Det Europæiske Databeskyttelsesråd (EDPB), der består af repræsentanter fra EØS-landenes datatilsyn, har i denne uge justeret deres vejledning til indhentning af samtykke.
Som noget nyt har rådet nu taget stilling til lovligheden af cookiemure. Sådan en man møder eksempelvis, når man første gang besøger Kristeligt Dagblad. Her er man nødt til at give samtykke til brug af cookies og behandling af personoplysninger for at få adgang til sitet.
Et sådan samtykke er ikke afgivet frivilligt, skriver rådet i afsnit 39-41. Derfor er det ikke gyldigt. Og derfor er det ikke lovligt, når Kristeligt Dagblad efterfølgende sætter cookies og indsamler personoplysninger til målretning af annoncer.
De nationale datatilsyn i Nederlandene, Tyskland, Frankrig og Storbritannien udtalte allerede i juli 2019 eller før, at cookiemure ikke er lovlige. Det har dog større vægt, når EDPB siger det samme. Nu gælder det. Også i Danmark.
Kristeligt Dagblad må nu i gang med at tilpasse deres samtykkeboks. Det er selvfølgelig ikke rimeligt at forvente, at de har fikset det her kun fire dage efter offentliggørelsen af rådets nye vejledning.
Men hvornår så?
Emnet blev berørt i Datatilsynets GDPR-podcast (i de sidste 3 minutter), efter tilsynet var kommet med nye retningslinjer om indhentning af samtykke. Makar Juhl Holst fra Datatilsynet fortæller, at de ikke forventer at påtale overtrædelser med det samme. Folk skal have en chance for at nærlæse og studere de nye retningslinjer, særligt fordi der har hersket stor tvivl om reglernes fortolkning. Han sætter dog ikke tal på.
Da det græske datatilsyn i februar udgav et sæt retningslinjer for brug af cookies, gav de en implementeringsfrist på to måneder (side 2, midt på).
Jeg forventer ikke, at Kristeligt Dagblad smider alt, hvad de har i hænderne, og arbejder aftener og weekender for at rette op på problemet. Omvendt skal de heller ikke have fripas til at udskyde projektet i evigheder.
Hvor lang tid er rimeligt? Hvornår skal myndighederne finde bødeblokken frem? Hvad synes du, kære læser?
Så skulle der være tid til at gøre det færdigt man har gang i, og så lave dette i ro og mag.
Men fristen skal meldes ud prompte! Hvorfor vente?
Jeg gætter dog på at der ikke er nogen der har boller nok til at sætte en bestemt dato. Jeg foreslår 1. oktober! ?
Og du har set Christains tweet om hvor besværligt og hvor lang tid det tager at omkonfigurere cookiebot ?
Og du har set Christains tweet om hvor besværligt og hvor lang tid det tager at omkonfigurere cookiebot ?
Øh, nej. Der står intet i artiklen om twitter eller tweets, så nej, jeg undersøgte ikke mandens twitterkonto. Det har jeg så gjort nu. (Et link til https://twitter.com/aggemamdk/status/1231494030585999365 ville have været rart...)
For sites der har en ekstern til at lave websitet, kan al bureaukartiet godt tage meget længere end selve det at omkonfigurere noget.
Men uanset fristen, så brude den allerede nu sættes i sten, sådan at man kl. $deadline+1 kan begynde at udstede dummebøder en-masse...
3 mdr er rigeligt til at overholde loven. Første gang kan være en advarsel med en måned til at fikse det, hvis ikke der eller er andre problemer.
mere tid er slendrian
Da samtykke ikke har vaerret givet frivilligt, og derved ikke er gyldigt, skal kristeligt dagblad indhente dette igen for alle brugere, de skal derfor gennemgaa en process hvor de kan nulstille data delt med 3. part, og dette kan vaere et argument for at give dem laengere tid til at omstille.
På fyens.dk bruger de en ny type cookiemur, hvor du først tilsyneladende får mulighed for at afvise cookies - men derefter mødes af en sekundær mur, hvor du kan vælge enten at købe et abonnement, eller acceptere cookies alligevel.
Må man det? Hvis jeg giver samtykke for at få lov til at besøge siden, er mit samtykke så givet "frivilligt"?
Indholdet bliver som regel sendt til browseren på sites med gratis artikler - ellers kan det heller ikke indekseres af f.eks. Google, så det er som regel en bevidst strategi for at skaffe organisk trafik.
Der findes også browser plugins der fjerner paywalls som disse. Det er en som regel ikke noget Hr. og Fru Danmark kan finde ud af at installere, så den begrænsning er bare noget man kalkulerer med. (Jeg var ansat hos Jysk-Fynske Medier i mange år.)
