ePrivacy & GDPR - Hvad er reglerne for cookies?

ePrivacy & GDPR - Hvad er reglerne for cookies?

ePD, GDPR, ePR….  Har du også svært ved at få overblik over, hvad EU-lovgivningen egentligt siger om brugen af cookies på hjemmesider? Og hvad med dine besøgendes ret til privatliv? Her giver vi dig et kort overblik over, hvad du behøver vide om EU-regler, når du har cookies på din hjemmeside.

Sådan bliver du
GDPR compliant

Med Cookie Informations samtykkeløsning får du:

  • Scanning af hjemmeside for cookies og andre trackingteknologier.
  • Blokering af cookies, der overfører persondata.
  • Privacy Controls (til- og fravalgsknapper.
  • Cookie samtykke pop-up banner.
  • Cookiepolitik.
  • Samtykkelog til fremvisning ved tilsyn.
  • Knowlegde base

Få Cookie Informations Samtykkeløsning
til din virksomhed i dag!

BOOK MØDE

Alle hjemmesider bruger cookies! Men cookies tjener forskellige formål som fx at huske dine besøgendes sprogindstillinger eller holde brugerne logget. Andre cookies gemmer derimod personlige oplysninger om brugeren, såsom online identifikatorer/ID'er, som kan bruges til statistik og markedsføring.

Hvis din hjemmeside sætter cookies på dine besøgendes enheder (computer, smartphone, tablet), og hvis nogle af dem indsamler og behandler dine besøgendes personlige data, så er der nogle regler, du skal være opmærksom på for at kunne overholde EU-lovgivning på området – og selvfølgelig respektere dine besøgendes privatliv.

Link: Hvad er en cookie?

Hvilke regler er gældende for cookies i EU lige nu?

De nuværende EU-lovkrav, der gælder for cookies, stammer fra ePrivacy-direktivet (ePD) og Persondataforordningen (GDPR). Men hvad siger de egentligt om brugen af cookies, og hvad er forskellen på lovgivningerne?

Den gældende version af ePrivacy-direktivet (ePD) trådte i kraft i 2011 i EU/EØS-landende. Her fremgår det klart, at hjemmesider er forpligtede til at indsamle et informeret samtykke fra de besøgende, inden hjemmesiden gemmer cookies på brugernes enheder.

Men fordi kravene er fastsat i et EU-direktiv, har det været nødvendigt at omsætte bestemmelserne til national lovgivning i de enkelte EU-lande.

 Direktivet er blevet implementeret i dansk lov gennem Cookiebekendtgørelsen (Cookieloven), som er tilgængelig her:

Link: Cookiebekendtgørelsen (BEK 1148 af 09/12/2011)

Den anden gældende lov på området er Persondataforordningen – også kaldet Generel Data Protection Regulation (GDPR). GDPR blev vedtaget i maj 2016, og trådte i kraft den 25. maj 2018 i alle EU-lande. GDPR omhandler alle spørgsmål vedrørende behandling af personoplysninger.

Selvom GDPR for det meste er teknologisk neutral, præciserer den klart, at nogle cookies som standard behandler personoplysninger, og dermed vil de være underlagt kravene i GDPR.

En ny ePrivacy-forordning (ePR) bliver lige nu forhandlet i EU. Den forventes at træde i kraft i 2021-22 i alle EU-lande. ePrivacy-forordningen kommer til at erstatte ePrivacy-direktivet fra 2011. Her er tale om en forordning, der ikke skal omsættes til national lov.

ePrivacy-direktivet og cookies: Hvad siger reglerne egentligt?

EU-direktiv 2002/58/EF (ePrivacy) vedrører brugen af cookies. Direktivet omhandler mere generelt behandling af personoplysninger og beskyttelse af privatlivets fred inden for elektronisk kommunikation. Direktivet indeholder bestemmelser, der er afgørende for at sikre brugernes tillid til de tjenester og teknologier, de bruger til at kommunikere på tværs af elektroniske medier.

I den reviderede version af ePrivacy-direktivet fra 2009 (2009/136/EC) fremgår det samtidig, at enhver lagring eller læsning af oplysninger fra en slutbrugers enhed er underlagt samtykke. Brugeren skal dermed have klar og utvetydig information om formålet med, at hjemmesiden sætter cookies på brugerens enhed.

Kravene til samtykke gælder både for førstepartscookies og tredjepartscookies. Det betyder, at 1) brugeren skal give samtykke til alle typer af cookies, og 2) ejeren af hjemmesiden har ansvaret for at indsamle og opbevare brugernes samtykker.

