Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Fokus på cookieløsninger

Hulgaard Advokater
20/05/2021
Fokus på cookieløsninger
Hulgaard Advokater logo
Datatilsynet har i 2021 fokus på bl.a. behandling af personoplysninger om hjemmesidebesøgende (cookies). Dette sker formentligt fordi virksomheder længe har stået overfor et valg mellem en lovlig cookieløsning og en effektiv cookieløsning. I denne artikel vil vi derfor kort opridse nogle af de løsninger, som vi ved ikke er lovlige, og nogle, der potentielt vil blive underkendt i fremtiden.

Har du styr på kravene til et cookiesamtykke?

Man skal indhente et samtykke fra besøgende på ens hjemmeside, inden man placerer cookies, ud over cookies, der er nødvendige for at en hjemmeside kan fungere.


Kravene til et gyldigt samtykke er netop et område, der har givet og fortsat giver mange udfordringer. Virksomheder, der investerer i online markedsføring, har stor interesse i at kunne placere cookies. Dette for at kunne målrette annoncer så effektivt som muligt.


Niveauet af besøgende på ens hjemmeside, der afgiver et samtykke, er derfor også blevet et direkte konkurrencemeter for mange virksomheder. Den valgte cookieløsning skal derfor have en så høj samtykke-rating som muligt.


Hvad sker der, hvis de samtykker, man indhenter, ikke er lovlige?

En ulovligt sat cookie straffes med bøde. I de fleste tilfælde vil brugen af cookies også være lig med behandling af personoplysninger. Dette fordi der ved brug af cookies ofte opsamles IP-adresser, og IP-adresser som hovedregel anses for at være personoplysninger.


En sådan ulovlig behandling kan straffes efter databeskyttelsesreglerne. Ifølge Datatilsynets nye bødevejledning ved vi, at behandling uden et gyldigt samtykke er en kategori 5 forseelse, der dækker over mere alvorlige overtrædelser.


Bøder er en ting, men mere alvorligt kan det være, hvis de indsamlede samtykker er ugyldige, og en virksomhed tillige mister et kæmpe markedsføringspotentiale.


Lidt baggrundsviden om reglerne

For at man må anvende cookies via ens hjemmeside, skal man indhente et samtykke fra de besøgende, medmindre de satte cookies er nødvendige, for at hjemmesiden kan fungere. For at et samtykke er gyldigt, er der dog en lang række krav, det skal overholde.


Kravene til et gyldigt samtykke er delvist defineret i reglerne om cookies, som findes i e-Privacy direktivet (der i Danmark er implementeret i cookiebekendtgørelsen) samt databeskyttelsesforordningen (GDPR). Planen fra EU’s side var, at bl.a. cookiereglerne skulle være opdateret sammen med databeskyttelsesreglerne i 2018, så der ikke opstod uhensigtsmæssige situationer.


Desværre blev der ikke opnået enighed om, hvordan en ny lov vedr. bl.a. cookies skulle se ud, hvilket har ledt til mange frustrationer i bl.a. markedsføringsindustrien. Den såkaldte e-Privacy forordning, som skulle tage hånd om problemerne, er fortsat ikke faldet på plads.


Det betyder, at vi i dag må se på de gamle regler i e-Privacy direktivet/ cookiebekendtgørelsen, der henviser til kravene til et gyldigt samtykke i databeskyttelsesreglerne, når vi vil bruge cookies.


Nogle konkrete typer af cookieløsninger

  • ”Ved at klikke videre accepterer du vores cookies”


Vi støder ofte på cookiebannere, som popper op i på hjemmesiden, og som oplyser, at vi ved at klikke videre på hjemmesiden accepterer brugen af cookies. Denne type løsning er helt åbenbart ikke lovlig. Denne løsning var forud for GDPR accepteret af Erhvervsstyrelsen, men blev underkendt i EU-dommen C‑673/17. Erhvervsstyrelsen har nu ændret praksis og anser ikke længere sådanne løsninger for lovlige.


  • ”Accepter alle cookies” eller ”Vis mere”


Den næste type af cookieløsninger er dem, der oftest præsenterer os for 4 mulige typer af cookies, som vi kan acceptere, nemlig nødvendige, præference, statistiske og markedsføringscookies.


