bloghoved christian schmidt

Erhvervsstyrelsen ændrer cookiepraksis

Samtykkeboksen på Elgiganten.dk lever ikke op til kravene i cookiebekendtgørelsen Illustration: Christian Schmidt

Da Datatilsynet i februar 2020 – kort før pandemien lagde gaderne øde – udgav sin vejledning til samtykkeindhentning, opdaterede Erhvervsstyrelsen sin vejledning til cookie­bekendtgørelsen. Men de opdaterede sjovt nok ikke deres tilsynspraksis.

I september – hvor pandemiens anden bølge tog fart – klagede jeg til Erhvervsstyrelsen over Elgigantens samtykkeboks, der kræver et ekstra klik for at slippe for cookies. Men styrelsen afsluttede sagen, uden at samtykkeboksen var ændret. Jeg spurgte dem derfor, om de var uenige i Datatilsynets fortolkning af reglerne.

I en mail til mig dateret lillejuleaftensdag kl. 15.16 – hvor jeg netop skulle til at indlede årets julegave­indkøb – oplyser styrelsen, at de nu har valgt at ændre tilsynspraksis, så de fremover følger Datatilsynets fortolkning af reglerne. Styrelsen nævner specifikt, at det ikke må kræve et ekstra klik at takke nej til cookies.

Det er ikke nyt, at kravene til samtykke i cookiebekendtgørelsen er de samme som i GDPR. Det nye er, at Erhvervsstyrelsen anerkender Datatilsynets fortolkning af reglerne.

Jeg har opfordret Erhvervsstyrelsen til at opdatere deres cookievejledning, så kravene til samtykke fremgår tydeligere, men det er ikke sket endnu. Derfor citerer jeg her fra deres mail, så man i det mindste her på Version2 kan gøre sig bekendt med retstilstanden på området.

Som du nævner i din henvendelse af 26. september 2020, offentliggjorde Datatilsynet den 11. februar 2020 en afgørelse om DMI’s behandling af personoplysninger om hjemmesidebesøgende samt en vejledning om samme emne (https://www.datatilsynet.dk/Media/F/8/Behandling%20af%20personoplysninge...). Datatilsynets fortolkning af samtykkebegrebet i DMI-afgørelsen og den nye vejledning har på en række punkter afveget fra den fortolkning af samtykkebegrebet, som Erhvervsstyrelsen tidligere har anlagt.
Det følger af e-databeskyttelsesdirektivet, at et samtykke i forbindelse med cookies skal forstås og fortolkes, som et samtykke defineret og fastlagt i GDPR.
Selvom cookiereglerne skal fortolkes i lyset af reglerne fastlagt i GDPR skal det fortsat erindres, at reglerne dækker over to forskellige situationer hhv. indsamlings­situationen, og den efterfølgende behandling af persondata. Erhvervs­styrelsen har derfor arbejdet på at finde snitfladen mellem disse to regelsæt, herunder Erhvervs­styrelsens og Datatilsynets vejledning på cookieområdet, samt vurderet behovet for tilpasningen af Erhvervs­styrelsens tilsyn og vejledning af cookiereglerne. Erhvervs­styrelsen har på baggrund heraf valgt at tilpasse tilsynet med cookiereglerne, så det følger den fortolkning af samtykkebegrebet, der er anlagt af Datatilsynet i forbindelse med DMI-afgørelsen og Datatilsynets vejledning.
Dette betyder, i relation til en række af de forhold, som du pointerer i dine mails, at det herefter bl.a. følger af reglerne, at det skal være lige så let for den hjemmeside­besøgende at afvise cookies, som det er at acceptere dem. Det betyder, at valg af placering af ”accepter”- og ”afvis”-felt skal afspejle dette, og det vil således ikke være i overensstemmelse med reglerne alene at have en ”accepter”-knap. Den besøgende skal desuden have adgang til at give sit samtykke opdelt efter overordnede formål. Denne funktion skal ikke nødvendigvis ligge i cookiebannerets første lag, men det skal være klart og tydeligt for den besøgende, at muligheden for alene at tilvælge enkelte formål er tilstede. Det skal også i cookiebanneret fremgå, hvor denne funktion er placeret.

Elgiganten har stadig til gode at ændre deres samtykkeboks. Jeg har derfor bedt Erhvervs­styrelsen genåbne min klage. Selvom de tilsyneladende af princip ikke uddeler bøder for overtrædelse af reglerne, så har jeg faktisk haft held med at klage over virksomheder, som jeg selv forgæves har forsøgt at råbe op.

Relateret indhold

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henning Wangerin

Elgiganten har stadig til gode at ændre deres samtykkeboks.

Øhh. Hvor mange steder er det lige at man har valget mellem "tillad alt" og "afvis alt" eller i det mindste "tillad kun nødvendige"?

