Velkommen (tilbage)! I sidste blogpost blev det kort opridset hvordan du minimerer forretningsmæssige tab og undgår at overtræde loven. Denne blogpost vil dykke ned i de lovmæssige aspekter og gennemgå hvad det er man skal gøre (eller ikke gøre) for at overholde EU-lovkrav. Man risikerer nemlig enorme bøder hvis man ikke følger gældende lovgivning – det er særligt hvis GDPR overtrædes at det kan blive dyrt.

Disclaimer: viden i dette blogindlæg stammer primært fra arbejdet med jurister fra de virksomheder vi har kørt projekter med, samt fra de oprindelige lovtekster. Konsulter egne jurister for at afstemme med dem.

Der er to EU-love du skal være opmærksom på

Der er to EU-love, der gælder for brugen af cookies og lignende teknologier. Det er ePrivacy-direktivet (på dansk kaldet ‘Cookieloven’) og dertil Databeskyttelsesforordningen, som du sikkert kender som GDPR.

ePrivacy-direktivet handler om behandling af personoplysninger og beskyttelse af privatlivets fred inden for elektronisk kommunikation. Helt konkret dikterer det, at man gennem sine digitale kanaler er forpligtet til at indsamle et informeret samtykke fra ens besøgende, inden der bliver målt, behandlet eller aktiveret data på den besøgendes enhed (med mindre der er tale om strengt nødvendige formål og nej… f.eks. Google- og Adobe Analytics kan ikke betragtes som værende strengt nødvendige).

GDPR fokuserer på behandlingen af personoplysninger og opstiller en række krav når dette er tilfældet. De fleste cookies (og lignende teknologier til samme formål) indsamler personoplysninger og derfor er behandlingen af data underlagt GDPR. Personoplysninger er information der direkte eller indirekte (sammenholdt med anden information) kan identificere den besøgende. Det kan f.eks. være: navn, fysisk adresse, IP-adresse eller enheds-ID.

I langt de fleste tilfælde udløses både ePrivacy-direktivet og GDPR på samme tid, så det er bedst at følge begge love.

De følgende 5 områder er de vigtigste at have styr på for at leve op til lovgivningen

  1. Data må ikke opsamles før den besøgende har givet gyldigt samtykke

I Danmark håndhæver Erhvervsstyrelsen ePrivacy-direktivet og Datatilsynet håndhæver GDPR. Før vejledningerne fra begyndelsen af 2020 udkom fra de to styrelser omfattede de fleste cookie-løsninger blot et anonymt banner i bunden af hjemmesiden, som informerede om at siden allerede brugte cookies. Den holder ikke i dag, da data ikke må behandles før der er givet gyldigt samtykke. Strengt nødvendige cookies er undtaget for samtykke, da hjemmesiden ikke vil fungere (optimalt) uden. Eksempler er cookies til indkøbskurven, load balancing eller autentificering.

En besøgende skal frivilligt have mulighed for at give samtykke og viljetilkendegivelsen skal være utvetydig. Det vil i praksis sige at der er behov for et banner/pop-up der stiller den besøgende et reelt valg om databrug – og data må kun opsamles hvis den besøgende giver sit utvetydige samtykke.

  1. Betingelser må ikke være forudafkrydset og samtykke skal gives granulært

I oktober 2019 blev det i Planet49 sagen (EU-domstol i sag om hvad der udgør validt samtykke) blandt andet afgjort at et samtykke ikke er validt, hvis betingelser er forudafkrydset. Det vil sige, at besøgende f.eks. ikke må kunne samtykke til betingelser der som udgangspunkt er slået til – som besøgende skal man individuelt og aktivt samtykke til de betingelser der ønskes. Hvis man slet og ret efterlevede reglerne og implementerede en cookie-løsning hvor f.eks. cookies til analyseformål og til re-targeting aktivt skulle tilvælges, ville det medføre et enormt datatab, da langt størstedelen af besøgende ikke læser cookie-bannerne og blot klikker på det der umiddelbart falder dem ind. Det understøtter data vi har adgang til hvor mellem 2-5% slår cookies fra hvis “slå cookies fra” er gemt ét klik væk, mens 20-35% slår cookies fra, hvis “ja til cookies” og “nej til cookies” bliver vist direkte i cookiebanneret (læs mere om dette i næste blogpost).