Der er imidlertid en undtagelse til reglen om indhentning af samtykke. Hvis en cookie er absolut strengt nødvendig for at kunne levere en tjeneste, som brugeren efterspørger, eller hvis lagringen af information udelukkende har til formål at gennemføre online kommunikation, så er brugerens samtykke ikke nødvendigt.

Cookies der er fritaget for samtykke i henhold til EU’s rådgivende organ om databeskyttelse-WP2910 omfatter:

  • User input cookies (session-id) er oftest førstepartscookies, der holder styr på det input, du udfylder i onlineformularer eller de varer du lægger i indkøbsvognen mv.
  • Authentication cookies bruges til at identificere brugeren, når han/hun logger ind på en hjemmeside.
  • User centric security cookies bruges til at registrere misbrug af godkendelser.
  • Multimedia content cookies bruges til at gemme tekniske data til at afspille video eller lydindhold.
  • Load balancing cookies bruges til at fordele load-tid for at få hjemmesiden til at virke efter hensigten.
  • User interface customization cookies gemmer fx sprog- og skrifttypepræferencer (hvad enten det er første- eller tredjepartscookies)

Kort sagt: Sætter din hjemmeside cookies, som ikke er strengt nødvendige, men tjener andre formål (funktionelle -, statistik- eller marketingcookies), er du ifølge ePrivacy-direktivet forpligtet til at indhente brugerens samtykke, inden du sætter cookies.

Link:  ePrivacy-direktiv 2002/58/EF (pdf)

Link: Reviderede ePrivacy-direktiv 2009/136/EF (pdf)

GDPR og personlige data: Hvordan påvirker Persondataforordningen brugen af cookies?

Med GDPR ændres definitionen af informeret samtykke - og de krav der er forbundet med det - væsentligt i forhold til ePrivacy-direktivet. Samtykke bør kun gives ved en klar bekræftende handling, der indebærer en frivillig, specifik, informeret og utvetydig viljetilkendegivelse fra brugeren om, at brugerens personlige oplysninger må behandles.

GDPR – lovkrav om cookiesamtykke - betragtning 32

Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.

GDPR, Artikel 7 (3)

Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

Link: Persondataforordningen (GDPR) (da)

For næsten alle marketing-, targeting-, og analysecookies gælder det, at et informeret og utvetydigt samtykke skal indhentes. Disse cookies behandler nemlig personoplysninger, som brugeridentificering, hvilke i GDPR betragtes som personlige oplysninger.

Indsamling af samtykke til lagring og behandling af personlige oplysninger er derfor afgørende for at overholde bestemmelserne i GDPR hvis:

  • det lovmæssige grundlag for behandling af personoplysninger gennem brug af cookies er baseret på samtykke
  • personoplysningerne bliver overført til tredjeparter (fx via tredjepartsleverandørers cookies)

Kravene i GDPR for samtykke til at sætte cookies kan opsummeres til følgende:

  1. Informér brugeren om hvilke cookies din hjemmeside sætter, og hvordan de behandler brugerens personlige oplysninger.
  2. Giv brugeren et reelt valg, når din hjemmeside sætter cookies. Tilbyd brugeren muligheden for at acceptere eller afvise cookies.
  3. Indsaml et informeret samtykke, inden du sætter cookies. Sørg for at hjemmesiden ikke gemmer cookies på brugerens computer, telefon eller tablet før samtykket er givet.
  4. Giv brugere mulighed for at administrere cookieindstillinger direkte på din hjemmeside. Det vil sige, at brugeren skal kunne ændre samtykke til cookies eller afvise bestemte cookies.
  5. Husk brugerens cookieindstillinger, og giv brugeren adgang til at trække sit samtykke tilbage direkte på din hjemmeside (ikke i browserindstillingerne).
  6. Gem dokumentation for et givet samtykke i en database (også selvom samtykket er trukket tilbage).

GDPR, ePrivacy & Cookie Consent. What do they mean?

Det er altså nødvendigt at give brugeren fyldestgørende information om brugen af cookies på hjemmesiden og indsamle et gyldigt samtykke. Gør du det, overholder du bestemmelserne i ePrivacy-direktivet og GDPR.

Når ePrivacy-direktivet bliver til en forordning

Den nye ePrivacy-forordning (ePR) kommer til at ophæve det nuværende ePrivacy-direktiv om beskyttelse af personlige oplysninger og elektronisk kommunikation. ePr bliver lex specialis til Persondataforordningen (GDPR). Det betyder, at ePR bliver en lov om et bestemt emne (lex specialis), og tilsidesætter dermed loven om generelle forhold (lex generalis) på området som beskrevet i GDPR. Som EU-forordning kommer ePR automatisk til at gælde for alle EU-lande, så snart den træder i kraft. Forordningen behøver derfor ikke blive omsat til national lovgivning, som er tilfældet med et direktiv.

ePrivacy-forordningen (ePR) specificerer og supplerer bestemmelserne i GDPR vedrørende den del af elekronisk kommunikation, der kvalificeres som personlige oplysninger i forhold til at indsamle og gemme cookies. Reglerne i ePR, der angiver ”samtykke” som retsgrundlag for behandling af personoplysninger, vil altså tilsidesætte andre bestemmelser i GDPR, som fx legitime interesser.

Hvad kommer den nye ePrivacy-forordning til at sige om cookies?

ePrivacy-forordningen kommer til at gælde for alle virksomheder og hjemmesider, der 1) anvender online kommunikationstjenester; 2) bruger online sporingsteknologier; eller 3) anvender elektroniske midler til direkte marketing. Det betyder, at forordningen også kommer til at gælde for cookies.

I øjeblikket er EU's lovgivende forsamling endnu ikke nået til enighed om specifikke bestemmelser i den nye forordning. Det er specifikt på området om adgang til bestemt hjemmesideindhold, som er betinget af samtykke til cookies; om browsere skal have lov til at blokere sporing som standard; samt hvilke undtagelser der gælder for krav om samtykke.

Link: Forslag til indhold og ændringer i ePrivacy-forordning (eng)

ePrivacy-forordningen var ment som at træde i kraft den 25. maj 2018, men forhandlingerne har indtil videre være vanskelige. Forhandlingerne forventes at blive genoptaget efter Europa-parlamentsvalget i maj 2019, og forordningen kommer derfor næppe til at træde i kraft før 2021-22.

Indtil det sker, gælder Persondataforordningen (GDPR) stadig for behandling af persondata på hjemmesider.

Bøder for at overtræde GDPR

Bøderammen for at overtræde bestemmelserne i GDPR og ePR er fastsat til 4% af virksomhedens samlede globale omsætning eller 20 millioner euro afhængig af, hvilket beløb er størst.

Det var tilfældet 21. januar 2019, da den franske databeskyttelsesmyndighed (CNIL) pålagde Google en økonomisk straf på 50 millioner euro for at overtræde bestemmelserne i GDPR. Bøden blev givet til Google for manglende gennemsigtighed, utilstrækkelig information og manglende gyldigt indhentning af samtykke til målretning af annoncer.

Link: Læs vores artikel om Googles bøde (eng)

I februar 2019 meddelte databeskyttelsesmyndigheden (DPA) i den tyske delstat Bayern, at den overvejer at tildele en række virksomheder bødestraf for ikke at overholde bestemmelserne i GDPR vedrørende håndtering af cookies på deres hjemmesider. Det bayerske DPA sender dermed et tydeligt signal til tyske virksomheder, at cookies, tracking og online annoncering er et område, som alle virksomheder – uanset branche – bør prioritere.

Link (tysk): https://www.lda.bayern.de/media/pm2019_3_de.pdf

Link: https://blogs.dlapiper.com/iptgermany/2019/03/07/bavarian-data-protection-authority-announces-possible-fines-after-sobering-result-of-website-search/

Bliv GDPR compliant allerede i dag!

Vil du vide mere om cookies, og hvordan du tjekker din hjemmeside for brud på GDPR, kan du læse vores artikel Indsamling af gyldige cookiesamtykker – vores 5 råd til at blive GDPR compliant

Besøg cookieinformation.com og få adgang til vores mange services, der kan hjælpe dig og din virksomhed til at blive - og forblive - ePrivacy og GDPR compliant på internettet.

Eller book et møde med en af vores konsulenter for at høre, hvordan din virksomheds hjemmeside kan blive ePrivacy og GDPR cookie compliant.

BOOK MØDE

Om Cookie Information

Cookie Information er en PrivacyTech-virksomhed, der udvikler software, som hjælper dig og din virksomhed med at gøre websites og mobile apps GDPR & ePrivacy compliant, og som samtidig sørger for, at du får konkurrencemæssige fordele ud af det. Vi har hjulpet over 1.000 virksomheder og har behandlet 6 milliarder samtykker alene det seneste år. Cookie Information blev grundlagt i København i 2011. Cookie Information leverer løsninger globalt.