Jeg synes stadigvæk det er et mindretal. Man kunne også sende dem efter blandt andet jysk-fynske medier. De giver reelt kun mulighed for "tillad alt" eller "send penge"

Jeg har derfor bedt Erhvervs­styrelsen genåbne min klage. Selvom de af princip ikke uddeler bøder for overtrædelse af reglerne, så har jeg faktisk haft held med at klage over virksomheder, som jeg selv forgæves har forsøgt at råbe op.

Hvor finder man en template til klagen? Det kunne være man stulle til at bruge lidt tid på det også ;-)

/Henning

  • 8
  • 0
#3 Jens Clausen

Det er ikke kun fyens.dk der gør det. Det gør alle aviser under Jysk Fynsk Medier.

I forhold til cookiereglerne, tror jeg dog ikke der er et problem i det de gør. Du får muligheden for at afvise cookies, men skal så betale for at se deres artikler / bruge deres side.

Det er ikke et krav at du skal kunne tilgå deres artikler gratis.

  • 6
  • 0
#4 Claus Bobjerg Juul

Det kunne være fedt hvis Erhvervsstyrelsen var lidt nytænkende, fx at få udleveret alle registerede domæner af DK Hostmaster (ingen GDPR data) og besøge alle domæner for at undersøge overholdelse.

Det kræver lidt forarbejde, men så kan man jo overfor bla Rigsrevisionen vise at man tager sit tilsyn alvorligt.

  • 6
  • 0
#6 Jørgen Elgaard Larsen

Hvor ville det være dejligt, hvis man kunne få sin browser til automatisk at fortælle serveren, at man ikke ønsker alle mulige tracking cookies. Så kunne man helt slippe for at klikke "nej tak".

Det kunne for eksempel ske ved, at browseren sendte en HTTP-header med oplysninger om, hvorvidt man øskede at blive sporet. Man kunne passende kalde headeren "Do Not Track"...

Tænk hvis cookie-reglerne blev ændret, så sådan en header skulle respekteres.

  • 19
  • 0
#7 Michael Zedeler

Vi har været rundt om det her flere gange: de første versioner af Firefox spurgte netop omhyggeligt om man ville acceptere cookies fra sider, der sendte dem. Hvis man svarede nej, sørgede browseren sådan set for at lade være med at gemme dem. Det er dybt mærkeligt at vi ikke blot har genindført den løsning, da den også giver brugeren fuld kontrol.

  • 8
  • 0
#8 Christian Schmidt Blogger

Hvor finder man en template til klagen? Det kunne være man stulle til at bruge lidt tid på det også ;-)

I et tidligere blogindlæg kan du se, hvordan mine klager er bygget op. Jeg beskriver, hvad jeg gør når jeg besøger sitet, og hvad jeg oplever, herunder hvilke cookies, der bliver sat.

Inden jeg klager til myndighederne, forsøger jeg altid først at kontakte ejerne af hjemmesiden. Det kræver som regel en del tålmodighed og en del rykkere, men indimellem giver det pote.

Generelt vil jeg anbefale, at man er omhyggelig med at skrive en udførlig klage, der nævner de specifikke punkter i Erhvervsstyrelsens og Datatilsynets vejledninger, som er overtrådt. Inkluder gerne screenshots, så der ikke er tvivl om, hvordan sitet så ud på tidspunktet for din klage.

Jeg anbefaler at teste sitet i Chromes Incognito-tilstand. Så er du sikker på, at de cookies, der er sat i din browser, stammer fra det aktuelle vindue. Husk at lukke alle Incognito-vinduer før start – de deler nemlig cookie-store. Sørg også for at, at du ikke har valgt Block third party cookies in Incognito .

  • 6
  • 0
#10 Johan S. Larsen

Jeg har nogle gange tænkt over det, nemlig at det ofte virker til at man skal sige nej hver gang til cookies: ville det være helt åndssvagt at man kunne lagre en cookie el. Lign. Om at man ikke ønskede (andre) cookies?

Jeg ved godt det lyder lidt paradoksalt at bruge cookies til at undgå dem, men der er vel ingen ko på isen hvis det er den eneste cookien indeholder.

  • 2
  • 0
#11 Christian Schmidt Blogger

Jeg ved godt det lyder lidt paradoksalt at bruge cookies til at undgå dem, men der er vel ingen ko på isen hvis det er den eneste cookien indeholder.

Korrekt.

Hvis brugeren siger nej tak til cookies, så er man i sagens natur nødt til at gemme den information et sted. Det er en teknisk nødvendig cookie, som gerne må sættes uden samtykke. Det samme gælder fx cookies til en indkøbskurv i en webshop.

At du bliver spurgt om samtykke hele tiden, skyldes nok snarere, at sitet håber på, at du bestemmer dig om (eller af vanvare kommer til at trykke på Ja tak til cookies). Med andre ord er det et bevidst valg, at et ja tak til cookies bliver gemt længere end et nej tak.

Jeg kunne godt forestille mig, at Datatilsynet ikke er helt begejstret for den praksis, men det er ikke noget, de har udtalt sig om.

