Det Europæiske Databeskyttelsesråd (EDPB), der består af repræsentanter fra EØS-landenes datatilsyn, har i denne uge justeret deres vejledning til indhentning af samtykke.
Som noget nyt har rådet nu taget stilling til lovligheden af cookiemure. Sådan en man møder eksempelvis, når man første gang besøger Kristeligt Dagblad. Her er man nødt til at give samtykke til brug af cookies og behandling af personoplysninger for at få adgang til sitet.
Et sådan samtykke er ikke afgivet frivilligt, skriver rådet i afsnit 39-41. Derfor er det ikke gyldigt. Og derfor er det ikke lovligt, når Kristeligt Dagblad efterfølgende sætter cookies og indsamler personoplysninger til målretning af annoncer.
De nationale datatilsyn i Nederlandene, Tyskland, Frankrig og Storbritannien udtalte allerede i juli 2019 eller før, at cookiemure ikke er lovlige. Det har dog større vægt, når EDPB siger det samme. Nu gælder det. Også i Danmark.
Kristeligt Dagblad må nu i gang med at tilpasse deres samtykkeboks. Det er selvfølgelig ikke rimeligt at forvente, at de har fikset det her kun fire dage efter offentliggørelsen af rådets nye vejledning.
Men hvornår så?
Emnet blev berørt i Datatilsynets GDPR-podcast (i de sidste 3 minutter), efter tilsynet var kommet med nye retningslinjer om indhentning af samtykke. Makar Juhl Holst fra Datatilsynet fortæller, at de ikke forventer at påtale overtrædelser med det samme. Folk skal have en chance for at nærlæse og studere de nye retningslinjer, særligt fordi der har hersket stor tvivl om reglernes fortolkning. Han sætter dog ikke tal på.
Da det græske datatilsyn i februar udgav et sæt retningslinjer for brug af cookies, gav de en implementeringsfrist på to måneder (side 2, midt på).
Jeg forventer ikke, at Kristeligt Dagblad smider alt, hvad de har i hænderne, og arbejder aftener og weekender for at rette op på problemet. Omvendt skal de heller ikke have fripas til at udskyde projektet i evigheder.
Hvor lang tid er rimeligt? Hvornår skal myndighederne finde bødeblokken frem? Hvad synes du, kære læser?
Så skulle der være tid til at gøre det færdigt man har gang i, og så lave dette i ro og mag.
Men fristen skal meldes ud prompte! Hvorfor vente?
Jeg gætter dog på at der ikke er nogen der har boller nok til at sætte en bestemt dato. Jeg foreslår 1. oktober! ?
Og du har set Christains tweet om hvor besværligt og hvor lang tid det tager at omkonfigurere cookiebot ?
Og du har set Christains tweet om hvor besværligt og hvor lang tid det tager at omkonfigurere cookiebot ?
Øh, nej. Der står intet i artiklen om twitter eller tweets, så nej, jeg undersøgte ikke mandens twitterkonto. Det har jeg så gjort nu. (Et link til https://twitter.com/aggemamdk/status/1231494030585999365 ville have været rart...)
For sites der har en ekstern til at lave websitet, kan al bureaukartiet godt tage meget længere end selve det at omkonfigurere noget.
Men uanset fristen, så brude den allerede nu sættes i sten, sådan at man kl. $deadline+1 kan begynde at udstede dummebøder en-masse...
3 mdr er rigeligt til at overholde loven. Første gang kan være en advarsel med en måned til at fikse det, hvis ikke der eller er andre problemer.
mere tid er slendrian
Da samtykke ikke har vaerret givet frivilligt, og derved ikke er gyldigt, skal kristeligt dagblad indhente dette igen for alle brugere, de skal derfor gennemgaa en process hvor de kan nulstille data delt med 3. part, og dette kan vaere et argument for at give dem laengere tid til at omstille.
