Skrevet af Heidi Højmark Helveg

Mindst ét af de kliks, man skal igennem, når man færdes på internettet handler om cookies. Siden december 2011 har vi skullet forholde os til den såkaldte cookie-bekendtgørelse, der gennemfører EU-reglerne om cookies fra e-privacy-direktivet. Til bekendtgørelsen lavede Erhvervsstyrelsen, også i december 2011, en vejledning, der blev opdateret i 2013, og som ikke har været rørt ved siden.

Det nok mest omdiskuterede afsnit i denne vejledning, findes på side 20, hvor der står om indhentning af samtykker:

”Brugeres viljetilkendegivelse står helt centralt i indhentningen af et samtykke. En tjenesteudbyder har pligt til at identificere en aktiv handling fra sine brugere, der med rimelighed kan tages til indtægt for en tilkendegivelse af deres vilje på et informeret grundlag. Det skal dog understreges, at vilje kan tilkendegives på en lang række forskellige måder, og at reglerne i bekendtgørelsen ikke tager specifikt stilling til, hvordan denne skal komme til udtryk.

En viljestilkendegivelse kan være mange ting, herunder eksempelvis:

  • Afkrydsning af en boks, klik på en knap eller udfyldelse af en formular i sammenhæng med relevant information på en tjeneste
  • Aktiv brug af en tjeneste, hvor det må forventes, at brugeren er informeret om, at der vil ske lagring af eller adgang til oplysninger (såfremt dette ikke er afslået). [min kursivering]

De af os, der også dengang rådgav om området, ved, hvor store sværdslag der blev slået fra internetindustriens side for at få det sidste punkt med i vejledningen.

De af os, der også dengang rådgav om området, ved, hvor store sværdslag der blev slået fra internetindustriens side for at få det sidste punkt med i vejledningen. Vigtigheden for internetindustriens side af denne mulighed kunne ikke overvurderes, og lobbyarbejdet var enormt. Selv brugte jeg parkeringsanalogien, som den efterhånden blev kaldt, hvor billedet var, at på samme vis som at man ved parkering på en parkeringsplads reguleret efter privatretlige regler er bundet af de regler, der står på skiltet ved indgangen til parkeringspladsen, er man også ved ”indkørsel” på en hjemmeside bundet af de regler, der er tydeligt markeret ved ”indgangen”.

Problemet med denne analogi, uanset hvor sympatisk den er, er, at da e-privacy-direktivet blev vedtaget, skrev man udtrykkeligt, at brugeren skulle have ”givet sit samtykke”. I tidligere versioner af teksten, var der blot et krav om, at brugeren skulle have ”ret til at nægte” at der blev placeret cookies, men man valgte altså at der skulle gives samtykke.

Nu har EU-Domstolen så endelig taget stilling til kravene til dette samtykke.

Sagen handler om den tyske virksomhed Planet49, der havde afholdt en internetkonkurrence, hvor de havde bedt om aktivt samtykke til direkte markedsføring, men hvis man ville slippe for tracking-cookies, skulle man aktivt fjerne et hak i en boks. Samtykket til direkte markedsføring var et krav for at deltage i konkurrencen, men det var samtykket til tracking-cookies ikke.

EU-Domstolen kommer med tre vigtige pointer i dommen:

1. Et samtykke er ikke gyldigt, hvis man som bruger skal vælge et forudafkrydset felt fra, for at nægte at give sit samtykke. Tavshed, forudafkrydsede felter og inaktivitet kan ikke udgøre et samtykke. Der skal en aktiv handling til.

2. Cookie-reglerne gælder uanset om der behandles persondata eller ej i de cookies, der sendes til brugernes devices, og som anvendes til opsamling af data.

3. Det er et krav, at der i en cookie-politik oplyses om cookiernes funktionsvarighed (eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum) og om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Domstolen siger, at det er ”praktisk umuligt objektivt at afgøre, om brugeren af et internetwebsted faktisk har givet sit samtykke til behandlingen af sine personoplysninger

EU-Domstolen er meget klar i sin afvisning af det ”passive” samtykke. Der skal et AKTIVT samtykke til, hvis man vil bruge andre cookies end de teknisk nødvendige cookies, og det kan ikke været aktivt, hvis man selv skal fjerne et hak i en boks. Domstolen siger, at det er ”praktisk umuligt objektivt at afgøre, om brugeren af et internetwebsted faktisk har givet sit samtykke til behandlingen af sine personoplysninger ved ikke at fravælge et forudafkrydset felt, og under alle omstændigheder, om dette samtykke er blevet givet på informeret måde”. Det kan være, at brugeren ikke har set teksten eller ikke har forstået den, og så er der intet samtykke. Forventningen om, at brugeren har set teksten, er ikke nok. Det skal objektivt kunne afgøres, om brugeren har givet sit samtykke.

Det er altså meget svært at se for sig, at men kan opretholde den sidste pind i Erhvervsstyrelsens angivelse af, hvad der kan udgøre et samtykke.

Dommen giver anledning til en grundig screening af alle hjemmesiders cookies. Der skal indsættes aktive samtykke-løsninger, der skal blokeres for cookies ved første sidevisning (medmindre man har et samtykke fra tidligere besøg), og teksterne skal opdateres, så det sikres at man har de nødvendige oplysninger om varighed og tredjeparters adgang med.

Dette blogindlæg er udelukkende udtryk for skribentens egen holdning.

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak

Dom ved ECHR kan gøre Paris-aftalen retligt bindende

17/04/2024

Psykologen, der sidder med dommere: "Det ville være fejlagtigt at bruge børns udtalelser ufordøjet"

11/04/2024

Tomas Ilsøe: ”Danske Advokater har ladet sig true til at ændre tilgang”

10/04/2024

Karnov Group Denmark A/S - Skt. Petri Passage 5, stuen, 1165 København K - CVR: 10 36 19 90 - Kundeservice: Tlf: 33 74 07 00