  • 6
  • 0
#12 Baldur Norddahl

Det er ikke kun fyens.dk der gør det. Det gør alle aviser under Jysk Fynsk Medier.

I forhold til cookiereglerne, tror jeg dog ikke der er et problem i det de gør. Du får muligheden for at afvise cookies, men skal så betale for at se deres artikler / bruge deres side.

Det er ikke et krav at du skal kunne tilgå deres artikler gratis.

Kravet er:

"Allow users to access your service even if they refuse to allow the use of certain cookies"

Vi skal ikke kunne tilgå deres artikler gratis, men hvis vi kan tilgå artiklerne, gratis eller ej, så skal det kunne ske uden unødvendig tracking. Det er derfor ikke lovligt at kræve betaling for at undlade at tracke.

  • 1
  • 0
#13 Christian Schmidt Blogger

Kravet er:

"Allow users to access your service even if they refuse to allow the use of certain cookies"

Jeg ved ikke, hvor du citerer fra, men jeg er bange for, at det ikke er helt så simpelt.

GDPR foreskriver, at et samtykke til tracking skal være afgivet frivilligt for at være gyldigt. Hvis samtykke er eneste måde at få adgang til sitet, så er det ikke frivilligt.

Men hos Jysk Fynske Medier er der – som vidt jeg forstår – frit valg mellem at afgive samtykke til cookies/tracking eller at købe et abonnement og dermed blive fri for cookies/tracking. Er det et ægte frit valg?

Det mener i hvert fald det østrigske datatilsyn. I en afgørelse fra 2018 konkluderede de, at det var et frit valg, selvom et abonnement koster 6 €/md.

Dette synspunkt synes umiddelbart i modstrid med Datatilsynets vurdering, hvor man ikke engang må tvinge brugerne til at klikke én ekstra gang for at sige nej tak til cookies. Det er svært at sælge et abonnement uden at kræve et ekstra klik. Selv hvis abonnementet var gratis, ville det stadig være i strid med Datatilsynets retningslinjer, skulle man tro.

Derfor er vi nok nødt til at afvente yderligere afgørelser fra de europæiske datatilsyn, før vi kan udtale os sikkert om lovligheden af Jysk Fynske Mediers løsning.

  • 0
  • 0
#14 Baldur Norddahl

Men hos Jysk Fynske Medier er der – som vidt jeg forstår – frit valg mellem at afgive samtykke til cookies/tracking eller at købe et abonnement og dermed blive fri for cookies/tracking. Er det et ægte frit valg?

Datatilsynet har skrevet følgende til mig:

"For så vidt angår betingelsen om, at et samtykke skal være frivilligt, vil det være relevant at stille spørgsmålet, om den registrerede stilles dårligere ved at sige nej til behandlingen af personoplysninger. Hvis dette er tilfældet, vil samtykket som udgangspunkt ikke kunne anses for at være frivilligt, og dermed ikke i overensstemmelse med de databeskyttelsesretlige regler"

Ved at svare nej til tracking cookies bliver man nægtet adgang til den gratis del af hjemmesiden og bliver derfor ubetinget stillet dårligere ved at sige nej.

De har dog valgt ikke at gøre noget ved fyens.dk fordi de mener det er Erhvervsstyrelsens problem. Så nu har jeg lavet en klage til dem i stedet.

  • 2
  • 0
#15 Christian Schmidt Blogger

Godt svar fra Datatilsynet.

De har dog valgt ikke at gøre noget ved fyens.dk fordi de mener det er Erhvervsstyrelsens problem. Så nu har jeg lavet en klage til dem i stedet.

Erhvervsstyrelsen har for nylig skrevet følgende til mig:

Hvad angår dit sidste spørgsmål, er det Erhvervsstyrelsens vurdering, at der ikke efter reglerne i e-databeskyttelsesdirektivet stilles krav om, at hjemmesider eller andre elektroniske tjenester kan fungere uden brug af cookies eller lignende teknologier. [...] Det betyder, at en brugers afvisning af cookies kan medføre, at brugerens eneste mulighed er at forlade hjemmesiden/tjenesten.

Erhvervsstyrelsen giver her udtryk for en opfattelse, der er i direkte modstrid med Det Europæiske Databeskyttelsesråds fortolkning af reglerne (tidligere omtalt her på bloggen). Jeg har flere gange spurgt styrelsen direkte, om de dermed mener, at Databeskyttelsesrådet tager fejl, men det svarer de kun undvigende på. De argumenterer for deres opfattelse med en henvisning til det oprindelige cookie-direktiv fra 2002 uden at tage stilling til, at GDPR efterfølgende har skærpet cookiedirektivets krav til samtykke. Jeg synes ærlig talt, det er svært at blive klog på, hvordan de når frem til deres konklusion.

Så du skal nok være forberedt på, at Erhvervsstyrelsen i første omgang vil afvise din klage som grundløs :-(

  • 1
  • 0
Log ind eller Opret konto for at kommentere