Hvad er reglerne for Cookies og GDPR?

Hvilke regler gælder der for Cookies og GDPR? Det er svært at gennemskue.
Vi har spurgt Erhvervsstyrelsen og FDIH og giver vores bud på svaret.

Datatilsynet har i skrivende stund ikke udgivet en vejledning eller kommet med retningslinjer vedrørende brugen af cookies under GDPR. Svaret skal måske findes i, at cookies og deres anvendelse er lidt af en gråzone i forhold til GDPR, samt at cookie-lovgivningen hører under Erhvervsstyrelsen. Selve handlingen af sætte og læse en cookie hører under cookie-lovgivningen, mens de personoplysninger man evt. måtte gemme i en cookie reguleres af GDPR. 

Et af de store spørgsmål er om man skal bede om samtykke før en cookie sættes, samt om samtykket skal tolkes ud fra GDPR eller cookie-lovgivningen...

Ja, spørgsmålene er mange og svarene nærmest umulige at finde. Vi har spurgt Erhvervsstyrelsen og FDIH, for at komme nærmere et konkret svar.

Cookies hører under Erhvervsstyrelsen

Det er Erhvervsstyrelsen der fører tilsyn med overholdelse af cookie-lovgivningen. Måske er det derfor at Datatilsynet ikke har grebet bolden i forhold til at vejlede om cookies i relation til GDPR... Anyways, så kan man på Erhvervsstyrelsens hjemmeside finde en række vejledninger og guides, både for offentlige og private virksomheder i relation til cookies.
https://erhvervsstyrelsen.dk/cookie-loven

Læser man alle vejledninger igennem, så kan vi med sikkerhed sige, at vi alle skal overholde følgende omkring cookies:

1) Vi skal klart og tydelige informere brugerne om at der sættes cookies på hjemmesiden, samt hvad formålet med dem er. Altså det klassiske cookie-banner som vi kender det. Dog skal det siges, at rigtig mange cookie-bannere i dag blot skriver "Vi bruger cookies for at forbedre din oplevelse på hjemmesiden", hvilket ikke er godt nok, særligt ikke hvis der sættes cookies fra eks. Facebook og Google, hvor formålet eks. er markedsføring eller personalisering af indholdet på hjemmesiden. Dette er allerede kravet under cookie-lovgivningen, men det bør samtidig gøres endnu mere eksplicit under GDPR, da GDPR har et øget fokus på gennemsigtighed, så det er mere tydeligt hvad de egentlige formål er.

2) Under cookie-lovgivningen skal brugeren give sit samtykke til de cookies der sættes. Kun rent teknisk cookies, der er nødvendige for at hjemmesiden fungerer, må man sætte uden at der kræves samtykke. Under GDPR har vi flere lovhjemmel til at behandle personoplysningerne, så det behøver strengt taget ikke være baseret på samtykke. Eks. vil man formodentlig godt kunne retfærdiggøre at behandling af IP adresse til statistikformål kan gøres under legitim interesse.

3) Brugeren skal kunne trække sit samtykke til brug af cookies tilbage. Her har vi tidligere set en del "Sådan sletter du cookies i din browser" tekster, som blot henviser til hvordan man selv sletter cookies i sin browser. Ja, selv Erhvervsstyrelsen har sådan en tekst... Dette er måske "nok", hvis dit samtykke alene er i relation til cookie-lovgivningen, men hvis du også benytter samme samtykke i relation til GDPR behandlingen, så er det nok ikke "nok". Vi vurderer, at GDPR netop kræver nemmere adgang til at trække samtykke tilbage, da det omkring samtykke i GDPR hedder, "at det skal være lige så let at trække tilbage som at give". Altså bør det være nemt, let og gennemsigtigt, hvordan man trækker sit samtykke tilbage direkte på hjemmesiden også til cookies.

Samtykke før der sættes cookies?

Det der er det helt store samtaleemne er hvorvidt brugeren skal give sit samtykke før det sættes cookies, samt hvad der kan betragtes som et samtykke?

99% af alle cookie-bannere i dag, antager et samtykke hvis brugeren klikker "Ok" (og ofte kan man ikke andet...) eller blot browser videre på hjemmesiden. Hvis vi igen kigger på GDPR, så er kravene til samtykke nu blevet meget eksplicitte og et samtykke er kun gældende hvis der gives et reelt valg og hvis der er tale om en utvetydig viljestilkendegivelse. Skal en behandling være baseret på samtykke, så skal det nu være meget eksplicit, hvad man siger ja til.

Så skal vi nu til at have en stor knap og et afkrydsningsfelt, før brugerne får adgang til hjemmesiden? Nej, heldigvis ikke... Men hvordan får vi så brugerens samtykke inde der sættes cookies?

Læser man Erhvervsstyrelsens egene "3 gode råd", så skriver de, at man skal få brugerens samtykke inden der sættes cookies
https://erhvervsstyrelsen.dk/3-gode-raad-til-opfylde-cookiereglerne

Senest har FDIH også været i dialog med Erhvervsstyrelsen og i et blogindlæg fremhæver FDIH også særligt, at man skal have samtykke inde cookies sættes
https://www.fdih.dk/jura/persondataforordning/sporgsmal-svar/gaelder-der-nye-regler-for-cookies-efter-gdpr

Men er det sandt, at vi skal have samtykke inden der sættes cookies? I teorien og jævnfør lovgivningen, ja...

