Ny cookiebekendtgørelse netop trådt i kraft

Dato 16 dec. 2011
Download PDF version PDF

 

Den 14. december 2011 trådte Erhvervs- og Vækstministeriets bekendtgørelse nr. 1148 af 9/12/2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr i kraft (herefter ”Cookiebekendtgørelsen”). Bekendtgørelsen er udstedt med hjemmel i teleloven, der blev revideret i maj 2011.


Det væsentlige i de nye regler er, at brugeren skal oplyses grundigt om brugen af cookies, og at brugeren som udgangspunkt skal samtykke, inden der bliver gemt eller læst allerede gemte cookies på brugernes udstyr. Dette kan give udfordringer for ejere af hjemmesider, herunder særligt for uskadelige sessions-cookies, der automatisk slettes, når en bruger lukker et browser-vindue.

 

Formål

Cookiebekendtgørelsen har til formål at beskytte slutbrugere mod uretmæssig lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i slutbrugerens terminaludstyr, fx computere, smartphones, tavle-pc’er, jf. bekendtgørelsens § 1.


Cookies er i almindelighed ”passive” filer, der lagres eller tilgås i brugernes terminaludstyr uden at interagere eller manipulere med udstyret eller oplysninger. Tjenesteudbydere eller andre, der lagrer eller tilgår cookies, er i stand til at identificere brugere på tværs af brugernes individuelle besøg på en tjeneste og således samle viden om brugernes adfærd og præferencer. Brugen af cookies er ganske udbredt og har en række forskellige formål, fx udvikling af mere brugervenlige tjenester, personalisering, generering af analyser om brugen af en hjemmeside, målretning af markedsføring til brugerne ud fra deres adfærd.


Med reglerne i bekendtgørelsen anlægges den betragtning, at slutbrugernes terminaludstyr udgør en del af deres privatsfære, der skal beskyttes mod uretmæssig indtrængen.

 

Anvendelsesområde

Inden for EU gælder lovgivningen i det land, hvori udbyderen af en tjeneste er etableret, og såfremt udbyderen er etableret i Danmark, finder reglerne i bekendtgørelsen anvendelse.


Såfremt udbyderen er etableret uden for EU, gælder lovgivningen i det land, hvor lagringen af eller adgangen til oplysninger i en brugers terminaludstyr finder sted. En amerikansk hjemmeside vil således, såfremt den har brugere i forskellige EU-lande, skulle overholde kravene i alle disse EU-lande. Når fx Google eller Facebook er etableret i EU (dvs. i Irland), vil de irske regler finde anvendelse i forhold til cookies fra deres hjemmesider.


Bekendtgørelsen omfatter alle, der lagrer eller opnår adgang til oplysninger i en slutbrugeres terminaludstyr.


En udbyder af en tjeneste er ligeledes omfattet af bekendtgørelsens regler i forbindelse med tredjeparts lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr, såfremt dette sker via udbyderens tjeneste (fx ved indlejret kode).


Tjenesteudbyderen behøver ikke selv stå for den praktiske og tekniske efterlevelse af reglerne i bekendtgørelsen, hvilket kan lægges ud til tredjepart, dog ikke for så vidt angår ansvaret for overholdelse af reglerne.


Bekendtgørelsen finder alene anvendelse på de handlinger, der består i lagring af eller adgang til allerede lagrede oplysninger i en slutbrugers terminal. Handlinger, der finder sted før eller efter lagringen af eller adgangen til oplysninger, er således ikke omfattet af bestemmelserne i bekendtgørelsen.


Bekendtgørelsen omfatter enhver type oplysning, der lagres eller opnås adgang til i slutbrugerens terminaludstyr. Der sondres dermed ikke mellem generelle oplysninger og personhenførbare oplysninger. Det er endvidere uden betydning, om oplysningerne er semantisk meningsfulde, uforståelige tekststreger, koder eller om oplysningerne er krypterede.

 

Krav om samtykke og fyldestgørende information

Bekendtgørelsen indfører et krav om, at fysiske eller juridiske personer ikke må lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr, eller lade tredjepart lagre oplysninger eller opnå adgang til oplysninger, hvis brugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysninger, jf. bekendtgørelsens § 3, stk. 1.