  1. Transparens om data er vigtigt

Tidligere var det ikke usædvanligt hvis et cookie-banner blot lød “Vi benytter dine personoplysninger til personalisering af hjemmesiden“. Den går ikke længere, da lovgivningen blandt andet stiller krav til at teksten skal være informerende, samt være specifik og præcis.

Den besøgende skal være klar over hvad der gives samtykke til og derfor skal der skal som minimum være oplyst om følgende:

  1. Dataansvarliges identitet (byt “vi” ud med din virksomheds navn, eller hvad der nu er mest meningsfuldt)
  2. Formålet med den påtænkte behandling og hvad bliver processeret (bliver cookies f.eks. brugt til at måle webtrafik og til at vise dig målrettede reklamer.)
  3. Hvordan samtykkes der og hvordan trækkes samtykke tilbage (hvad kan besøgende gøre hvis de fortryder samtykke, f.eks. samtykke til statistik cookies)

Dertil er der et dobbeltkrav om præcision og lettilgængelighed, som betyder at jo mere specifik/korrekt en tekst skrives, des sværere bliver den at læse – fagfolk f.eks. jurister bruger et givent sprog, men det vil ikke nødvendigvis give mening for almene brugere, som ikke dagligt bruger jura lingo. Derfor skal man nogle gange skrive noget mindre “korrekt”, så flest muligt kan forstå det. Undgå altså de høje lixtal og skriv så det kan forstås og fortæl hvad der egentlig gøres – jo mere transparent og ærligt des bedre ser det ud i lovgivernes og i dine besøgendes øjne.

Og sidste ting… det ser langt bedre ud hvis det er tydeligt at der er gjort en indsats med ens løsning og at det ikke blot er standardløsningen (f.eks. generisk tekst og design) der er klasket på hjemmesiden. Det reflekteres i øvrigt også i andelen af besøgende der takker “nej tak” til cookies.

  1. Samtykke skal nemt og til hver en tid kunne ændres

Det duer ikke længere at benytte sig af “casino-taktikken”, hvor det er svært at finde ud igen, når man først er inde. Når en besøgende har givet samtykke, skal det være umiddelbart lige så nemt at ændre eller trække sit samtykke tilbage, som det var at give det i første omgang. Det er derfor nødvendigt at have et link til cookiepolitik eller til direkte ændring af samtykker i f.eks. footeren af hjemmesiden, som altid kan tilgås.

  1. Dokumentation af samtykke er påkrævet

Den som driver hjemmesiden (dataansvarlige) skal kunne påvise, at den besøgende har givet samtykke til behandling af sine personoplysninger og der skal som minimum opsamles og gemmes følgende:

  1. Tidspunktet, hvor samtykket blev givet
  2. Hvilken type eller version af samtykkeløsningen, der blev benyttet til at indhente samtykket
  3. Hvilke formål med behandlingen af personoplysninger, den registrerede har givet samtykke til

Denne dokumentation skal bruges i tilfælde af det bliver nødvendigt at bevise at en besøgende har givet samtykke – hvis ikke det kan bevises og data er blevet behandlet står du som dataansvarlig med håret i postkassen.

Læs med i næste blogpost hvor det vil blive gennemgået hvordan du vælger den “rigtige” løsning og hvordan du minimerer datatab. På gensyn!

Skriv endelig til mig (jd@ecapacity.dk), hvis du arbejder med Data/Cookie Compliance i din virksomhed, og dette blogpost har fanget din interesse.

Vi afholder et webinar om cookie compliance d. 17. september hvor samtlige blog posts vil blive uddybet, demonstreret med virkelige eksempler og så har du også mulighed for at stille spørgsmål. Læs evt. mere og tilmeld dig her.