Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Erhvervsstyrelsen vil fremover nedprioritere tilsynet med hjemmesiders brug af simple statistikcookies – men kravet om samtykke gælder stadig

Bird & Bird
10/11/2021
Erhvervsstyrelsen vil fremover nedprioritere tilsynet med hjemmesiders brug af simple statistikcookies – men kravet om samtykke gælder stadig
Bird & Bird logo
Erhvervsstyrelsen har på sin hjemmeside for nyligt offentliggjort, at de fremadrettet ikke vil prioritere tilsynet med hjemmesiders indhentning af simple statistikcookies. Reglerne er imidlertid ikke ændret. Nyheden – og opfølgende præciseringer og udtalelser fra både Erhvervsstyrelsen og Datatilsynet – giver anledning til nogle bemærkninger om, hvad der så gælder nu.

Siden implementeringen af cookiebekendtgørelsen i 2011 har det været et krav, at der indhentes samtykke fra besøgende på en hjemmeside, før der sættes eller tilgås cookies. Samtykkekravet gælder – med nødvendige funktionscookies som eneste undtagelse – for alle cookies uanset formålet.


Erhvervsstyrelsen har nu oplyst, at de fremover ikke vil prioritere tilsynet med samtykkekravet for så vidt angår simple statistikcookies, dvs. cookies der:


  1. indsamler statistik til hjemmesideejerens egen brug, fx i form af trafikmåling, og som
  2. ikke bygger en brugerprofil af den besøgende, og hvor
  3. data ikke gives videre til tredjeparter

Hvis disse tre betingelser er opfyldt, vil Erhvervsstyrelsen øjensynligt ikke forholde sig til, om der er indhentet samtykke eller ej.


Som begrundelse anfører Erhvervsstyrelsen, at det er stort set umuligt at optimere og lave gode hjemmesider, hvis de besøgende afviser cookies og dermed forhindrer indsamlingen af statistiske data for hjemmesideejerne. Udmeldingen skal ses i sammenhæng med, at der i forhandlingerne om den kommende forordning om e-databeskyttelse er lagt op til, at samtykkekravet ikke skal gælde for simple statistikcookies, og at en række EU-medlemslande allerede i dag ikke kræver samtykke for statistikcookies, som alene knytter sig til driften af en hjemmeside.


Erhvervsstyrelsens udmelding har medført en efterfølgende udveksling af præciserende udmeldinger fra Datatilsynet, der understreger at Datatilsynet fortsat vil føre tilsyn med statistikcookies, der anvendes til indsamling af personoplysninger, og en præcision fra Erhvervsstyrelsen, der understreger, at reglerne ikke er ændret, at Erhvervsstyrelsen fortsat vil føre tilsyn med hjemmesider, men at simple statistikcookies fremadrettet ikke vil være en prioritet.


Bird & Birds bemærkninger

Erhvervsstyrelsens udmelding er umiddelbart en håndsrækning til de mange hjemmesider, der oplever, at cookiereglerne begrænser mulighederne for at optimere deres forretning ved at gennemføre trafikmålinger.


Kursændringen rejser imidlertid også en række retlige spørgsmål, som synes uafklaret, og som kan skabe tvivl om retstilstanden, herunder om hvornår hjemmesider skal leve op til samtykkekravet.


Samtykkekravet gælder stadig

Cookiebekendtgørelsens krav om samtykke, herunder til brug af cookies til simpel statistik, gælder formelt set stadigvæk. Reglerne er ikke ændret. Hjemmesiderne er således fortsat omfattet af kravet om samtykke til brug af alle former for cookies. Erhvervsstyrelsens udmelding må dog forstås således, at reglen om samtykke ikke vil blive håndhævet, hvis de tre ovennævnte kriterier er opfyldt. Det vil i hvert fald nok være utænkeligt at Erhvervsstyrelsen nu på eget initiativ tager en sag op om samtykke til simple statistikcookies. Men hvad hvis spørgsmålet skal behandles i en sag rejst på grundlag af en konkret klage fra en hjemmesidebesøgende?


