Bruger din virksomhed cookies?

Cookiebekendtgørelsen og databeskyttelsesforordningen (GDPR) gælder ofte sideløbende, og Datatilsynet og Digitaliseringsstyrelsen har derfor udarbejdet en fælles vejledning med gode råd, som skal hjælpe virksomheder samt andre organisationer og myndigheder, der anvender cookies eller lignende teknologier, med at overholde lovgivningen.

Krydsfeltet mellem cookiebekendtgørelsen og GDPR

Virksomheder skal følge cookiebekendtgørelsens regler, når de anvender cookies eller lignende teknologier, der lagrer eller tilgår oplysninger på en brugers udstyr. Udstyr kan være computere, smartphones, tablets og lignende. Der er dog tale om et begreb, der er i konstant bevægelse som følge af den teknologiske udvikling, og i praksis omfatter ”udstyr” derfor også en brugers browser, idet denne er uløseligt forbundet med en brugers udstyr.

Endvidere skal virksomheder være opmærksomme på databeskyttelsesforordningens regler, når de behandler personoplysninger, herunder for eksempel indsamler og videregiver personoplysninger.

Dermed opstår der et krydsfelt mellem cookiebekendtgørelsen og databeskyttelsesreglerne, når virksomheder placerer cookies eller lignende teknologier, der lagrer eller tilgår personoplysninger på en brugers udstyr. I sådanne tilfælde skal virksomheder både varetage cookiebekendtgørelsen samt databeskyttelsesforordningen.

Det kan være vanskeligt at gennemskue, hvornår hvilke regler gælder. Formålet med den nye vejledning samt denne artikel er således at skabe en forståelse af reglerne.

”Cookies og lignende teknologier”

En cookie er, i vejledning 2019-12-10, nr. 10189 til cookiebekendtgørelsen, defineret som en lille datafil, der indsamler et digitalt fodspor om en bruger, når de færdes online.

En cookie bliver med andre ord gemt på en brugers udstyr, når denne besøger en hjemmeside. Cookies kan altså indsamle oplysninger om, hvilke sider en bruger besøger, hvilke artikler en bruger læser, samt hvad en bruger køber.

Der findes forskellige typer af cookies, hvoraf cookievejledningen nævner tekniske, statistiske, personaliserede og markedsføringsrelaterede cookies som de hyppigst anvendte.

Vejledningen nævner pixels[1], fingerprinting[2] og apps[3] som eksempler på lignende teknologier. Der er dog tale om en ikke-udtømmende liste, der løbende udvides og suppleres som følge af den teknologiske udvikling.

Personoplysninger

En personoplysning defineres efter databeskyttelsesretten som enhver form for information, der kan forbindes til en bestemt, fysisk person. Begrebet omfatter imidlertid også de tilfælde, hvor en fysisk person kun kan identificeres, når informationen kombineres med andre oplysninger.

Når virksomheder og lignende bruger cookies og andre teknologier, behandler de som regel også personoplysninger om den bruger, der besøger deres hjemmeside. Det kan for eksempel være et cookie ID, som kan bruges til at identificere eller genkende den besøgende, idet der til dette ID kan være tilknyttet oplysninger om, hvilken browser og hvilket udstyr den besøgte brugte og hvilke interesser samt præferencer brugeren har – altså information om brugeradfærd. Det kan imidlertid også være andre personoplysninger som MAC-adresser, IP-adresser eller lokaliseringsdata, som alene, eller i kombination med andre oplysninger, er unikke for den pågældende bruger.

Indsamling af oplysninger om brugere af onlinetjenester vil dermed ofte udgøre en behandling af personoplysninger, hvorfor reglerne i databeskyttelsesforordningen skal iagttages.

Samtykkekrav

Cookiebekendtgørelsen stiller krav om, at brugen af cookies og andre teknologier som det klare udgangspunkt kun må ske efter et samtykke fra brugeren. Et samtykke kan dog undlades i det omfang, at brugen af cookies eller lignende teknologier er teknisk nødvendig for, at tjenesten virker efter hensigten, og at de indsamlede oplysninger ikke anvendes til andre formål end til at sikre en tjenestes funktionalitet.

Bruges cookies eller lignende teknologier til at indsamle, og dermed behandle, personoplysninger skal det tillige sikres, at der foreligger det fornødne behandlingsgrundlag efter databeskyttelsesforordningen. For private virksomheder er det navnlig en brugers samtykke eller en interesseafvejning, der er relevant. Hertil bemærkes dog, med afsæt i Datatilsynets og Digitaliseringsstyrelsens fælles vejledning, at interesseafvejningen ikke almindeligvis vil kunne udgøre et behandlingsgrundlag til brug for målrettet markedsføring på baggrund af oplysninger om brugernes adfærd på tværs af tjenester og lokation ved hjælp af cookies og lignende teknologier. I sådanne tilfælde vil det korrekte behandlingsgrundlag være samtykke fra brugerne.

Bruger du cookies eller lignende teknologier til at indhente og behandle personoplysninger, skal der indhentes samtykke i overensstemmelse med både cookiebekendtgørelsen og databeskyttelsesforordningen. Der kan dog indhentes ét samlet samtykke, idet kravene til et gyldigt samtykke er ens.

Et gyldigt samtykke er defineret som en frivillig, specifik, informeret og utvetydig viljestilkendegivelse. Et gyldigt samtykke skal desuden kunne dokumenteres i forhold til, hvad brugeren har samtykket til, hvornår det er afgivet, og hvilken samtykkeløsning, der er anvendt.

Samtykket skal indhentes fra brugeren inden, at der behandles personoplysninger ved brug af cookies eller lignende teknologier, dvs. inden, du placerer cookies i en brugers browser.

... ...

Hvad kan vi hjælpe med?

TVC Advokatfirma tilbyder rådgivning til virksomheder, der ønsker at sikre, at deres brug af cookies og lignende teknologier er i overensstemmelse med gældende lovgivning. Dette omfatter både cookiebekendtgørelsen og databeskyttelsesforordningen (GDPR), som ofte gælder sideløbende. Vi kan blandt andet hjælpe med:

• Kortlægning og vurdering af cookies: Identificere hvilke cookies og teknologier der anvendes på virksomhedens hjemmeside eller app, og vurdere deres lovgrundlag.
• Udarbejdelse samt gennemgang af samtykkeløsninger: Sikre at samtykkeløsningens indhold samt design opfylder kravene hertil.
• Udformning af politikker og dokumentation: Udarbejde eller opdatere cookiepolitikker, privatlivspolitikker og intern dokumentation, så de afspejler virksomhedens praksis og overholder lovgivningen.
• Rådgivning om tredjepartsleverandører: Vurdere samt udarbejde databehandleraftaler og sikre, at samarbejdskonstruktionen er reguleret korrekt i henhold til lovgivning.