Persondataloven og cookiebekendtgørelsen

I denne artikel ser vi nærmere på grænsefladerne mellem den nugældende cookiebekendtgørelse og den kommende persondatalovgivning

Til at starte med er det vigtigt at forstå, at der er forskel på cookiebekendtgørelsen og persondatalovens formål.

Formålet med cookiebekendtgørelsen er, at beskytte brugerens enheder, såsom mobiltelefoner, iPads eller computere, og derigennem privatsfæren.

I persondataloven udvides denne beskyttelse til ikke kun at omfatte enheden, men persondata i sig selv.

Overordnet kan de to regelsæt deles op på denne måde:

Cookiebekendtgørelsen: Man må ikke gemme cookies eller få adgang til cookies, der allerede er gemt på den registreredes enhed, medmindre der er givet samtykke.

Persondataloven: Regulerer den efterfølgende behandling, offentliggørelse mv. af de personlige data, der kan indsamles via cookies efter samtykke.

Et nærmere blik på cookiebekendtgørelsen

Cookiebekendtgørelsen vedrører alene den behandling, der består i lagring af data (såsom cookies) eller adgang til allerede lagrede data i en brugers enhed, eksempelvis computer, smartphone eller tablet.

Behandlinger, der finder sted før eller efter lagringen af eller adgangen til data i en brugers enhed, er ikke omfattet af reglerne i cookiebekendtgørelsen. De behandlinger kan i stedet være omfattet af de generelle bestemmelser om beskyttelse af persondata. Her kommer persondataloven ind.

Behandling af data i forhold til persondataloven omfatter alle persondata indenfor lovens rammer, og hvor der ikke er særregler i en anden lovgivning, der træder i stedet for, f.eks. cookiebekendtgørelsen, bogføringsloven eller hvidvaskloven.

Det betyder, at ved lagring af data og adgang til allerede lagrede persondata på en enhed, vil cookiebekendtgørelsen gå forud for persondataloven. I praksis vil der være andre behandlinger af data, eksempelvis når behandlingerne overføres til en server, eller når data indsamles eller viderebehandles på en server. Sådanne behandlingsprocesser ligger uden for brugernes enheder og er ikke omfattet af cookiebekendtgørelsen, men derimod persondataloven.

Sådan betragtes cookies

Cookies kan identificere en person via deres enhed og betragtes derfor som personlige data. Det vil sige, at alle data, der kan bruges til at identificere en person, enten direkte eller indirekte og uanset om de er sammen med andre oplysninger, er personlige data.

Det er dog ikke alle cookies, der bruges til at identificere brugere, men langt størstedelen af de cookies, der ligger på brugernes enheder vil blive underlagt persondataloven.

Dette omfatter cookies til analyse, annoncering og funktionelle tjenester, såsom undersøgelses- og chat værktøjer, remarketing cookies fra facebook eller LinkedIn og Google Analytics. 

Sådan ser verden ud nu

Fra d. 25. maj 2018, hvor persondataloven træder i kraft, skal virksomheder bede om brugernes samtykke for at indsame og behandle brugerens data, eller måske helt ophøre med at indsamle de krænkende cookies, for at blive compliant med persondataloven.

De fleste virksomheders websites er i dag afhængige af cookies og dermed brugernes samtykke, men med persondatalovens styrkede krav betyder det, at det vil være meget sværere at opnå juridisk samtykke.

"Virksomheder skal have et godt formål for at opnå samtykke fra brugerne og dermed have en lovlig grund til at indsamle og behandle brugernes data. Det er en ny måde at tænke på, for langt de fleste virksomheder." 

Implicit samtykke er ikke længere tilstrækkeligt og samtykke skal gives ved hjælp af en klar bekræftende handling, f.eks. ved at klikke på en opt-in-boks eller ved at lade brugerne vælge deres indstillinger eller præferencer i en menu.

Blot det at besøge et website tæller ikke som samtykke, og ”Ved at bruge dette website accepterer du cookies” beskeder, er heller ikke tilstrækkelige af samme årsager.

Brugernes frie valg og samtykke

Brugerne skal have et reelt og frit valg. Hvis der ikke er frit valg, er der ikke noget gyldigt samtykke. Samtykke skal være frivilligt, og det skal være nemt at acceptere eller afvise for brugeren.

Websites skal give mulighed for, at brugerne skifter mening og ikke længere giver samtykke. Selv efter at have fået gyldigt samtykke, skal websites give brugere mulighed for at skifte mening.

Hvis man beder om samtykke via opt-in bokse i en indstillingsmenu, skal brugerne altid kunne vende tilbage til menuen for at justere deres præferencer.

Samtykke er dog ikke påkrævet for tekniske / funktionelle cookies og intern statistik. Forordningen dækker alle sporingsmetoder undtagen funktionelle cookies. Det betyder, at personaliseret og adfærdsbaseret kommunikation stadig er muligt, men det kræver at websitet er bygget på en platform, der anvender funktionelle cookies, som eksempelvis Aesir Context Marketing platformen 

Hvordan opnås GDPR compliance?

Bemærkelsesværdigt nok nævnes cookies kun én gang i GDPR, men konsekvenserne er vigtige for enhver virksomhed, der bruger cookies til at spore brugerens aktiviteter på et website, eksempelvis som Google Analytics eller Facebooks sporings pixel.

I GDPR præambelbetragtning (indledning til lovtekst) nr. 30 står der:

"Fysiske personer kan tilknyttes online-identifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookie-identifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker."

Det fremgår desuden af betragtningen, at dette kan efterlade spor, der kan kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager og dermed bruges til at oprette profiler om fysiske personer og identificere dem.

Værd at vide om samtykke

Krav til samtykke er en vigtig del af persondataloven og cookiebekendtgørelsen, og det er essentielt at kende den juridiske definition af samtykke, hvis virksomheden skal undgå at havne i en cookie- eller data relateret problematik.

Samtykke har faet endnu mere fokus med GDPR

Kort og godt, så skal der indhentes klart samtykke fra brugeren, hvis der anvendes cookies på dit website, og det er ikke nok at antage, at brugerne er vidende derom og blot skal vedkende sig, at de bliver installeret, som det er tilfældet nu. Fabrikanter er forpligtet til at tilbyde løsninger, hvor udgangspunktet er, at der ikke gives automatisk tilladelse til cookies.

Definitionen på et samtykke

I persondataloven er begrebet ”samtykke” defineret således: Ved samtykke fra den registrerede forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Ifølge cookiebekendtgørelsens kan fysiske eller juridiske personer lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret i en slutbrugers terminaludstyr, hvis:

  • Lagringen af eller adgangen til oplysninger alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet.
  • Lagringen af eller adgangen til oplysninger er påkrævet for en informationssamfundstjeneste, som slutbrugeren udtrykkeligt har anmodet om.
  • Lagring af eller adgang til oplysninger i en slutbrugers enhed er påkrævet, hvis lagringen af data eller adgangen til oplysninger er en teknisk forudsætning for at kunne levere en tjeneste, der fungerer i overensstemmelse med tjenestens formål.

De vigtige undtagelser

Der er visse undtagelser fra kravet om informeret samtykke i cookiebekendtgørelsen:

Elektroniske indkøbskurve: Her er det nødvendigt at kunne genkende brugeren på tværs af sideskift (genindlæsninger af webshoppen), da indkøbskurven ellers vil være tom ved visning af en ny side.

Log-in situationer: Anvendelse af log-in (eksempelvis ved netbank, offentlige selvbetjeningsløsninger, eller ved adgang til særlige netværk), hvor cookies sikrer, at brugeren logges ind med brug af brugernavn/ passwords, og forbliver logget ind, uden igen at skulle indtaste sådanne koder.

Brugerdefinerede browserindstillinger: Eks. valg af land, sprog eller skriftstørrelse: I det omfang at disse udtrykkelig aktiveres af brugeren fx ved at klikke på en knap eller afkrydse en rubrik og ikke benyttes til andre formål og ikke i længere tid end en browsersession.

Autentificeringscookies: Cookies, der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider.

Brugervalideringscookies: Cookies, der anvendes til at sikre mod (gentagne) fejl ved log-in.

Multimedia player cookies: Cookies, der anvendes til at regulere netværkshastighed eller billedkvalitet og til at aktivere play back video- eller lydfiler.

Plug-ins til sociale medier: Cookies, der giver muligheden for enten at dele indholdet af en hjemmeside eller ”like” indholdet via sociale medier. Bemærk: Ikke sporing til retarget.

Load balancing: Cookies, der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en service

Se sammenhængen og kend jeres muligheder

Som ovenstående artikel antyder, så er det vigtigt at kende sammenhængen mellem persondataforordningen og cookiebekendtgørelsen og samtidig vide, hvornår den ene regel gælder fremfor den anden for at opfylde lovkravene og i forhold til jeres specifikke muligheder.

Er du i tvivl om jeres brug af cookies?

Vil du vide mere om datasikkerhed i forhold til din webløsning, så skriv gerne til os angående din problemstilling ift. cookies på din hjemmeside.

Kontakt mig

Jim Vestergaard

CEO - DK

(+45) 22 91 96 84

jiv@redweb.dk