Kommissionen omkring denne praksis. Indtil afklaring foreligger, vil Erhvervsstyrelsen ikke håndhæve kravet om forudgående samtykke. Styrelsen vil i tilsynet med reglerne i stedet lægge vægt på hjemmeside ejerens indsats for at sikre fyldestgørende information til brugeren om hjemmesidens anvendelse af cookies, samt mulighed for brugeren til at acceptere eller afvise cookies.” (Kilde: Erhvervsministeriets vejledning s. 5)

Der er altså 2 ting der er vigtige:

  1. Sørg for at dine brugere er informeret.
  2. Sørg for at de kan acceptere ELLER afvise cookies.

Altså: Sørg for at I har formuleret en cookie-politik på jeres hjemmeside. Og at det er i et klart, præcist og letforståeligt sprog (bekendtgørelsen §3, stk. 2 nr.1).
Og det er så her, det alligevel ikke bliver så lige til… for at formulere sin politik er man nødt til at vide hvilke cookies man faktisk lægger på brugerens hjemmeside. Ring evt. til din web-udvikler og hør nærmere. Erhvervsstyrelsen har også lavet en teknisk gennemgang i deres vejledning i kapitel 6. Du kan også med dette værktøj selv kigge din hjemmeside igennem og se hvilke cookies der bliver lagret.

Sørg også for at I ikke indsamler unødige data. Bruger I f.eks. Google Analytics, så læs mere her.

Kend forskellen på 1. part og 3. parts cookie.

Det er vigtigt at du kender forskellen på 1. parts og 3. parts cookies når du informerer dine brugere om cookies på din hjemmeside. 1. parts cookies er dem du selv har sat (f.eks. styring af grafik og besøgsstatistik) og det er kun dig der bruger de data der registreres.
3. parts cookies er dem som andre sætter på din hjemmeside når du f.eks. placerer et indlejret logo eller video på din hjemmeside. (f.eks. Facebook, Youtube, LinkedIn, Twitter m.m.)  og giver en 3. part adgang til de oplysninger der registreres.

Cookie-politik

Når I kender jeres cookies, så skal det bare formuleres i et klart, præcist og letforståeligt sprog til jeres brugere hvordan og hvorfor I bruger dem. Forslag til hvordan sådan en politik kan se ud kan hentes her.

Oplyse om cookiepolitik

Der er rigtig mange forskellige måder at informere jeres brugere på. Og der findes mange gode plug-ins der tilbyder diverse løsninger. Hør evt. med din hjemmesideudvikler hvilken løsning der kan passe til din side.

“At samtykket skal være frivilligt indebærer bl.a., at brugere skal have et faktisk valg. Det er ikke et krav, at hjemmesider kan fungere uden brug af cookies eller lignende teknologier, hvorfor afvisning af cookies kan medføre, at brugerens eneste mulighed er at forlade hjemmesiden. Virksomheder har selvsagt et incitament for, at deres hjemmeside er tilgængelig, men det er ikke lovstridigt at have løsninger, der afskærer brugere, som ikke vil acceptere brugen af cookies.” 

(Kilde: Erhvervsministeriets vejledning s. 19)

Med andre ord – du kan godt skrive: “Vi bruger cookies til statistik og målrettet markedsføring fra os selv og vores annoncører. Klikker du videre på siden, accepterer du, at der sættes cookies til disse formål. Læs mere her (indsæt link til cookie-politik) om vores brug af cookies, herunder hvordan du fravælger brugen af cookies.”.

Du skal blot huske at gøre det tydeligt for brugeren så snart vedkommende er på jeres hjemmeside. Det kan f.eks. være med en lille ”pop-up” med ovenstående tekst.

Men det siger GDPR

Umiddelbart så vil dét at anonymisere data også være en behandling af persondata og vi er derfor nødt til at forholde os til forordningen også.

I persondataforordningen er det dog således at man ikke lovligt må behandle personoplysninger uden hjemmel. Her er det umiddelbart ikke helt tydeligt om et egentligt samtykke er eneste mulighed for at kunne ligge cookies.

I betragtning 32 til forordningen specificeres det at “Tavshed, forudafkrydsede felter eller inaktivitet” ikke bør udgøre et samtykke, men det er altså kun i tilfælde af at man gør brug af samtykke.

Vi arbejder løbende på at finde en mere præcis vejledning til, hvad man gøre på sin hjemmeside for at komme udenom samtykke-kravet, men har i skrivende stund ingen generel vejledning på plads, men vejleder vores kunder under de omstændigheder der er gældende for den enkelte kunde.

Krav til indhold

En Cookie-politik bør som minimum indeholde:

  1. Formålet med brug af cookies.
  2. Identifikation af hvem der sætter cookies
  3. Kategorisering af cookies. (hvilken type cookie: f.eks.Tekniske, statistik, personaliserede, markedsføring).
  4. Let adgang til at trække et samtykke tilbage. Anbefales, er ikke et krav!
  5. Hvordan man sletter cookies.
  6. Kontaktinformation ved spørgsmål eller klage.

Det er ikke et krav at give en detaljeret oversigt over hvilke cookie der lægges, så længe der er en dækkende beskrivelse af formål og hvem der lægger cookien (hvem der har adgang til data).

Er der ikke en måde man kan komme udenom samtykke på?

Jo, det er der. Hvis du KUN bruger ”tekniske cookies” (eller ”funktions-cookies”) der optimerer brugerens oplevelse på din hjemmeside. Altså hvis du hverken bruger Google Analytics eller har Facebook indlejret på din hjemmeside og de cookies du ligger, alene er med til at få siden til fungere.

En afsluttende note

Det forventes i øvrigt at de nuværende regler vil blive erstattet i løbet af 2020 af det nye ePrivacy Regulativ (ePR), som vil lægge i tråd med GDPR – det vil dog ”trumfe” GDPR og vil derfor i nogle tilfælde betyde at det ikke er nok at være GDPR-compliant.  (Nogle rygter siger dog at ePR er blevet overflødigt med GDPR, hvorfor den måske aldrig kommer)
De nye regler kommer overordnet set til at handle om al elektronisk kommunikation (e-mail, chats, online-telefoni og cookie-regler).
Det er endnu uvist i hvor høj grad der vil blive ændret på det nuværende samtykkekrav vedr. cookies, men der er i EU fokus på at de nuværende samtykke-erklæringer vi bruger p.t., ikke er den optimale løsning.

Kilder og links