Bech-Bruun samarbejde

EU-domstolen gør i ny afgørelse op med brugen af passivt samtykke og klarlægger kravene til, hvilke oplysninger der skal gives i forbindelse med brug af cookies.

Den tyske forbundsdomstol stillede i 2017 en række præjudicielle spørgsmål vedrørende brugen af cookies til EU-domstolen.

De indbragte præjudicielle spørgsmål vedrørte kravene til samtykke og oplysningspligt i forbindelse med anvendelse af cookies.

Krav til samtykke
Placering af cookies på det udstyr, som fysiske personer anvender til at forbinde sig til internettet (fx PC’ere, tablets og smartphones, men også andre former for IoT devices) kræver som udgangspunkt samtykke. I overensstemmelse med definitionen i databeskyttelsesforordningen skal samtykket være frivilligt, specifikt, informeret og utvetydigt. Det har siden 25. maj 2018, hvor databeskyttelsesforordningen skulle anvendes, givet anledning til tvivl, hvad der konkret skal til, før et samtykke til brug af cookies kan betragtes som utvetydigt, og dermed også hvordan funktionaliteten på de løsninger, som anvendes til indhentelse af brugernes samtykke, skulle være.

EU-domstolen slår fast, at kravet om utvetydighed kun kan opfyldes via en aktiv handling fra bruge-rens side. En såkaldt ”opt out-løsning”, hvor der fx anvendes forhåndsafkrydsede samtykkebokse, som brugeren selv skal fravælge, hvis ikke vedkommende ønsker at samtykke, betragtes dermed ikke som en aktiv handling, og kan derfor ikke danne grundlag for et gyldigt samtykke.

Selvom EU-domstolen ikke nævner det direkte, kan det udledes af afgørelsen, at en løsning, hvor brugeren samtykker blot ved fortsat brug af en hjemmeside eller tjeneste, ikke kan betragtes som et gyldigt samtykke, fordi der ikke sker en aktiv handling i forbindelse med samtykket. 

Domstolen udtaler, at kravet om aktivt samtykke gælder for placering af cookies, uanset om brugen af cookies indebærer, at der behandles personoplysninger i henhold til databeskyttelsesforordningen eller ej. Dette skydes, at reglerne om cookies findes i det bredere e-privacy direktiv, som bl.a. regulerer placering af alle typer af data – og dermed ikke kun personoplysninger – på brugernes udstyr.

Det vil derfor være nødvendigt altid at anvende ”opt in-løsninger”, hvor brugeren fx aktivt krydser en samtykkeboks af eller på anden vis aktivt skal samtykke, når der anvendes cookies, uanset om der i denne forbindelse behandles personoplysninger. Hvis der efterfølgende sker behandling af personoplysninger, fx i forbindelse med profilering, skal denne behandling overholde kravene i databeskyttelsesforordningen.

EU-dom_bech-bruun

Information om cookies
I forbindelse med placering af cookies skal brugeren gives en række informationer om brugen af cookies. Formålet er at give brugeren mulighed for at samtykke på et tilstrækkeligt oplyst grundlag, herunder sikre at brugeren kan vurdere følgerne af et samtykke. 

Oplysningerne skal være klare og fyldestgørende. Dette indebærer ifølge EU-domstolens afgørelse blandt andet, at der skal gives information om den periode, hvor den enkelte cookie er i funktion, fordi det har betydning for, hvor mange oplysninger, der indsamles om brugeren i den periode, hvor cookien er aktiv.

Derudover skal der ifølge afgørelsen gives oplysning om tredjemands mulighed for at få adgang til de placerede cookies. Domstolen henviser i den forbindelse til databeskyttelsesforordningens artikel 13, stk. 1, litra e, der stiller krav om, at registrerede informeres om modtagere eller kategorier af modtagere af oplysningerne. Dette indebærer dog formentlig også, at der ikke stilles krav om, at der oplyses om, hvilke specifikke tredjemænd der har mulighed for at få adgang til oplysningerne. Oplysning om modtagere eller kategorier af modtagere skal være tilstrækkeligt til at opfylde cookiedirektivets krav om, at der skal gives klare og fyldestgørende oplysninger på dette punkt.

Bech-Bruuns kommentarer

EU-domstolens afgørelse skærper kravene til brug af cookies på de mange hjemmesider, som anvender opt-out eller passiv accept til brug af cookies (og præciserer de uklarheder, som siden 2013 har fulgt af Erhvervsstyrelsens vejledning vedr. den danske cookie-bekendtgørelse, som accepterer passivt samtykke til cookies).

En lang række hjemmesider skal derfor tilpasses i lyset af dommen:

  • Samtykke skal være aktivt (opt in), hvilket indebærer, at forhåndsafkrydsede samtykkebokse eller accept ved brug af hjemmesiden ikke udgør et gyldigt samtykke.
  • Kravene til samtykket ændres ikke, selvom der ikke behandles personoplysninger i forbindelse med brug af cookies.
  • Brugere skal informeres om funktionsvarigheden og tredjemands mulighed for at få adgang til de oplysninger, der behandles ved hjælp af cookies.

Afgørelsen giver derfor anledning til, at cookiepolitikker og samtykkeprocedurer i forbindelse med brug af cookies genbesøges og eventuelt revideres, så det sikres, at kravene for anvendelse af cookies overholdes.

Du er naturligvis velkommen til at kontakte os, hvis du har spørgsmål til afgørelsen eller i øvrigt ønsker vores bistand til at udarbejde eller revidere en cookiepolitik inklusiv samtykketekst.