Erhvervsstyrelsen vil fremover nedprioritere tilsynet med hjemmesiders brug af simple statistikcookies – men kravet om samtykke gælder stadig
Siden implementeringen af cookiebekendtgørelsen i 2011 har det været et krav, at der indhentes samtykke fra besøgende på en hjemmeside, før der sættes eller tilgås cookies. Samtykkekravet gælder – med nødvendige funktionscookies som eneste undtagelse – for alle cookies uanset formålet.
Erhvervsstyrelsen har nu oplyst, at de fremover ikke vil prioritere tilsynet med samtykkekravet for så vidt angår simple statistikcookies, dvs. cookies der:
- indsamler statistik til hjemmesideejerens egen brug, fx i form af trafikmåling, og som
- ikke bygger en brugerprofil af den besøgende, og hvor
- data ikke gives videre til tredjeparter
Hvis disse tre betingelser er opfyldt, vil Erhvervsstyrelsen øjensynligt ikke forholde sig til, om der er indhentet samtykke eller ej.
Som begrundelse anfører Erhvervsstyrelsen, at det er stort set umuligt at optimere og lave gode hjemmesider, hvis de besøgende afviser cookies og dermed forhindrer indsamlingen af statistiske data for hjemmesideejerne. Udmeldingen skal ses i sammenhæng med, at der i forhandlingerne om den kommende forordning om e-databeskyttelse er lagt op til, at samtykkekravet ikke skal gælde for simple statistikcookies, og at en række EU-medlemslande allerede i dag ikke kræver samtykke for statistikcookies, som alene knytter sig til driften af en hjemmeside.
Erhvervsstyrelsens udmelding har medført en efterfølgende udveksling af præciserende udmeldinger fra Datatilsynet, der understreger at Datatilsynet fortsat vil føre tilsyn med statistikcookies, der anvendes til indsamling af personoplysninger, og en præcision fra Erhvervsstyrelsen, der understreger, at reglerne ikke er ændret, at Erhvervsstyrelsen fortsat vil føre tilsyn med hjemmesider, men at simple statistikcookies fremadrettet ikke vil være en prioritet.
Bird & Birds bemærkninger
Erhvervsstyrelsens udmelding er umiddelbart en håndsrækning til de mange hjemmesider, der oplever, at cookiereglerne begrænser mulighederne for at optimere deres forretning ved at gennemføre trafikmålinger.
Kursændringen rejser imidlertid også en række retlige spørgsmål, som synes uafklaret, og som kan skabe tvivl om retstilstanden, herunder om hvornår hjemmesider skal leve op til samtykkekravet.
Samtykkekravet gælder stadig
Cookiebekendtgørelsens krav om samtykke, herunder til brug af cookies til simpel statistik, gælder formelt set stadigvæk. Reglerne er ikke ændret. Hjemmesiderne er således fortsat omfattet af kravet om samtykke til brug af alle former for cookies. Erhvervsstyrelsens udmelding må dog forstås således, at reglen om samtykke ikke vil blive håndhævet, hvis de tre ovennævnte kriterier er opfyldt. Det vil i hvert fald nok være utænkeligt at Erhvervsstyrelsen nu på eget initiativ tager en sag op om samtykke til simple statistikcookies. Men hvad hvis spørgsmålet skal behandles i en sag rejst på grundlag af en konkret klage fra en hjemmesidebesøgende?
Derudover vil Erhvervsstyrelsen fortsat prioritere tilsynet med statistikcookies, der ikke er simple. På Erhvervsstyrelsens udmelding kan man forstå, at det blandt andet indbefatter tilfælde, hvor der bygges brugerprofiler, og hvor data gives videre til en tredjepart.
Erhvervsstyrelsens meddelelse indeholder ikke nærmere kriterier for, hvornår der er tale om ”trafikmåling, som ikke bygger en brugerprofil af den besøgende”. Trafikmåling kommer i mange former og med store variationer i, hvad der trackes og samles data på. For virksomheder, der foretager trafikmåling på deres hjemmeside, kan det derfor være vanskeligt at vurdere, om netop deres trafikmåling kan siges at bygge brugerprofiler af de besøgende og dermed kan forventes at være omfattet af Erhvervsstyrelsens tilsyn.
For virksomheder, der anvender eksterne udbydere af analyseværktøjer til trafikmåling, fx Google Analytics, kan der også opstå tvivl om, hvorvidt samtykkereglerne vil blive håndhævet eller ej. Erhvervsstyrelsen har i sin præcisering af nyheden om styrelsens praksisændring anført, at ”Statistikcookies, der fx udbydes af gratis analyseværktøjer, hvor disse tredjeparter også får adgang til at anvende det indsamlede data vil fortsat blive prioriteret i styrelsens tilsyn”. Denne formulering må forstås derhen, at hvis konfigurationen af analyseværktøjet, fx Google Analytics, sikrer at der ikke videregives data til Google, som Google kan anvende til eget brug med egne formål, så er det ikke en brug af cookies, som Erhvervsstyrelsen vil føre tilsyn med. Det forudsætter dog stadig, at brugen af analyseværktøjet ikke indebærer, at der bygges brugerprofiler.
Cookiebekendtgørelse vs. GDPR
Derudover (gen)opstår spørgsmålet om forholdet mellem Erhvervsstyrelsen, som er tilsynsmyndighed for cookiebekendtgørelsen (må cookies placeres og tilgås), og Datatilsynet, som er tilsynsmyndighed for GDPR (krav til behandlingen af de personoplysninger, der indsamles med cookies). Som anført har Datatilsynet bekræftet, at de uanset Erhvervsstyrelsens udmelding fortsat vil føre tilsyn med den indsamling af personoplysninger, der foretages ved brug af cookies – også når formålet er simpel statistik.
Al behandling af personoplysninger kræver et behandlingsgrundlag efter GDPR. Behandlingsgrundlaget for indsamling af oplysninger ved hjælp af statistikcookies kan være samtykke – men det kan måske også opnås på anden vis, fx efter en interesseafvejning (private virksomheder) eller myndighedsudøvelse (offentlige myndigheder). Det må altid vurderes konkret, hvilket behandlingsgrundlag der er anvendeligt.
Hvis det vurderes, at der ikke kan opnås et behandlingsgrundlag på anden vis, skal der således fortsat indhentes samtykke til indsamlingen og behandlingen af personoplysninger til statistik.
Opfylder man imidlertid Erhvervsstyrelsens tre betingelser for simpel statistik, er der efter vores vurdering -alt andet lige - holdepunkter for at pege på en interesseafvejning/myndighedsudøvelse som behandlingsgrundlag.
Hvis du har du spørgsmål til, hvilken betydning Erhvervsstyrelsens praksisændring har for din virksomhed, eller om din virksomhed har et lovligt behandlingsgrundlag for anvendelse af cookiedata, eller har du i øvrigt spørgsmål til GDPR-forhold, er du velkommen til at kontakte en af vores GDPR-eksperter.