Cookies, persondata og den kommende ePrivacy-forordning

Med EU-persondataforordningen (GDPR) og den kommende ePrivacy-forordning, der langt om længe erstatter det uddaterede ePrivacy-direktiv fra 2002, bliver data-overholdelse en vigtig problemstilling for både virksomheder og deres kunder. Talløse virksomheder har og står stadig overfor udfordringen om at overholde GDPR og de krav, som forordningen introducerede. Persondata bliver behandlet på tværs af websider, både i samarbejde og individuelt, og det foregår igennem cookies. Dette indlæg vil forsøge at opremse hvad cookies er, hvorfor de er relevante, og hvorfor man som bruger og virksomhed skal være påpasselig fremadrettet.

Hvad er cookies?

Cookies er for en webside et værktøj, der benyttes til at forbedre en brugers oplevelse. De gør det muligt for en bruger at benytte en webside og dens funktioner, og de gør det muligt for websiden at huske brugeren. Dette gør det muligt for brugeren at bevæge sig hen på andre websider og forblive husket på den oprindelige webside. Cookies anses digitalt som persondata. Af denne grund skal virksomheder, der benytter sig af cookies, være meget opmærksomme på deres anvendelse af dem, hvis de skal handle i overensstemmelse med den nye EU-lovgivning.

Cookies giver brugerne muligheden for at indstille deres præference for websiderne og for at disse præferencer bliver husket den næste gang brugeren tilgår websiden. Cookies er ikke som sådan skadelige for ens computer. Afhængig af websiden kan diskussionen om, hvorvidt cookies er nyttige og gør ens brugeroplevelser bedre, eller om de er belastende afhænge af, hvilken type cookie der er tale om.

Hvordan fungerer cookies?

Cookies er små filer, der gennem websider lagrer sig på en brugers computer. Når brugeren tilgår websiden igen, uploades den til websidens klient. Den primære hensigt bag dette er at forbedre måden websiden fungerer for brugeren. Det medfører dog, at websider bl.a. kan spore, hvad brugeren foretager sig på websiden. Det giver hermed også websiden en måde at huske en bruger på. Evnen til at huske en bruger er særligt nyttigt i forhold til loginnavne, indstillinger mv. Websider kan herudover komme med forslag til hvilken markedsføring, der kunne være interessant for forbrugeren og hvilke produkter/artikler forbrugeren muligvis kunne finde spændende.

Cookies kan således være med til at gøre ens browseroplevelse lettere. Naturligvis kan der foreligge en bekymring i, at selskaber indsamler for mange oplysninger om brugeren. Derfor skal disse virksomheder også efterleve nogle regler for behandlingen af persondata, så brugerne er sikrede. En webside må f.eks. aldrig lagre cookies hos en bruger, medmindre den har fået udtrykkelig tilladelse hertil. Tekniske cookies, som vil blive belyst nedenfor, er dog undtaget fra denne regel.

Hvilke slags cookies findes der?

Det er som udgangspunkt umuligt at skelne mellem, hvorvidt cookies på en webside er til fordel for brugeren eller til fordel for en tredjepart. Som bruger bør man lægge vægt på, hvad websiden siger om, hvordan den håndterer cookies. Dette vil typisk enten kunne findes i samtykkeerklæringen eller i virksomhedens cookiepolitik.

Tracking-cookies

Tracking-cookies eller personaliserede cookies sporer en forbrugers færden på nettet. De indsamler informationer om, hvad man foretager sig på en webside. Der sondres mellem forskellige typer af tracking-cookies.

Markedsførings-cookies

Markedsførings-cookies benytter brugerens informationer til at finde reklamer, der kunne være interessante for forbrugeren baseret på brugerens adfærd på nettet. Disse cookies sælges oftest videre til virksomheder, der ønsker at reklamere deres varer eller ydelser til brugeren. De har den største værdi, hvis den pågældende virksomhed kan målrette en relevant annonce til brugeren baseret på den pågældende cookie. Markedsførings-cookies kræver altid samtykke fra brugeren forinden websiden anvender dem.

Statistik-cookies

Statistik-cookies har ikke så stor en betydning for brugerens færden på internettet, da de udelukkende benyttes til at optimere websiden. Med det menes der, at de bruges som led i analyser af, hvad der på websiden er mest populært blandt brugerne for i højere grad at synliggøre dette. De indsamler information om hvad man besøger, hvor længe og hvor ofte det besøges. Statistik-cookies kræver altid samtykke fra brugeren forinden websiden kan anvende dem.

Tredjeparts-cookies

Tredjeparts-cookies er filer, der kommer fra en tredjepart. De sendes fra en webside, der ikke er den webside, som forbrugeren benytter. Her er der oftest tale om reklamebannere o.lign. typer af links, som er det mest hyppigt anvendte formål bag tredjeparts-cookies.

Tredjeparts-cookies falder typisk ind under tracking-cookies, da de per definition aldrig kan være tekniske cookies. De adskiller sig udelukkende i, at de ikke kommer fra den webside man besøger, men i stedet benytter websiden som en mellemmand. Reklamebannerne anvendes til at bygge en profil omkring brugeren, der kan fortælle virksomheden en række ting om forbrugeren. Dette kunne eksempelvis være, hvad personen foretrækker at se, hvilke produkter brugeren typisk køber og dermed hvad virksomheden formentlig kan sælge til brugeren.

Brugen af tredjeparts-cookies kan anses som en krænkelse af ens privatliv og er blandt de mest fundamentale hensigter bag persondatalovens udvikling. I de fleste browsere er der mulighed for at blokere disse filer fra tredjeparter, uden at det påvirker brugen af andre cookies.

