Bekendtgørelse om brug af cookies og tilsvarende funktioner
Senest den 25. maj 2011 skal Danmark implementere en EU-regel om, at man skal sikre sig et samtykke for at anvende cookies og tilsvarende filer. Til trods for at den nye bekendtgørelses ikrafttræden er nært forestående, er der fortsat mange åbne spørgsmål om reglernes fortolkning og praktiske anvendelse.
IT- og Telestyrelsen (ITST) sendte i marts 2011 et bekendtgørelsesudkast i høring. Høringsprocessen sluttede 1. april 2011, og vi afventer nu den endelige bekendtgørelse. Denne artikel sigter mod at give en introduktion til den nye regulering, som med sikkerhed er gældende fra slutningen af maj måned 2011.
Ikke kun cookies
EU vedtog i 2009 en revision af telelovgivningen, som bl.a. indeholdt en ny bestemmelse om samtykke til at lagre og tilgå oplysninger på en brugers terminaludstyr (ved terminaludstyr forstås computer, mobiltelefon, iPad eller lignende, der kan kommunikere via internettet eller telefonnettet).
Bestemmelsen bliver lidt misvisende ofte kaldt ”cookie-bestemmelsen”, men i realiteten er den ikke begrænset til de såkaldte cookies (ved cookies forstås tekstfiler, der lagres og tilgås på den enkelte brugers computer ved besøg på en hjemmeside, typisk med henblik på at optimere anvendelsen af hjemmesiden).
Reglerne sigter bredt og kræver samtykke mod enhver lagring af og adgang til oplysninger på terminaludstyr. Reglerne er dog mest indgribende i forhold til brugen af cookies, men softwareproducenter og andre i it-branchen bør også være opmærksomme på reglerne.
Krav om samtykke og information
Det vil fremover være nødvendigt at sikre sig et informeret samtykke for at placere og tilgå oplysninger, lagret på en brugers terminaludstyr (computer, mobiltelefon, iPad m.v.).
Til trods for at EU vedtog reglen i 2009 er der både i EU og de enkelte medlemslande fortsat drøftelser om hvordan et sådant informeret samtykke skal forstås og indhentes. Desværre har ITST’ bekendtgørelsesudkast ikke skabt klarhed herover, hvilket til dels er bevidst, idet både EU og ITST har bedt it-branchen, samt erhvervs- og forbrugerorganisationer i øvrigt om at medvirke til at finde praktiske og anvendelige løsninger.
For nuværende kan følgende dog konstateres:
- Der skal indhentes et samtykke før man placerer eller tilgår oplysninger på en brugers terminaludstyr (dette omfatter således også eksisterende filer/cookies).
- Man skal give brugeren information om hvilke oplysninger der placeres herunder, formålet hermed, hvor lang tid de lagres (kan ikke være evigt), hvem der lagrer og har adgang til oplysningerne, samt hvordan brugeren kan afslå og tilbagekalde sit samtykke.
Særligt spørgsmålet om hvordan samtykket i praksis kan indhentes uden at være til gene for både brugere og hjemmesider har været drøftet. ITST har tilkendegivet, at man pga. uklarheden om lovens fortolkning vil forvalte denne så lempeligt som muligt – i hvert fald i begyndelsen.
Den praktiske fremgangsmåde
Der er givet flere bud på hvordan et informeret samtykke kan indhentes, herunder er det blevet indikeret, at samtykket vil kunne sikres ved at give brugeren de nødvendige oplysninger ved første besøg på en hjemmeside. Klikker brugeren sig herefter videre fra første besøg, vil dette ”klik” kunne anses som et samtykke i bekendtgørelsens forstand. Dog vil der skulle indhentes nyt samtykke, såfremt der laves ændringer i forhold til hvem der kan tilgå cookie’en, hvilken information cookie’en henviser til osv. Der arbejdes i forskellige fora på at skabe en ordning, hvorved hjemmesider på en forholdsvis overkommelig måde kan opfylde informationskravene og indhente samtykket som ovenfor angivet. Hvordan disse ordninger vil komme til at se ud er dog endnu uvist. Bender von Haller Dragsted deltager i og følger aktivt arbejdet med disse ordninger.
Det skal dog understeges, at det på baggrund af EU-reglernes formulering kan drøftes om ovenstående fremgangsmåde vil være tilstrækkelig til at opfylde kravet om informeret samtykke. Men på baggrund af ITST’ tilkendegivelser om bekendtgørelsens forvaltning, vil fremgangsmåden kunne anbefales på nuværende tidspunkt.
Det er værd at bemærke, at bekendtgørelsen i enkelte tilfælde ikke kræver et samtykke. Det er særligt for filer/cookies som af tekniske årsager er påkrævet for at levere en given tjeneste, som brugeren udtrykkeligt har bedt om. Det klassiske eksempel er indkøbskurven i forbindelse med internethandel. Indholdet af indkøbskurven skal dog slettes så snart brugerne gennemfører eller afbryder købet for at falde ind under undtagelsen.
Overtrædelse
ITST har klart tilkendegivet, at styrelsen, ved modtagelse af en klage, vil rette henvendelse til virksomheden der klages over, og søge at opnå en mindelig løsning.
Kan en mindelig løsning ikke opnås vil overtrædelserne kunne straffes med bøde.
Persondata
De nye regler vil ikke ændre noget i forhold til behandling af persondata. Det vil således fortsat være nødvendigt at iagttage persondatalovens regler, hvis oplysninger, der lagres/tilgås hos brugeren, er persondata.
Mange af de oplysninger, som en cookie typisk henviser til, vil være persondata og dermed genstand for yderligere regulering.
Yderligere oplysninger
Bender von Haller Dragsted vil orientere om det videre forløb med bekendtgørelsen, samt mulige branchetiltag.
Hvis I vil vide mere eller ønsker vejledning i forbindelse med den nye lovgivning er I meget velkomne til at kontakte advokat Jesper Langemark, advokat Nis Peter Dall og advokat Flemming Christensen på tlf. 72 24 12 12 eller mail@bvhd.dk.
Vedhæftede filer (0):
Relaterede artikler (0):
Eksterne links: (0):