Cookie-problemet er ikke løst med GDPR, og cookie-plagede forbrugere må derfor vente på GDPR-forordningens svært forsinkede partner, ePrivacy-forordningen, før et endeligt opgør, mener den danske EU-parlamentariker Christel Schaldemose (A).
Den sidder dog fast i EU's ministerråd, og selvom Europa-Parlamentets udgave af forordningen indeholder store stramninger i forhold til GDPR, så kan nogle af de vigtigste dele ifølge socialdemokraten blive udvandet af det mere forretningsvenlige ministerråd.
En ting er dog sikkert: GDPR er ikke nok.
»Vi i parlamentet forventer, at vi først får håndteret cookie-problemet for alvor, når ePrivacy-lovgivningen på et eller andet tidspunkt er vedtaget,« siger hun.
Hvordan ePrivacy-forordningen ender med at se ud, er dog langtfra afgjort. Ministerrådet er blandt andet uenig med parlamentet om, hvorvidt virksomheder skal have mulighed for at nægte brugere adgang til tjenester, hvis ikke de giver samtykke til lægning og læsning af cookies.
»Jeg håber, at man skal have et specifikt og direkte samtykke for brug af reklame-cookies, og at man ikke som bruger må lukkes ude, medmindre man giver samtykke. Men jeg tør ikke sige, at det bliver der, vi havner,« siger hun.
Tvivl om, hvad virksomheder må
Der hersker stadig tvivl om, hvad GDPR betyder på cookie-området.
Blandt andet er det endnu uklart, hvor langt virksomheder må gå i deres brug af cookies til målretning af reklamer uden at skaffe samtykke fra forbrugere, og ligeledes hvorvidt virksomheder må nægte adgang til tjenester for brugere, der ikke accepterer dataindsamlingen.
Både Facebook og Google blev allerede i fredags ramt af søgsmål i henhold til GDPR for at betinge adgang til deres tjenester med brugerens samtykke. På trods af gode argumenter for, at det rent faktisk er et lovbrud, så forventer Christel Schaldemose ikke, at denne praksis - i hvert fald med hensyn til cookies - bliver stoppet inden ePrivacy.
»Jeg frygter, at lige præcis det her område får vi ikke løst, før ePrivacy træder i kraft,« siger Christel Schaldemose.
Uenighed om 'tvungent samtykke'
Det afhænger dog af, om EU-Parlamentet får held med at presse deres udgave af ePrivacy igennem til vedtagelse.
Forordningen skal erstatte EU’s eksisterende cookie-lovgivning - der i Danmark ligger til grund for den lidet håndhævede cookie-bekendtgørelse, som stiller krav til information og samtykke ved lagring og læsning af cookies.
Oprindeligt var planen, at ePrivacy - som supplement til GDPR på cookie-området - skulle være trådt i kraft parallelt med den nye persondatalovgivning.
Den er dog blevet en hel del forsinket og sidder lige nu fast i et uenigt ministerråd. Selv hvis forordningen bliver vedtaget i år, vil der gå over to år, før den kan træde i kraft og potentielt ændre grundpræmisserne for virksomheders brug af cookies.
Blokering af cookies i browserindstillingerne
Modsat GDPR-lovgivningen indeholder den nuværende udgave af ePrivacy nemlig ikke potentielle smuthuller for reklame-cookies og vil - hvis parlamentet får deres vilje - gøre det ulovligt at betinge adgang til tjenester med brugerens accept af cookies..
Den går endda så vidt, at forbrugere vil kunne blokere for alle hjemmesiders brug af reklame-cookies i deres browserindstillinger.
Men der er langtfra enighed om alle punkter i Ministerrådet, og i sidste ende må parlamentet forvente nogle kompromisser, hvis de vil have lovgivningen vedtaget, fortæller Christel Schaldemose.
»Når vi sidder og forhandler, så vil der være nogle punkter, hvor vi skal give os, og nogle, hvor rådet skal give sig, men alt andet lige så vil jeg foretrække, at vi får en ePrivacy-lovgivning vedtaget, frem for at der ikke er nogen regulering overhovedet på dette område,« siger hun.
Det kan betyde, at stramningerne, der skal implementeres, hvis man vil overholde GDPR, bliver udvandede.
»Man kan måske forestille sig, at man vil prøve på at lave en strømlining mellem GDPR og ePrivacy,« siger hun.
Spørgsmålet om 'legitim interesse' endnu ikke afgjort
I fredags skrev Version2, at der stadig er tvivl om, hvor langt virksomheder må gå i forbindelse med brug af reklame-cookies uden samtykke fra brugeren.
Det skyldes, at 'direkte markedsføring' nævnes i de indledende bemærkninger til GDPR-lovgivningen som et eksempel på en ‘legitim interesse’, der kan erstatte samtykket i forbindelse med behandling af persondata.
Det tolkes blandt andet af Heidi Højmark Helveg, der er advokat med speciale i persondataret ved advokatfirmaet Integra, som, at virksomheder i vidt omfang må benytte cookies til at målrette markedsføring uden at have indhentet samtykke fra brugeren.
»I mange situationer vil man kunne gøre det uden et samtykke. På baggrund af den her legitime interesse skal man bare have lavet en vurdering af, hvad man gør, og så huske at fortælle brugerne om det,« lyder det fra hende.
Den mulighed mister virksomhederne dog, hvis ePrivacy-lovgivningen bliver vedtaget i dens nuværende form, fortæller Christel Schaldemose.
»Der har været et klart signal fra Europa-Parlamentets side om, at vi vil have en meget stram fortolkning af, hvad legitime interesser er, og det skal altså ikke dække markedsføring,« siger hun.
De kan dog blive tvunget til et kompromis på netop dette punkt.
»Den vil formentlig blive justeret en smule under forhandlingen med ministerrådet. Så man kan forestille sig, at man på det her område stiller sig lidt mere på den kommercielle sides interesser. Det plejer rådet i hvert fald tit at gøre i de her sager,« siger Christel Schaldemose.