Klumme: Ny lovgivning om brug af cookies - sådan får du styr på reglerne

Få overblik over, hvordan du overholder bekendtgørelsen for cookies og sikrer gyldigt samtykke på din virksomheds hjemmeside

skabelon-ny-lovgivning-paa-vej.jpg
Grafik: Mie Hvidkjær
Pro selvstændig
Eksklusivt for kunder
22. jun 2020 KL.15:00

I december 2019 udkom Erhvervsstyrelsen med en ny vejledning til cookie-bekendtgørelsen for indsamling og håndtering af samtykke ved lagring og indsamling af cookies på hjemmesider. Hensigten er at beskytte internetbrugerens færden på nettet og dermed sikre brugerens samtykke til, at oplysninger bliver gemt.

Forhånds afkrydset accept-boks giver ikke længere gyldigt samtykke!

Vejledningen var foranlediget af en afgørelse fra EU-domstolen (Sag C-673/17), hvor EU-domstolen havde fundet, at et gyldigt samtykke ikke er lig med et på forhånd afkrydset felt i accept-boksen.

I stedet kræves en aktiv handling fra internetbrugeren før, at der er tale om en utvetydig accept.

Det er en ændring i forhold til Erhvervsstyrelsens tidligere vejledning fra 2013. Her var det tilstrækkeligt, hvis internetbrugeren blot var gjort opmærksom på, at den videre brug af hjemmesiden var et udtryk for samtykke til at indsame cookies.

Denne holdning har Erhvervsstyrelsen efter afsigelsen af førnævnte afgørelse ændret i den nye vejledning.

Den 17. februar 2020 udgav Datatilsynet sin vejledning til udbydere af hjemmesider om, hvordan et gyldigt samtykke til behandling af personoplysninger om hjemmesidebesøgende skal indhentes.


Tjekliste

Sådan sikrer du gyldigt samtykke hos dine internetbrugere:


· Det skal være et aktivt tilvalg, når en besøgende på din hjemmeside giver lov til, at vedkommendes oplysninger behandles.

· Det skal være klart, hvilke forskellige formål du gerne vil behandle oplysningerne til.

· Det skal være let for den besøgende at give samtykke til nogle formål og ikke give samtykke til andre.

· Det skal være nemt ikke at give samtykke - også rent visuelt.

· Desuden skal du kunne dokumentere, hvad en besøgende har givet samtykke til, og hvordan samtykket er indhentet.


Sådan lever du op til de nye krav

· I praksis indsamles der en lang række oplysninger, som enkeltvis eller i en kombination, kan udgøre personoplysninger. Behandlingen af disse oplysninger skal derfor ske indenfor rammerne af databeskyttelsesreglerne.

· Det er vigtigt hvilke personoplysninger, der samles, herunder om der er tale om personfølsommeoplysninger, og til hvilke formål oplysningerne indsamles til.

· Datatilsynet fastsætter, at et samtykke skal være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse.

Internetbrugeren skal derfor have mulighed for at afvise, at der indsamles og lagres cookies om brugeren. Den mulighed skal fremgå af ”cookie-boksen”, som er den boks, man møder, når man går ind på en hjemmeside. Det kan ske ved at indsætte en ”nej” funktion.

Nogle virksomheder vælger dog i stedet for en ”Nej” funktion, at skrive, at man som internetbruger kun giver samtykke til ”nødvendige cookies” – og dermed underforstået, at man siger nej til alt andet.

En sådan løsning forudsætter, at disse ”nødvendige cookies” kun er funktionelle cookies, som er nødvendige, for at hjemmesiden kan fungere.

Da sådanne cookies ikke behandler personoplysninger, falder de uden for rammerne for Datatilsynets vejledning om indhentelse af samtykke til behandling af personoplysninger om hjemmesidebesøgende.

· Samtykketeksten skal være formuleret tydeligt og specifikt, så det er klart for internetbrugeren, hvad og hvor meget der gives samtykke til.

Samtykketeksten skal være formuleret tydeligt og specifikt, så det er klart for internetbrugeren, hvad og hvor meget der gives samtykke til

Det informerede samtykke gives ved, at internetbrugeren er fuldt ud oplyst om, hvem samtykket gives til. Det vil sige den dataansvarliges identitet, formål med indsamlingen, hvilke typer af oplysninger der behandles, og at internetbrugeren altid har mulighed for at trække sit samtykke tilbage.

Formålene med behandlingen af oplysningerne kan til eksempel være, at indsamle oplysninger om internetbrugeren til brug for statistik, hvilke varer brugeren har købt eller kigget på, markedsføring, om brugeren er landet på hjemmesiden via Google osv.

Det skal være muligt for brugeren at tilvælge og/eller fravælge at give samtykke til hvert af de enkelte formål.

· Datatilsynet kræver, at virksomheden bag hjemmesiden, kan dokumentere, hvem, hvad og hvornår der er givet samtykke til behandlingen af oplysningerne.

Det er Datatilsynets opfattelse, at den dataansvarlige skal kunne fremvise dokumentation for hvert enkelt samtykke, der er blevet indhentet, herunder hvordan det er indhentet. Det fordrer, at den dataansvarlige skal gemme oplysninger om i) tidspunktet for samtykkets afgivelse, ii) hvilken type eller version af samtykkeløsningen, der blev benyttet ved indhentelse af samtykket og iii) hvilke formål der er givet samtykke til.

Læs mere her.