Cookies – aktivt eller passivt samtykke

Siden Erhvervsstyrelsens oprindelige vejledning fra 2013 omkring cookiepolitik og samtykkeprocedurer, og senere databeskyttelsesforordningen i maj 2018 (GDPR), har der været forvirring omkring de helt nøjagtige regler for samtykke til cookies.

Nyt fra EU-Domstolen om krav til samtykke

Erhvervsstyrelsen har accepteret, at websites benytter passivt samtykke, som fungerer ved at en bruger giver sit samtykke til cookies, ved blot at klikke sig videre rundt på et website, uden aktivt at have klikket på “Ja” eller “OK” i en cookie-infoboks. Denne model er dog i en gråzone i forhold til GDPR, da definitionen for samtykke i databeskyttelsesforordningen ordret er, at samtykket skal være frivilligt, specifikt, informeret og utvetydigt. Dog er det fx ikke helt konkret beskrevet, hvilke samtykkemetoder der er 100% utvetydige, og hvilke der ikke er.

På baggrund af blandt andet denne forvirring, har den tyske forbundsdomstol i forbindelse med Planet49 sagen, stilt nogle præjudicielle spørgsmål til EU-Domstolen*, for netop at få afgjort fortolkningsspørgsmålene og konkretiseret oplysningspligten og kravene for samtykke til cookies.

Dommen i Planet49 sagen faldt d. 1. oktober 2019, og det er altså denne dom, som danner grundlag for betragtningerne, der herefter beskrives.

Præjudicielle spørgsmål betegner sager, hvor nationale domstole under behandlingen af en retssag, får EU-Domstolen til at afgøre fortolkningsspørgsmål vedrørende EU-retten eller gyldigheden af EU-retten. EU-Domstolens afgørelse lægges herefter til grund for retssagens afgørelse ved den nationale domstol.

Et aktivt samtykke er fremover påkrævet

EU-Domstolen har slået fast, at et samtykke skal gives aktivt af brugeren, for at det kan opfylde kravene om at være gjort frivilligt, specifikt, informeret og utvetydigt. EU-Domstolen nævner det ikke direkte, men af dommen må det forventes, at fx forhåndsafkrydsede bokse, som accepteres ved fortsat brug af et website, ikke er accepteret som gyldigt samtykke. Med andre ord er opt-out løsninger no-go fremover, og i stedet skal opt-in løsninger benyttes.

Brugeren skal også kunne afgive sit samtykke på et oplyst grundlag – altså et informeret samtykke. Dette betyder helt konkret, at du tydeligt og fyldestgørende skal oplyse brugeren om, hvem der modtager cookie-data, så vedkommende er i stand til at vurdere, hvad konsekvenserne for samtykket er. Oversigten over cookies oplyses i en cookie-deklaration, hvori det er muligt for brugeren at ændre sit samtykke for de forskellige cookie-kategorier; nødvendige, præferencer, statistik og marketing.

Bemærk, at alt ovenstående også er gældende, selvom du ikke behandler personoplysninger i forbindelse med dine cookies. Med andre ord er der ikke nogen som går fri, medmindre der slet ikke benyttes andet end absolut nødvendige cookies, som gør at et website teknisk set fungerer korrekt.

Cookie check-liste til dit website

Som nævnt har EU-Domstolen skærpet kravene til samtykkeprocedurer for brug af cookies på dit website, og i den forbindelse bør du sikre dig, at:

  • dit website har en cookie-deklaration, som oplyser hvilke cookies, der sættes, hvem der får adgang til disse data, varigheden af cookies, m.m.
  • dit website ikke sætter cookies på brugerens enhed før vedkommendes aktive accept og samtykke til dette (nødvendige cookies er undtaget).

Kan du sige OK til de 2 ovenstående punkter, vil du for nu være dækket ind, da det i dag, som før skrevet, fremgår i Erhvervsstyrelsens vejledning om cookies, at brugerens fortsatte brug af en hjemmeside kan udgøre et samtykke til cookies.

Vi forventer, at Erhvervsstyrelsen, på baggrund af den føromtalte dom fra EU Domstolen, snarest vil opdatere og præcisere sin vejledning om cookie-politik og samtykkeprocedurer.

Læs mere om EU-Domstolens afgørelse hos Bech-Bruun og Kammeradvokaten.

Foreningen for Dansk Internet Handel har d. 14 nov udgivet en uddybende artikel om emnet (oprindeligt link fjernet – Nyt opdateret link: FDIH 11. dec. 2019).


Disclaimer:
Artiklen er udelukkende et udtryk for Generaxions aktuelle fortolkning af information, som vi er blevet gjort bekendt med via artikler på bl.a. ovenstående websites. Vi anbefaler, at du selv tager kontakt til en IT juridisk rådgiver eller advokat, for yderligere afklaring eller vejledning på området.