Derudover vil Erhvervsstyrelsen fortsat prioritere tilsynet med statistikcookies, der ikke er simple. På Erhvervsstyrelsens udmelding kan man forstå, at det blandt andet indbefatter tilfælde, hvor der bygges brugerprofiler, og hvor data gives videre til en tredjepart.


Erhvervsstyrelsens meddelelse indeholder ikke nærmere kriterier for, hvornår der er tale om ”trafikmåling, som ikke bygger en brugerprofil af den besøgende”. Trafikmåling kommer i mange former og med store variationer i, hvad der trackes og samles data på. For virksomheder, der foretager trafikmåling på deres hjemmeside, kan det derfor være vanskeligt at vurdere, om netop deres trafikmåling kan siges at bygge brugerprofiler af de besøgende og dermed kan forventes at være omfattet af Erhvervsstyrelsens tilsyn.


For virksomheder, der anvender eksterne udbydere af analyseværktøjer til trafikmåling, fx Google Analytics, kan der også opstå tvivl om, hvorvidt samtykkereglerne vil blive håndhævet eller ej. Erhvervsstyrelsen har i sin præcisering af nyheden om styrelsens praksisændring anført, at ”Statistikcookies, der fx udbydes af gratis analyseværktøjer, hvor disse tredjeparter også får adgang til at anvende det indsamlede data vil fortsat blive prioriteret i styrelsens tilsyn”. Denne formulering må forstås derhen, at hvis konfigurationen af analyseværktøjet, fx Google Analytics, sikrer at der ikke videregives data til Google, som Google kan anvende til eget brug med egne formål, så er det ikke en brug af cookies, som Erhvervsstyrelsen vil føre tilsyn med. Det forudsætter dog stadig, at brugen af analyseværktøjet ikke indebærer, at der bygges brugerprofiler.


Cookiebekendtgørelse vs. GDPR

Derudover (gen)opstår spørgsmålet om forholdet mellem Erhvervsstyrelsen, som er tilsynsmyndighed for cookiebekendtgørelsen (må cookies placeres og tilgås), og Datatilsynet, som er tilsynsmyndighed for GDPR (krav til behandlingen af de personoplysninger, der indsamles med cookies). Som anført har Datatilsynet bekræftet, at de uanset Erhvervsstyrelsens udmelding fortsat vil føre tilsyn med den indsamling af personoplysninger, der foretages ved brug af cookies – også når formålet er simpel statistik.


Al behandling af personoplysninger kræver et behandlingsgrundlag efter GDPR. Behandlingsgrundlaget for indsamling af oplysninger ved hjælp af statistikcookies kan være samtykke – men det kan måske også opnås på anden vis, fx efter en interesseafvejning (private virksomheder) eller myndighedsudøvelse (offentlige myndigheder). Det må altid vurderes konkret, hvilket behandlingsgrundlag der er anvendeligt.


Hvis det vurderes, at der ikke kan opnås et behandlingsgrundlag på anden vis, skal der således fortsat indhentes samtykke til indsamlingen og behandlingen af personoplysninger til statistik.


Opfylder man imidlertid Erhvervsstyrelsens tre betingelser for simpel statistik, er der efter vores vurdering -alt andet lige - holdepunkter for at pege på en interesseafvejning/myndighedsudøvelse som behandlingsgrundlag.


Hvis du har du spørgsmål til, hvilken betydning Erhvervsstyrelsens praksisændring har for din virksomhed, eller om din virksomhed har et lovligt behandlingsgrundlag for anvendelse af cookiedata, eller har du i øvrigt spørgsmål til GDPR-forhold, er du velkommen til at kontakte en af vores GDPR-eksperter.

Artiklen er forfattet af:
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Dygtige jurister til et politisk og udfordrende miljø i Transportministeriets departement
Jurist til lovarbejde og politikudvikling på jernbaneområdet i Transportministeriets departement
Advokater til vores kontorer i Aarhus og København
Skarpe jurister til internationalt kontor (genopslag)
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted