Cookie-samtykkereglerne afklares

Over de seneste knap 8 måneder er der skabt afklaring om en række væsentlige spørgsmål i forhold til de gældende cookie-regler, som stammer fra ePrivacy-direktivet – og som er implementeret i dansk ret gennem Cookie-bekendtgørelsen.

Uanset om cookiereglerne måtte blive ændret ved en kommende ePrivacy-forordning, vil den skete afklaring fortsat have relevans, da den er baseret på GDPRs samtykke-bestemmelse. Selv om man i forhandlingerne om en ny ePrivacy-forordning drøfter, om flere typer cookies end de absolut nødvendige skal kunne anvendes uden samtykke, vil der utvivlsomt fortsat være en stor mængde cookies, der kræver samtykke, hvorfor dette er relevant læsning – også for de virksomheder, der måtte have besluttet at forholde sig passivt i forhold til opdatering af hjemmesiden, indtil den nye forordning er vedtaget.

Afklaringen er sket gennem flere kilder:

  • EU-domstolens dom af 1. oktober 2019 i Planet49-sagen
  • Datatilsynets afgørelse i DMI-sagen og den tilhørende vejledning, publiceret 17. februar 2020
  • Det Europæiske Databeskyttelsesråd (EDPB)’s opdaterede samtykke-vejledning 05/2020 af 4. maj 2020

I denne artikel sammenfattes de væsentligste konklusioner fra de 3 kilder.

Planet49-dommen

EU-domstolen afsagde 1. oktober 2019 dom i den såkaldte Planet49-sag (C-673/17). Den vedrørte en tysk hjemmeside, hvor brugerne kunne tilmelde sig en konkurrence ved at acceptere elektronisk markedsføring. Dette skete ved at brugeren aktivt skulle afkrydse et felt. Nedenunder var et andet felt, hvor man skulle acceptere, at hjemmesiden brugte cookies til målrettet markedsføring. Dette felt var forudfyldt, men kunne fravælges.

Den tyske domstol rejste derfor et spørgsmål til EU-domstolen om, hvorvidt dette opfyldte kravet om samtykke til brug af cookies (bortset fra de absolut nødvendige). Dette afviste EU-domstolen, idet den udtalte, at samtykke skulle ske ved en aktiv handling fra brugerens side, og dette er ikke opfyldt, når samtykkefeltet er forudfyldt.

Endvidere udtalte domstolen – baseret på GDPRs krav om, at samtykke skal gives på et oplyst grundlag – at det er nødvendigt, at brugeren let kan få oplysninger om de anvendte cookies, herunder cookies ”levetid”, altså hvor længe de forbliver aktive på brugerens udstyr. Det fremgår allerede af den danske cookie-bekendtgørelse, at man skal oplyse, hvem der placerer eller tilgår cookies, herunder identiteten på tredjemænd (ikke blot kategorier) samt formålet med placering af cookies.

Kravet om oplysning om cookies levetid er et krav, der ikke før EU-dommen har været klart udtrykt i reglerne.

DMI-sagen og Datatilsynets vejledning

Datatilsynet publicerede den 11. februar 2020 en afgørelse vedr. brugen af cookies på DMIs hjemmeside, der blev brugt i forbindelse med målrettede bannerannoncer. Datatilsynet rejste alvorlig kritik af, at DMIs hjemmeside – herunder den nyligt udgivne hjemmeside – ikke indeholdte en let adgang for brugerne til at fravælge cookies, idet der umiddelbart kun var en ”OK”-knap til at acceptere cookies, mens man skulle bruge knappen ”Vis detaljer” til at komme til en underside, hvor man kunne fravælge cookies. Der blev således lagt vægt på, at muligheden for at fravælge cookies grafisk ikke var ligestillet med muligheden for acceptere cookies. Endvidere blev det kritiseret, at der kun var mulighed for at give ét samlet samtykke til en række forskellige formål (statistik, markedsføring etc.).

Datatilsynet benyttede lejligheden til at udgive en samlet vejledning om behandling af personoplysninger om hjemmesidebesøgende, som findes på hjemmesiden. Vejledningen indeholder en række grafisk illustrerede eksempler på do’s and dont’s, når man har en hjemmeside, og er anbefalet læsning.

Nogle af de væsentligste pointer i vejledningen er bl.a.:

  • At det som udgangspunkt er ejeren af hjemmesiden, der er dataansvarlig, uanset at man blot giver en tredjemand lov til at placere cookies på brugernes udstyr via hjemmesiden. Der kan dog være situationer, hvor der opstår et delt dataansvar.
  • Mulighederne for at acceptere eller afvise cookies (typisk ”OK/AFVIS” eller ”JA/NEJ”) skal grafisk være ligestillede (eksempel 6 og 11).
  • Samtykket skal være ”granulart”, dvs. der skal være mulighed for at acceptere eller afvise cookies for hvert enkelt formål (typisk opdelt i ”præferencer”, ”statistik” og ”markedsføring” – men det varierer) – ellers er der reelt ikke tale om et frivilligt samtykke (eksempel 7).
  • Formålene med placering af cookies skal være klart beskrevne – ikke ”runde” formuleringer som ”personalisering af hjemmesiden” eller lignende (eksempel 8).
  • Det skal fremgå, at man har mulighed for at trække samtykket tilbage. Dette er et problem for mange eksisterende hjemmesider, da cookieteksten ofte forsvinder helt, når man først har sagt JA, hvorfor det er svært at gennemføre et fravalg.
  • Det skal være klart for brugeren, præcist hvilke (tredjeparts) virksomheder, der tillades at placere cookies eller tilgå data fra cookies. Derimod kan det ikke udledes af vejledningen, at det er et krav, at man skal have mulighed for at fravælge cookies fra enkelte virksomheder – så valgmuligheden er som udgangspunkt ”pr. formål”.
  • Endelig understreges det, at virksomheden til enhver tid skal have mulighed for at dokumentere, hvornår samtykket er indhentet, samt hvilken version af samtykkeløsningen, der blev anvendt på daværende tidspunkt.

Sidstnævnte punkt betyder reelt, at en statisk cookietekst på hjemmesiden – uanset hvor tilstrækkelig oplysningsteksten er – ikke er nok, idet det ikke giver dokumentation for samtykke, idet brugerens aktive handling ikke kan dokumenteres.

EDPBs opdaterede samtykkevejledning

EDPB udgav den 4. maj en opdateret vejledning om samtykke efter GDPR (05/2020).

Ændringen i forhold til den tidligere vejledning vedrører begge cookies:

For det første blev det slået fast, at det ikke er lovligt på en hjemmeside – der i øvrigt står tilgængelig for offentligheden – at betinge brug af hjemmesiden og dens funktioner af, at brugeren accepterer cookies. Dette fænomen – kaldet ”cookie walls” – ses på en del hjemmesider, og det har ikke tidligere været afklaret, om dette var lovligt.

Det er der nu med EDPB’s vejledning skabt klarhed over.

Et andet forhold, vejledningen præciserer er, at den aktive handling fra brugeren, som skal dokumentere et samtykke, ikke kan være en bevægelse (swipe til siden eller scroll op/ned). Dette er ikke entydig signalering af samtykke. Derudover vil det praktisk ikke være lige så let fravælge cookies, som det var at acceptere dem, da dette skulle indebære, at et swipe eller scroll i modsat retning skulle slå cookies fra igen.

Sammenfatning

Det er med den skete afklaring ikke længere nok med en statisk cookie-politik, der evt. vejleder om at deaktivere cookies i browser-indstillingerne – som mange cookie-politikker gør i dag. Cookie-deklarationen skal indeholde alle de relevante oplysninger om de til enhver tid anvendte cookies på hjemmesiden (udbyder, formål, varighed samt hvordan man fravælger den) – evt. i flere ”lag” – og det skal være let at vælge til og fra for de enkelte formål.

Det kan næppe anses som et krav, at man kan fravælge enkelt-leverandører af cookies (som f.eks. Facebook eller Google), men ofte kunne man ønske sig en mulighed for at vælge alle tredjeparts-cookies fra. Dette kan dog for de fleste browseres vedkommende klares i browserindstillingerne.