Af bekendtgørelsens § 3, stk. 2, nr. 1-5, fremgår de nærmere krav, der som minimum skal være opfyldt, før informationen kan siges at være fyldestgørende. Der stilles i bestemmelsen blandt andet krav til karakteren, formålet, indholdet og tilgængeligheden af informationen, herunder hvem der gemmer cookien, hvem der kan klages til, og hvor længe cookien lagres. Informationen skal udgøre et vidensgrundlag, der sætter den enkelte bruger i stand til at træffe et reelt informeret valg.


Et samtykke skal være en frivillig, specifik og informeret viljestilkendegivelse, hvorved en bruger indvilliger i lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr. At samtykket skal være specifikt betyder, at en udbyder ikke blot kan indhente et bredt samtykke til cookies generelt og til bredt definerede formål, men at samtykket skal være præcist og afgrænset.


Kravet om samtykke skal understøtte, at brugerne får reel kontrol med, hvorvidt der lagres eller tilgås oplysninger i deres terminaludstyr. En viljestilkendegivelse vil for eksempel kunne foretages ved afkrydsning af en boks, klik på en knap, udfyldelse af en formular eller ved aktiv brug af en tjeneste, hvor det må forventes, at brugeren er informeret om, at der vil ske lagring af eller adgang til oplysninger.

 

Undtagelser til kravet om samtykke

Kravet om samtykke fraviges, hvor


  1. lagringen af eller adgangen til oplysningerne alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet, eller hvor
  2. lagringen af eller adgangen til oplysningerne er påkrævet for at sætte tjenesteyderen af en informationssamfundstjeneste, som slutbrugeren udtrykkeligt har anmodet om, i stand til at levere denne tjeneste, jf. bekendtgørelsens § 4 stk. 1.

(1) er møntet på udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminaludstyr, der måtte finde sted ved opkoblingen til internettet eller vedligeholdelse heraf.


Lagring af eller adgang til oplysningerne efter (2) er påkrævet, hvis lagringen af eller adgangen til oplysningerne er en teknisk forudsætning for at kunne levere en tjeneste, der fungerer i overensstemmelse med tjenestens formål, jf. stk. 2.


Undtagelsen i § 4, stk. 1, nr. 2, jf. stk. 2, finder f.eks. anvendelse i forbindelse med brugen af elektroniske indkøbskurve i webshops, hvor det er nødvendigt at kunne genkende brugeren på tværs af sideskift, da indkøbskurven ellers ville være tom ved visningen af en ny side. Derimod finder undtagelsen fx ikke anvendelse på cookies til webstatistik eller anden analyse af brugernes adfærd på en tjeneste.


Overtrædelse af kravet om samtykke

Overholdelse af bekendtgørelsens regler påses af den danske telemyndighed, jf. telelovens § 20 (tidligere IT- og Telestyrelsen og fra 1. januar 2012 antageligt Erhvervsstyrelsen, dog uden at være underlagt instrukser fra Erhvervs- og Vækstministeren).

Overtrædelse af bekendtgørelsens regler er strafbelagt. Som udgangspunkt straffes overtrædelse med bøde, jf. § 5, stk. 1. Juridiske personer kan endvidere idømmes strafansvar efter reglerne i straffelovens kapitel 5, jf. § 5, stk. 2.


Implementering af EU-direktiv

Med bekendtgørelsens ikrafttræden implementeredes artikel 5, stk. 3 i e-databeskyttelsesdirektivet[1], hvorefter medlemsstaterne er forpligtet til at sikre, at anvendelse af elektroniske kommunikationsnet med henblik på lagring eller opnåelse af adgang til oplysninger, der er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren får klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen.


Bekendtgørelsen kan findes her: https://www.retsinformation.dk/Forms/R0710.aspx?id=139279

 

Telemyndighedens vejledning til bekendtgørelsen kan findes her: http://www.itst.dk/sikkerhed/privacy/lagring-af-og-adgang-til-oplysninger-pa-andres-udstyr/vejledning.pdf



Hvis du har spørgsmål eller ønsker yderligere information om bekendtgørelsen, er du velkommen til at kontakte partner Christoffer Galbo (cga@mwblaw.dk), advokat Henrik Syskind Pedersen (hsp@mwblaw.dk) eller advokatfuldmægtig Sofie-Amalie G. Brandi (sab@mwblaw.dk).


Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.



[1] Direktiv 2002/58/EF, som ændret ved direktiv 2009/136/EF