MEN! For der er et stort men... I Erhvervsstyrelsen vejledning til cookie-bekendtgørelsen, skriver de på side 5 følgende:

Altså skriver Erhvervsstyrelsen her, at selvom loven siger, at vi skal have samtykke inden der sættes cookies, så håndhæves det ikke, så længe der ikke foreligger en afklaring fra Kommissionen! Vejledningen er dateret april 2013, hvorfor vi har spurgt både Erhvervsstyrelsen og FDIH, om der er kommet en afklaring eller om ovenstående uddrag fra vejledningen stadig er gældende?

Svaret fra Erhvervsstyrelsen og FDIH

FDIH har svaret, at der ikke nogen ændringer, hverken i lovgivningen eller i Erhvervsstyrelsens håndhævelse af reglerne. Erhvervsstyrelsen foretager sig ikke noget før, vi har fået de nye cookie-regler (ePrivacy direktivet, som er i behandling i EU), svarer FDIH.

Erhvervsstyrelsen har svarer, at der kort fortalt er der ikke kommet en afklaring fra Kommissionen af spørgsmålet, samt at Erhvervsstyrelsen i øjeblikket vurderer behovet for at revidere teksten i cookievejledningen.

Erhvervsstyrelsen svarer endvidere, at som det fremgår af cookie-vejledningen, så er der bred enighed om, at reglerne formentlig skal fortolkes således, at et samtykke til cookies for at være gyldigt skal være givet, før disse placeres eller læses i brugerens udstyr (computer, mobiltelefon, tablet m.v.). Dette ændrer fx den nye generelle databeskyttelsesforordning (GDPR) ikke på. Således giver det god mening, når FDIH og andre vejleder til at indhente samtykke til brug af cookies, inden de placeres eller læses i brugernes udstyr.

Sidst men ikke mindst fremhæver Erhvervsstyrelsen, at det er vigtigt at holde sig for øje, at cookie-reglerne, alene omhandler selve indsamlingssituationen, fx når data lagres i eller lagret data hentes fra en cookie. Videre behandling af sådan data, der indeholder personoplysninger, er underlagt reglerne i GDPR. Spørgsmålet om, hvorvidt behandling herefter lovligt kan foretages med det oprindelige samtykke som hjemmel, hører under Datatilsynets ansvarsområde og må besvares af dem.

Altså må vi afvente udmelding eller yderligere vejledning fra Datatilsynet, før vi med sikkerhed kan konkludere hvad der er op og ned omkring cookies...

Hvad vil du overholde - Loven eller etikken?

Så ind til der foreligger en helt klar vejledning, så handeler det grundlæggende om hvorvidt man vil være den gode dreng i klassen eller hvorvidt man vil "bryde" loven, i hvert fald når det komme til samtykke i forbindelse med cookies. Som vi ser det, så er det jo konkurrenceforvridende hvis nogen overholder reglerne og andre vælger ikke at gøre det, fordi de ikke bliver straffet.

Så er du den lille webshop der får 70% af din omsætning gennem Facebook annoncering, så kan det betyde et stort tab i omsætning, hvis du vælger at bede om samtykke inden cookies sættes. Og vælger din konkurrent ikke at gøre det, så ender du som taberen, i et spil hvor vinderen ikke straffes for at snyde...

Alle hjemmesideejere skal kigge sig selv i øjnene og vurdere deres konkurrencemæssige situation. Hvis du står til at miste meget af din omsætning, så ville jeg overveje at undlade samtykket, men hvis det ikke gøre en forskel, så bør du naturligvis overholde reglerne, også selv om de ikke håndhæves. Det er også muligt, at brugerne generelt bliver mere bevidste omkring hvad deres data anvendes til og dermed ad egen vej begynder at regulere markedet, og dermed fravælger dem der ikke udviser tilstrækkelig gennemsigtighed.

Hos Persondatakonsulenterne gør vi følgende

1) Vi sætter cookies ved første besøg på hjemmesiden også før du har givet samtykke.

2) Vi oplyser tydeligt øverst i vores cookie-banner hvad formålet er med cookies på hjemmesiden. Dette formål er permanent gentaget i footeren på alle sider, så det også er tilgængeligt når cookie-banneret er klikket væk.

3) Vi gør det nemt at trække sit samtykke tilbage for de enkelte cookies direkte på vores cookies-side.

4) Vi respekterer "Do Not Track". Hvis man besøger vores hjemmeside og har aktiveret "Do Not Track" i sin browser, så sættes der ikke nogle cookies før der aktivt gives samtykke til hver enkelt.

Dette er vores bedste bud på en implementering af cookies, som er oplysende, gennemsigtig og hvor det er nemt at trække sit samtykke tilbage. Og ja, så har vi ind til videre valgt at sætte cookies før samtykke, så længe der ikke foreligger bedre vejledning fra FDIH, Erhvervsstyrelsen eller Datatilsynet.

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af cookie-lovgivningen og GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne.