Bech-Bruun samarbejde

Erhvervsstyrelsen har på baggrund af Planet49-afgørelsen fra EU-Domstolen opdateret deres vejledning fra 2013 om Cookiebekendtgørelsen, og dermed ændret styrelsens hidtidige praksis om, hvordan brugeren afgiver et samtykke til, at der må placeres cookies.

Det har siden 2013 været Erhvervsstyrelsens praksis, at en bruger af en hjemmeside kunne afgive sit samtykke ved brug af en tjeneste, fx en hjemmeside, ved blot at klikke sig videre på siden uden af give et egentligt samtykke til placering af cookies på personens smartphone, tablet eller PC. Det skete fx ved anvendelse af formuleringen ”Ved at klikke OK eller gå videre accepterer du vores cookies”. Den nye EU-doms fortolkning af et samtykke indebærer, at brugerens aktive handling ikke kan bestå i at ”gå videre”. Heri ligger ikke et aktivt, specifikt samtykke. Erhvervsstyrelsen ændrer derfor praksis, så et samtykke ikke længere kan indhentes på den måde. Et samtykke skal – i overensstemmelse med definitionen i databeskyttelsesforordningen (GDPR) – bestå i en aktiv (opt-in) handling og ikke en opt-out-løsning, såsom en forud afkrydset samtykkeboks eller accept ved den blotte brug af hjemmesiden.

Det fastslås derudover i dommen, at brugerne skal have oplysningerne om den periode, som cookies er funktionsdygtige. Dette har betydning for, hvor mange oplysninger der indsamles om brugerne i den periode, hvor cookien er aktiv. Erhvervsstyrelsen vil opdatere cookievejledningen igen, når Erhvervsstyrelsen har analyseret dommens fulde betydning. 

Oplysningskravene
Det klare udgangspunkt er nu, at der skal indhentes et samtykke til brug af cookies. Eneste undtagelse hertil er teknisk nødvendige cookies, som alene har det formål at gøre en hjemmeside funktionsdygtig. Teknisk nødvendige cookies indsamler fx ikke informationer om brugerens søgning på nettet, og der skal derfor ikke informeres om dem eller indhentes samtykke ved brugen. Som eksempel kan nævnes cookies, der husker sprogvalg, eller de valg brugeren har gjort på en underside, selvom brugeren besøger andre sider under samme hjemmeside, fx hvis der ”lægges” varer i en indkøbskurv, eller brugeren indtaster et password for at få adgang til visse sider. 

Andre typer cookies kræver brugerens forudgående og aktive samtykke, og det er i den forbindelse vigtigt, at opfylde oplysningskravene ved indhentningen af et gyldigt samtykke. Kravene er, at:

  • informere i letforståeligt, klart og præcist sprog eller tilsvarende letforståeligt billedsprog
  • oplyse om formålet/formålene med at anvende cookies
  • oplyse om, hvem der står bag de anvendte cookies
  • oplyse om, hvordan man samtykker til eller afslår brugen af cookies
  • oplyse om, hvordan samtykket kan trækkes tilbage og muligheden herfor 
  • oplyse om cookiernes udløbsdato. 

Hvis oplysningskravene ikke er opfyldt, er brugerens samtykke ikke gyldigt. 

cookies_Bech-Bruun

Baggrund
EU-Domstolen har d. 1. oktober 2019 afgjort en række spørgsmål om brugen af cookies i Planet49-afgørelsen (Sag C-673/17). Afgørelsen vedrører fortolkningen af e-privacy-direktivets artikel 5, stk. 3, som i Danmark er implementeret i den så kaldte cookiebekendtgørelse. Dommen handler primært om fortolkningen af samtykker afgivet i forbindelse med placering af cookies. For det første skal et samtykke være aktivt (opt-in), hvilket indebærer, at forhåndsafkrydsede samtykkebokse eller accept ved brug af hjemmesiden ikke udgør et gyldigt samtykke. For det andet ændres kravene til samtykket ikke, selvom der ikke behandles personoplysninger men alene data om brugerens udstyr (fx smartphone eller tablet), og for det tredje skal brugeren oplyses om cookiernes funktionsvarighed og tredjemands adgang til dem. 

Bech-Bruun har i oktober 2019 udgivet et nyhedsbrev om afgørelsen, som kan læses her

Bech-Bruuns kommentarer
Planet49-afgørelsen har ikke medført ændring af selve cookiebekendtgørelsen, men Erhvervsstyrelsen har opdateret sin vejledning fra 2013, så den nye vejledning skærper kravet til brugen af cookies og præciserer uklarhederne i den tidligere vejledning.

En lang række hjemmesider skal derfor tilpasses for at sikre, at samtykket er aktivt og ikke består af samtykkebokse, som er afkrydset på forhånd. Accept ved brug af hjemmesiden udgør ligeledes ikke et gyldigt samtykke. Derfor giver Erhvervsstyrelsens opdatering af vejledningen anledning til, at cookiepolitikker og samtykkeprocedurer i forbindelse med brug af cookies eventuelt revideres, så det sikres, at kravene for anvendelse af cookies overholdes. 

Kravene kan overholdes ved implementeringen af et cookiebanner på hjemmesider, som giver brugeren mulighed for enten at samtykke til eller afvise cookies. Et cookiebanner vil give oplysninger om hjemmesidens brug af cookies og indeholde link til yderligere cookieinformation, herunder hvordan brugeren kan tilbagekalde sit samtykke. 

Cookiereglerne omhandler alene selve indsamlingen af enhver oplysning fra brugerens computer, tablet, smartphone og lignende. Ved en eventuel videre behandling af personoplysninger skal dette ske i overensstemmelse med GDPR. 

Du er naturligvis velkommen til at kontakte os, hvis du har spørgsmål til afgørelsen og Erhvervsstyrelsens vejledning eller i øvrigt ønsker vores bistand til at udarbejde eller revidere en cookiepolitik og samtykketekst.

Læs Erhvervsstyrelsens vejledning om Cookiebekendtgørelsen