Tekniske cookies

Tekniske cookies kan også benævnes funktionscookies. De gør, at websiden fungerer efter dens primære hensigt og gør, at websiden ikke kan fungere uden dem. Her er det vigtigt at lægge vægt på, at de opfylder et behov, som brugeren udtrykkeligt har bedt om. Af denne grund kræver de ikke kræver samtykke, forinden brugeren anvender dem. Eksempelvis gør de det muligt for brugerne at handle med en virtuel indkøbskurv, da det er takket være dem, at indkøbskurven kan huske hvad brugeren putter i den. Netbank og NemID, som falder ind under hvad man kalder betalingsgateways, kræver desuden lagring af denne type filer for at kunne fungere efter deres hensigt. Tekniske cookies er undtaget mange regler, som de resterende cookietyper ikke er, da deres funktion og rækkevidde kun strækker sig til den pågældende side.

Hvilke regler gælder der for brug af cookies?

På nuværende tidspunkt falder cookies ind under hvad der anses som persondata. Foruden at man skal indhente samtykke fra brugeren, før de må lagre dem på deres anordning, så skal samtykket være udtrykkeligt. Det betyder, at brugeren skal foretage sig noget aktivt for acceptere. Det er også af denne grund, at en stor samtykkeknap vil vise sig i form af et pop-up, når man besøger nye hjemmesider. Her er det vigtigt, at virksomheden giver brugeren muligheden for at nægte samtykke.

Accept ved passivitet kan ikke længere gøres gældende for nogle cookietyper. Endvidere kan man ikke blot nøjes med at skrive det ind i sine cookie- eller websidebetingelser. Før brugeren overhovedet accepterer, at de vil tillade websiden at sende dem filerne, skal de have mulighed for at læse virksomhedens cookiebetingelser.

Hvordan kan en virksomhed overholde GDPR?

En virksomheds cookie-betingelser skal som minimum indeholde oplysninger om:

  • hvilken datatype, der er tale om, og hvad skal de bruges til,
  • hvor længe dataene opbevares,
  • hvor længe deres levetid er,
  • hvis websidens cookies er fra en tredjepart, og hvis de er, så skal de ovenstående oplysninger også fremgå fsva. tredjeparten og
  • virksomheder skal desuden være opmærksomme på brugeres “right to be forgotten” (ret til at blive glemt). Med det menes der, at foruden brugeren til enhver tid kan kræve at få at vide, hvilke oplysninger en virksomhed ligger inde med om dem, så kan de også kræve, at virksomheden sletter alle de oplysninger de sidder inde med, som omhandler brugeren.

Hvordan kan en virksomhed sikre, at den overholder den kommende ePrivacy-forordning?

  • På linje med GDPR skal samtykket indhentes forinden websiden anvender cookies, medmindre det er tekniske cookies.
  • Der skal være foretaget en aktiv handling fra brugeren, der udgør et samtykke, som ikke kan forvekles.
  • Virksomhedens cookiepolitik og samtykkeerklæring skal indeholde et enkelt og letforståeligt sprog, som brugeren ikke kan misforstå.
  • ePrivacy-forordningen gør op med den nuværende tilgang til statistik-cookies, som siger, at de er privatlivskrænkende. I stedet har Kommissionen foreslået, at disse er undtaget den kommende forordning, såfremt de kun bidrager til ren analyse. Tredjeparts-cookies kan præsentere et problem for denne sondring, men det er endnu ikke afklaret, hvordan denne adskillelse laves.
  • Internetbrowsere (Internet Explorer, Mozilla Firefox, Google Chrome eller Safari) skal ifølge forordningen indeholde en specifik funktion til kontrol af cookies. Disse indstillinger kan betyde, at samtykke erklæres forinden brugeren besøger websiden, men dette er blot en teori.

Se også LegalHeros produktside om rådgiving af databehandling for flere oplysninger om GDPR-reglerne her.

Må websider blokere brugere, der ikke vil acceptere cookies?

Websider har ikke lov til at blokere brugere, der ikke ønsker at acceptere dens cookiebetingelser. I stedet vil enten browseren eller den pågældende webside understrege, at dens funktionalitet vil forværres, hvis dens cookies ikke kan lagres. Tekniske cookies er som tidligere nævnt tilladte at bruge uden brugerens samtykke. At de er tekniske og ikke kræver tilladelse forudsætter naturligvis, at websiden ikke kan fungere uden disse cookies, og at de dermed har en reel funktion. Der er stadig mange websider, der har cookie-popups, der kun kan fjernes ved at acceptere brugen af cookies. Sådan en webside er ikke i overensstemmelse med persondataforodningen, og er således ulovlig i EU.

Levetid og sletning af cookies

Filerne er programmeret ind med en vis levetid, som typisk strækker sig mellem 12-24 måneder. Der gælder ikke som sådan nogle regler omkring dette. Efterfølgende sletter de sig selv på ens computer. Såkaldte session-cookies er en undtagelse, da de automatisk slettes, når man lukker sin browser.

Det er muligt at slette cookies manuelt, da de er lagret lokalt på brugerens egen harddisk. Erhvervsstyrelsen har en guide til, hvordan dette kan gøres, som man kan se her.

Dette blogindlæg kan ikke erstatte juridisk rådgivning. LegalHero påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan afledes af brugen af dette blogindlæg. Dette gælder, hvad enten skaden eller tabet er forårsaget af fejlagtig information i blogindlægget eller af øvrige forhold, der relaterer sig til blogindlægget.

Sidder du med en konkret sag? Så er det altid gratis at indhente tilbud fra vores mere end 100 rådgivere.

Indhent gratis tilbud

LegalHero er en digital rådgivningsplatform, der gør det nemmere for jurister og almindelige mennesker at tilgå og tilbyde juridisk rådgivning.

Her på bloggen skriver vi om vores arbejde, juridiske emner og problemstillinger.