I Datatilsynets afgørelse vedr. DMI’s tidligere cookieløsning blev det fastslået, at det ikke var tilladt at gemme disse valgmuligheder bag en ”vis mere”-knap. Med andre ord er det ikke tilladt at lade besøgende blive mødt med valget mellem at acceptere alle cookies eller klikke på en ”vis mere”-knap, for at kunne ændre heri.


  • Forudafkrydsede felter


Den næste faldgrube er cookieløsningen, hvor alle felterne er afkrydset på forhånd.


Her kan man enten fravælge de enkelte typer eller blot bekræfte, at de afkrydsede cookies må anvendes. Denne løsning er heller ikke lovlig. Dette blev bl.a. fastslået i EU-dommen C‑673/17. Domstolen henviste til, at et samtykke til cookies ikke er gyldigt afgivet, når cookies tillades ved hjælp af et forudafkrydset felt, som brugeren skal vælge fra for at nægte at give sit samtykke.


  • ”Accepter alle cookies” eller ”Accepter udvalgte cookies”


Efter afsigelsen af dommen vedr. forudafkrydsede felter begyndte der at komme nye ”grå-zone” løsninger, hvor kun de nødvendige cookies er obligatoriske og forudafkrydset i overensstemmelse med loven. De øvrige typer cookies kan frit tilvælges.


Når man har afkrydset de cookies, som man vil acceptere, kan man vælge mellem to knapper. Enten kan man tillade de udvalgte cookies (dem man selv satte kryds ved), alternativt kan man tillade alle cookies.


Fidusen her er, at ”Samtyk til alle”-knappen er highlightet, mens den anden er utydelig. De fleste besøgende vil her helt instinktivt klikke på ”Samtyk til alle”. Der har længe været stor debat om, hvorvidt en sådan løsning er lovlig.


Dette forventes da også afklaret, når vi engang får erstatningen til e-Privacy direktivet og cookiebekendtgørelsen. Indtil da er Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet dog kommet med en bemærkning hertil i deres nye ”Quick-guide til at sætte cookies”.


Heri står der, at man ikke må ”nudge brugerne til at samtykke f.eks. gennem knappers størrelse, farve og placering”. Meget tyder derfor på, at disse løsninger også er ulovlige i Datatilsynets øjne.


Hvad kan du gøre?

For at et cookiesamtykke anses for gyldigt, skal den besøgende have kontrollen herover. Det er dog tydeligt at se på de mange forskellige cookieløsninger, at der ikke er klarhed over, hvor grænsen går. Der er fortsat mange spørgsmål, der ikke er afklaret, og som forhåbentligt bliver adresseret i den nye EU-lovgivning. Eksempelvis er det væsentligt, om et samtykke er ugyldigt, hvis man blokerer adgangen til en hjemmeside, indtil den besøgende har taget stilling til brugen af cookies.


Indtil da anbefales virksomheder at gøre sig overvejelser om, hvorvidt det er værd at bevæge sig i en grå-zone, når konsekvensen kan blive en masse tabt arbejde. Afhængigt af omstændighederne kan det også være værd for virksomheder, der køber sig til onlineløsninger, at gennemgå eventuelle kontraktbetingelser, som beskriver, hvem der bærer ansvaret for, at cookieløsningen er lovlig. En bøde kan man ikke overvælte på en leverandør, men det kan ikke afvises, at et erstatningskrav for et evt. tab kan gøres gældende.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Træning af kunstig intelligens
Træning af kunstig intelligens
03/04/2024
Persondata, Immaterialret
Hvornår er en advokatundersøgelse relevant?
Hvornår er en advokatundersøgelse relevant?
10/04/2024
Øvrige, Compliance
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
ESG-rapportering
ESG-rapportering
12/04/2024
Finansiering og bankret, Compliance, EU-ret
Flere ansatte indberetter om virksomhedens interne forhold til Den Nationale Whistleblowerordning
Flere ansatte indberetter om virksomhedens interne forhold til Den Nationale Whistleblowerordning
11/04/2024
Compliance, Ansættelses- og arbejdsret
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted