EU-domstolen har nu i sagen C-673/17 Verbraucherzentrale Brundesverband eV v. Planet49 GmbH blandt andet slået fast at et forhåndsafkrydset samtykke til cookies ikke er godt nok. Af dommen kan nok også udledes, at et cookiebanner, der oplyser at fortsat brug udgør et samtykke, heller ikke er nok længere. Erhvervsstyrelsen gransker stadig dommen, men har endnu ikke ændret sin cookievejledning fra 2013.
Som de fleste nok ved, har det siden 2011 været et krav, at der indhentes samtykke fra besøgende på en hjemmeside, før der sættes eller tilgås cookies på den besøgendes udstyr, hvad enten det er en pc, en tablet eller en mobiltelefon m.v.
Mange har indrettet sig efter Erhvervsstyrelsens vejledning fra 2013, når de giver information om, og indhenter samtykke til brugen af cookies.
Problemet er bare, at Erhvervsstyrelsens 6 år gamle cookievejledning ikke længere er retvisende. De teknologiske muligheder har ændret sig siden. Databeskyttelsesreglerne er strammet op med GDPR, og senest har EU-domstolen i Planet49-afgørelsen, givet sit besyv med om hvordan kravene til brug af cookies skal forstås.
Så selv om 'Cookiebekendtgørelsen' fra 2011 er uændret, er der sket væsentlige ændringer i, hvordan kravene skal opfyldes. Det har Erhvervsstyrelsen nu også erkendt, og har varslet, at en opdateret cookievejledning er på vej. Den er her bare ikke endnu.
10 ting du skal sørge for som hjemmesideejer
- Skab et overblik over hvilke cookies din hjemmeside sætter eller tilgår, når en bruger besøger siden. Brug gerne et af de tilgængelige værktøjer til scanning af hjemmesiden. Mange bliver overrasket over, hvor mange cookies deres hjemmeside sætter, og hvem der sætter dem.
- Sætter siden cookies, der ikke er brug for, så bring det til ophør.
- Skab et overblik over hvem – udover dig selv – der sætter cookies fra din side – og ikke mindst hvad formålet er. Ved du ikke, hvem der sætter en cookie eller til hvilket formål – så bloker den.
- Opdater din cookieinformation, så der som minimum i et klart sprog oplyses om- Din identitet – oplys dit CVR.nr.
- Formålet med de cookies, der sættes eller tilgås – Alle formål skal oplyses!
- Hvem sætter og tilgår cookies – både dig selv og de tredjeparter, der sætter eller tilgår cookies via din side – identificer alle tredjeparter der sætter eller tilgår cookies.
- Funktionsvarigheden af de cookies din side sætter – anfør udløbstidspunkt.
- Hvordan en bruger, der har givet samtykke til cookies, kan trække sit samtykke tilbage. Det skal være lige så nemt at trække samtykke tilbage, som at give samtykke.
- Overvej om der skal gives yderligere information for at brugeren til fulde forstår rækkevidden af din brug af cookies.
- Sørg for at give informationen, inden du indhenter samtykke – og at informationen efterfølgende fortsat er tilgængelig på hjemmesiden
- Sørg for at din hjemmeside ikke sætter den første cookie før end den enkelte bruger har givet samtykke. Det er dog ok at sætte nødvendige funktionscookies inden der gives samtykke.
- Samtykket skal indhentes ved en aktiv viljestilkendegivelse – eks. ved at der sættes et hak i et samtykkefelt. Undlad brug af på forhånd afkrydsede felter, der gør at brugeren skal fjerne et hak for at undgå, at der sættes eller tilgås cookies.
- Undlad brug af passivt samtykke: Den blotte fortsatte brug af siden er ikke længere nok til at udgøre et samtykke.
- Sørg for at du kan dokumentere det afgivne samtykke.
- Glem ikke persondatareglerne! Overvej om cookies bruges til at indsamle personoplysninger – Det gør de fleste. Vurder hvilket lovgrundlag du har til denne indsamling og behandling af personoplysninger – måske der kræves et særskilt persondatasamtykke! Husk at informere brugeren om din behandling af persondata. Bliver cookies sat af tredjepart skal du overveje, om der skal indgås en aftale om fælles dataansvar. Det skal brugeren også oplyses om.
Uddybende forklaring: Hvad er nyt?
Så hvad er det, der har ændret sig? Kort fortalt er de væsentligste ændringer følgende:
Et cookiesamtykke skal være en aktiv viljestilkendegivelse fra brugeren. Et cookiebanner, der oplyser at fortsat brug udgør et samtykke, er ikke længere nok.
Kravet til et samtykke til at sætte og tilgå cookies er skærpet. Cookiesamtykket skal forstås i overensstemmelse med de skærpede krav i GDPR. Hidtil har praksis i tillid til Erhvervsstyrelsens gamle vejledning været, at man via et 'cookiebanner' har oplyst, at man sætter cookies og linket til en mere detaljeret cookie-information, samtidigt med, at man har gjort opmærksom på, at fortsat brug af hjemmesiden anses som et samtykke.
Det holder ikke længere - selv om det fortsat fremgår af Erhvervsstyrelsens vejledning.
EU-domstolen har i Planet49-afgørelsen præciseret, at et samtykke kræver en aktiv viljestilkendegivelse fra brugeren, og at samtykke ikke kan gives ved 'passiv adfærd'. I den konkrete sag afviser EU-domstolen således, at samtykke gyldigt kan indhentes ved et forud afkrydset samtykkefelt, som brugeren skal fravælge for at nægte at give sit samtykke.
Afgørelsen omhandler ikke specifikt den gængse brug af et cookiebanner, der præciserer at fortsat brug af hjemmesiden anses som et samtykke. Men EU-domstolen fremhæver, at der ikke må herske tvivl om, at brugeren har givet samtykke. I sammenhæng med et forud afkrydset felt udtaler domstolen, at det er praktisk umuligt at afgøre, om brugeren faktisk har givet samtykke ved ikke at fravælge et forud afkrydset felt. Det kan nemlig ikke udelukkes, at brugeren ikke har læst den information, der ledsager det forud afkrydsede felt, eller forstået at der gives samtykke. Og det samme kan anføres om den gængse brug af et cookie banner, der anser fortsat brug som et samtykke.
Med andre ord kræves der et aktivt samtykke. Og det kræves at hjemmesideejeren efterfølgende kan dokumentere at samtykke er givet, f.eks. ved at logge at brugeren aktivt har tilvalgt, at der kan sættes cookie ved selv at have afkrydset en samtykkeboks.
Som anført skal cookiesamtykket forstås i overensstemmelse med GDPR's samtykke krav i artikel 7. Her er det værd at bemærke, at hvis en behandling af oplysninger tjener flere formål, skal der indhentes særskilt samtykke for hvert enkelt formål. Som det allerede ses i flere cookieløsninger indebærer det, at der kan være krav om at indhente særkilte samtykker til brug af cookies både til registrering af præferencer, til analyse af brugeradfærd på hjemmesiden og til markedsføring.
Det må antages at en løsning, hvor et cookiebanner giver brugerne adgang til at samtykke til alle oplyste formål med ét klik på en 'ok-knap' opfylder kravene, hvis der samtidigt tydeligt linkes til en underside, hvor der gives mulighed for aktivt at tilvælge formålene enkeltvis.
Den første cookie må ikke sættes, før end der kan påvises et samtykke
Siden 2011 har det været et krav, at der er givet samtykke inden den første cookie sættes eller tilgås. Der gælder dog en undtagelse, der tillader at nødvendige funktionscookies, må sættes inden der gives samtykke.
Erhvervsstyrelsen har i sin vejledning fra 2013 tilkendegivet, at kravet om forudgående samtykke kan være teknisk udfordrende for en del hjemmesider, der sætter cookies allerede, når brugeren tilgår siden. Erhvervsstyrelsen har derfor i deres vejledning - med støtte i at andre lande, herunder særligt de britiske myndigheder har gjort det samme - valgt at acceptere, at det i særlige tilfælde accepteres, at cookies kan lagres før der er givet samtykke hertil.
Men de tekniske muligheder har ændret sig siden, og det er i dag muligt at holde alle former for cookies tilbage, indtil der er givet samtykke. De britiske myndigheder har tidligere ændret deres vejledning, og det må forventes at Erhvervsstyrelsen gør det samme.
Budskabet er: Undlad at sætte cookies indtil et aktivt samtykke er givet!
Der skal nu også oplyses om funktionsvarigheden af cookies
Et samtykke skal gives på et informeret grundlag for at være gyldigt. Det ved de fleste, som i deres cookiebanner linker til en uddybende information om brugen af cookies.
EU-domstolen understregede i Planet49-afgørelsen, at der i den uddybende cookie-information skal oplyses om enhver tredjemand, der sætter cookies via siden (det har været et krav i Danmark siden 2011, så det bør ikke overraske) og – her kommer det nye som kan udledes af dommen – der skal gives oplysning om funktionsvarigheden af de cookies, der sættes. Brugerne skal med andre ord have at vide, hvor længe de cookies, der sættes, vil være aktive i forhold til det formål, der oplyses.
Ikke noget nyt – men glem ikke den behandling af personoplysninger, der sker ved hjælp af cookies
Mange blander kravet til cookiesamtykke sammen med betingelserne for at kunne indsamle og behandle personoplysninger. Det er også nærliggende. Men det er vigtigt at understrege, at et cookiesamtykke i udgangspunktet er et samtykke 'til teknologien', dvs. et samtykke der forholder sig til om hjemmesideejeren må placere cookies på brugerens udstyr eller tilgå og læse cookies, der allerede ligger på brugerens udstyr. Det samtykkekrav gælder uanset om der behandles personoplysninger eller ej.
Selv om der er givet et samtykke til cookies, er der ikke nødvendigvis hermed givet adgang til at behandle de personoplysninger, der kan indsamles ved hjælp af de placerede cookies. Det må særskilt vurderes efter de regler, der findes i GDPR og Databeskyttelsesloven. Afhængigt af hvilke oplysninger, der indsamles og hvor indgribende behandling oplysningerne gøre til genstand for kan det tænkes at der – i tillæg til cookiesamtykket – skal indhentes et persondataretligt samtykke! Overvej også om du har et fælles dataansvar med den tredjepart, der sætter cookies via din hjemmeside. Mere herom i en senere artikel.
Det anførte bør give enhver hjemmesideejer anledning til at (gen)overveje måden som hjemmesiden er indrettet på. Det er en overvejelse, der bør gøres allerede nu.