Erhvervsstyrelsen: System til trafikovervågning ikke omfattet af cookie-reglerne
Det strider ikke mod det, der populært kaldes cookie-bekendtgørelsen, når den nordjyske virksomhed Blip Systems med systemet Bliptracks indsamler MAC-adresser fra blandt andet mobiltelefoner for at kunne lave trafikovervågning.
Det konkluderer myndigheden på området, Erhvervsstyrelsen, nu, efter at have set nærmere på sagen, som oprindeligt blev rejst her på Version2. Dengang var meldingen fra styrelsen iøvrigt, at indsamling af MAC-adresser i udgangspunktet forudsætter brugernes accept. Men det gælder altså ikke i Blip Systems' tilfælde, lyder det nu.
Trafikovervågningssystemet er blandt andet brugt i flere kommuner. Det fungerer ved at måle antallet af bilister på en given vej ud fra antallet af MAC-adresser og rejsetid ved at se på, hvor lang tid en mobiltelefon er om at bevæge sig fra a til b baseret på registreringen af dennes MAC-adresse.
Sagens omdrejningspunkt har været, at der i det, der populært kaldes cookiebekendtgørelsen, er et krav om, at der skal gives information og indhentes samtykke ved lagring eller adgang til oplysninger i slutbrugerens terminaludstyr. Terminaludstyr er eksempelvis en mobiltelefon.
Men Blip Systems' trafikovervågnings-system indhenter ikke tilladelse fra brugerne, når de læser MAC-adresser fra mobiltelefoners wifi og Bluetooth-forbindelser, der suser forbi i bilerne på vejene.
Og det behøver Blip Systems heller ikke, slår Erhvervsstyrelsen altså nu fast. I sin afgørelse lægger styrelsen vægt på måden, hvorpå Blip Systems behandler MAC-adresserne på. Selve adresserne bliver nemlig ikke lagret. De bliver ved indsamling omgående kørt gennem en hash-algoritme, som generer en værdi, der ikke kan føres tilbage til den oprindelige adresse.
»Algoritmen, hvormed systemet hasher MAC-adresserne, udskiftes desuden tilfældigt efter 24 timer, hvorefter det ikke længere vil være muligt at overvåge den anonymiserede MAC-adresse, idet hashværdien af MAC-adressen ikke længere er den samme,« skriver Erhvervsstyrelsen i begrundelsen for afgørelsen.
I den forbindelse har Erhvervsstyrelsen været inde at tolke på cookie-reglerne og fundet frem til følgende:
»I tilfælde hvor systemer ikke kan anvendes til at identificere og overvåge den enkelte slutbrugers færden, vil der ikke være grundlag for at anvende direktivets bestemmelse om information og indhentelse af samtykke på dette forhold, idet der ikke længere er et beskyttelseshensyn i forhold til lagring eller indsamling af information på terminalenheden,« står der i begrundelsen fra Erhvervsstyrelsen, som fortsætter:
»Dette medfører, at privatlivsbeskyttelsen, som direktivets regler skal varetage, allerede fra starten er indbygget i selve løsningen, og den konkrete løsning falder derfor udenfor direktivets anvendelsesområde.«
Desuden hæfter styrelsen sig ved, at det ikke er praktisk muligt for Blip Systems at indhente brugertilladelse - altså som med cookie-popup-bokse - ved indsamlingen af MAC-adresser.
»Erhvervsstyrelsen har ved vurderingen lagt vægt på, at Bliptrack ikke har mulighed for at kommunikere direkte med brugerne, hvilket i praksis gør det umuligt at informere brugerne og indhente deres samtykke.«
Det var Blip Systems selv, der 26. januar 2015 rettede henvendelse til Erhvervsstyrelsen for at få dem til at vurdere, hvorvidt virksomhedens løsning for trafikmåling er omfattet af cookie-reglerne eller ej.
Læs hele Erhvervsstyrelsens gennemgang af sagen her (PDF)
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