Det mere interessante spørgsmål er hvorvidt man lovmæssigt kan argumentere for, at brugerens accept er "frivilligt", når det er givet "i bytte" for adgang til siden...
Det mere interessante spørgsmål er hvorvidt man lovmæssigt kan argumentere for, at brugerens accept er "frivilligt", når det er givet "i bytte" for adgang til siden...
Man kan vel også sige at brugeren køber sig adgang med nogle oplysninger for til gengæld at få en vare, f.eks. avisartikel?
Når det drejer sig om adgang til information fra private aktører har jeg ikke et krav på at få information uden vederlag.
Det er straks noget andet med offentlige myndigheder og institutioner - dér forventer jeg at få information uden at give noget til gengæld ud over mine skattekroner.
Man kan vel også sige at brugeren køber sig adgang med nogle oplysninger for til gengæld at få en vare, f.eks. avisartikel?
Det kan man synes - men nu spørger jeg i forhold til loven rent teknisk.
Ifølge EDPB guidelines, som refereres i artiklen, er samtykke ikke givet frivilligt, og er dermed ikke gyldigt, hvis man ikke præsenteres for et reelt valg.
Konkret skriver de i den sekundære mur på fyens.dk, "du accepterer alle vores cookies" - hvilket får mig til at tro, at de heller ikke har forstået, at problemet ikke er deres cookies, men tredjeparts cookies. Hvis du accepterer, har du ikke kun "købt" adgang til siden, men derimod "solgt" dine oplysninger til deres samarbejdspartnere (Google, mv.) som bruger dem til at profilere dig på tværs af sites.
Jeg tror loven er formuleret sådan netop for at forhindre, at udbydere kan "lokke" brugerne, ikke blot til at "købe" adgang, men til at "sælge" deres personlige oplysninger til samarbejdspartnere.
Det må man kun med frivillig accept - selv med en præcis beskrivelse af hvad du har opgivet, og hvad du får som tak, er der stadig tale om et "quid pro quo", og dermed (så vidt jeg forstår) er der ikke tale om et frivilligt valg.
Jeg ville mægtig gerne have spørgsmålet be/afkræftet af en sagkyndig.
Hvordan er man ikke blevet givet et reelt valg? Man har hele tre muligheder: 1. Accepter cookies. 2. Betal for at benytte siden. 3. Lad være med at benytte siden.
Du kunne også se det fra den anden side: Det er en side som du kun kan tilgå ved at betale, men en af betalingsmulighederne er via din data. Om det så rent faktisk er lovligt lader jeg op til dem som faktisk kender til jura (selvom jeg også selv er træt af cookie mure var jeg meget overrasket over at de blev erklæret ulovlige, da de jo egentlige bare giver ovenstående valgmuligheder pånær den midterste, og det er jo ikke en menneskeret at få adgang til enhver hjemmeside).
Du kunne også se det fra den anden side: Det er en side som du kun kan tilgå ved at betale, men en af betalingsmulighederne er via din data
Som jeg forstår loven, er det netop det man ønsker, at beskytte brugerne mod. Samtykke skal være frivilligt.
Prøv at forestille dig et internet, hvor alt indhold er beskyttet af en mur som denne. Er det stadig internettet, i den forstand vi forstår begrebet idag, hvis man reelt ikke kan tilgå det uden at "betale" med sine personlige data?
Det er vel dét som loven skal beskytte os mod.
Der var masser af virksomheder, der tjente penge på gratis indhold med reklamer, som var målrettet sidens indhold og målgruppe, i mange år, før det blev muligt og almindeligt at profilere og målrette brugerne personligt.
Givet, man kan tjene flere penge ved at målrette personligt, og virksomheder vil gerne tjene så mange penge som muligt.
Virksomhederne har i en årerække indsamlet og solgt vores personlige oplysninger uden vores accept - de har gjort sig afhængige af dette som deres forretningsmodel.
Man har så vedtaget en lov for at give brugerne et bevidst og frivilligt valg. Og nu står virksomhederne og piver over, at det kan de ikke leve af. Og vi skal være forstående, når de prøver at krybe udenom? Men det er altså et hul, de selv har gravet sig ned i. Brugerne havde ikke noget valg.
Efter min mening, må de søge nye måder (eller søge tilbage på gamle måder) at drive forretning på.
Hvis det bliver normalt, at gratis indhold er spærret af til du accepterer, at de sælger dine data, så har loven jo ikke ændret noget som helst. Der er stadig intet valg. Så er der bare ikke noget internet til dem, som ikke accepteret.
Ønsker vi det?
