Erhvervsstyrelsen ændrer cookiepraksis

Godt svar fra Datatilsynet.

De har dog valgt ikke at gøre noget ved fyens.dk fordi de mener det er Erhvervsstyrelsens problem. Så nu har jeg lavet en klage til dem i stedet.

Erhvervsstyrelsen har for nylig skrevet følgende til mig:

Hvad angår dit sidste spørgsmål, er det Erhvervsstyrelsens vurdering, at der ikke efter reglerne i e-databeskyttelsesdirektivet stilles krav om, at hjemmesider eller andre elektroniske tjenester kan fungere uden brug af cookies eller lignende teknologier. [...] Det betyder, at en brugers afvisning af cookies kan medføre, at brugerens eneste mulighed er at forlade hjemmesiden/tjenesten.

Erhvervsstyrelsen giver her udtryk for en opfattelse, der er i direkte modstrid med Det Europæiske Databeskyttelsesråds fortolkning af reglerne (tidligere omtalt her på bloggen). Jeg har flere gange spurgt styrelsen direkte, om de dermed mener, at Databeskyttelsesrådet tager fejl, men det svarer de kun undvigende på. De argumenterer for deres opfattelse med en henvisning til det oprindelige cookie-direktiv fra 2002 uden at tage stilling til, at GDPR efterfølgende har skærpet cookiedirektivets krav til samtykke. Jeg synes ærlig talt, det er svært at blive klog på, hvordan de når frem til deres konklusion.

Så du skal nok være forberedt på, at Erhvervsstyrelsen i første omgang vil afvise din klage som grundløs :-(

Men hos Jysk Fynske Medier er der – som vidt jeg forstår – frit valg mellem at afgive samtykke til cookies/tracking eller at købe et abonnement og dermed blive fri for cookies/tracking. Er det et ægte frit valg?

Datatilsynet har skrevet følgende til mig:

"For så vidt angår betingelsen om, at et samtykke skal være frivilligt, vil det være relevant at stille spørgsmålet, om den registrerede stilles dårligere ved at sige nej til behandlingen af personoplysninger. Hvis dette er tilfældet, vil samtykket som udgangspunkt ikke kunne anses for at være frivilligt, og dermed ikke i overensstemmelse med de databeskyttelsesretlige regler"

Ved at svare nej til tracking cookies bliver man nægtet adgang til den gratis del af hjemmesiden og bliver derfor ubetinget stillet dårligere ved at sige nej.

De har dog valgt ikke at gøre noget ved fyens.dk fordi de mener det er Erhvervsstyrelsens problem. Så nu har jeg lavet en klage til dem i stedet.

Kravet er:</p>
<p>"Allow users to access your service even if they refuse to allow the use of certain cookies"

GDPR foreskriver, at et samtykke til tracking skal være afgivet frivilligt for at være gyldigt. Hvis samtykke er eneste måde at få adgang til sitet, så er det ikke frivilligt.

Men hos Jysk Fynske Medier er der – som vidt jeg forstår – frit valg mellem at afgive samtykke til cookies/tracking eller at købe et abonnement og dermed blive fri for cookies/tracking. Er det et ægte frit valg?

Det mener i hvert fald det østrigske datatilsyn. I en afgørelse fra 2018 konkluderede de, at det var et frit valg, selvom et abonnement koster 6 €/md.

Dette synspunkt synes umiddelbart i modstrid med Datatilsynets vurdering, hvor man ikke engang må tvinge brugerne til at klikke én ekstra gang for at sige nej tak til cookies. Det er svært at sælge et abonnement uden at kræve et ekstra klik. Selv hvis abonnementet var gratis, ville det stadig være i strid med Datatilsynets retningslinjer, skulle man tro.

Derfor er vi nok nødt til at afvente yderligere afgørelser fra de europæiske datatilsyn, før vi kan udtale os sikkert om lovligheden af Jysk Fynske Mediers løsning.

Det er ikke kun fyens.dk der gør det. Det gør alle aviser under Jysk Fynsk Medier.</p>
<p>I forhold til cookiereglerne, tror jeg dog ikke der er et problem i det de gør. Du får muligheden for at afvise cookies, men skal så betale for at se deres artikler / bruge deres side.</p>
<p>Det er ikke et krav at du skal kunne tilgå deres artikler gratis.

Kravet er:

"Allow users to access your service even if they refuse to allow the use of certain cookies"

Vi skal ikke kunne tilgå deres artikler gratis, men hvis vi kan tilgå artiklerne, gratis eller ej, så skal det kunne ske uden unødvendig tracking. Det er derfor ikke lovligt at kræve betaling for at undlade at tracke.

Jeg ved godt det lyder lidt paradoksalt at bruge cookies til at undgå dem, men der er vel ingen ko på isen hvis det er den eneste cookien indeholder.

Hvis brugeren siger nej tak til cookies, så er man i sagens natur nødt til at gemme den information et sted. Det er en teknisk nødvendig cookie, som gerne må sættes uden samtykke. Det samme gælder fx cookies til en indkøbskurv i en webshop.

At du bliver spurgt om samtykke hele tiden, skyldes nok snarere, at sitet håber på, at du bestemmer dig om (eller af vanvare kommer til at trykke på Ja tak til cookies). Med andre ord er det et bevidst valg, at et ja tak til cookies bliver gemt længere end et nej tak.

Jeg kunne godt forestille mig, at Datatilsynet ikke er helt begejstret for den praksis, men det er ikke noget, de har udtalt sig om.

Jeg har nogle gange tænkt over det, nemlig at det ofte virker til at man skal sige nej hver gang til cookies: ville det være helt åndssvagt at man kunne lagre en cookie el. Lign. Om at man ikke ønskede (andre) cookies?

Jeg ved godt det lyder lidt paradoksalt at bruge cookies til at undgå dem, men der er vel ingen ko på isen hvis det er den eneste cookien indeholder.

I mangel på thumbs up mulighed på artiklen - får du her lidt ros :)

Hvor finder man en template til klagen? Det kunne være man stulle til at bruge lidt tid på det også ;-)

Inden jeg klager til myndighederne, forsøger jeg altid først at kontakte ejerne af hjemmesiden. Det kræver som regel en del tålmodighed og en del rykkere, men indimellem giver det pote.

Generelt vil jeg anbefale, at man er omhyggelig med at skrive en udførlig klage, der nævner de specifikke punkter i Erhvervsstyrelsens og Datatilsynets vejledninger, som er overtrådt. Inkluder gerne screenshots, så der ikke er tvivl om, hvordan sitet så ud på tidspunktet for din klage.

Jeg anbefaler at teste sitet i Chromes Incognito-tilstand. Så er du sikker på, at de cookies, der er sat i din browser, stammer fra det aktuelle vindue. Husk at lukke alle Incognito-vinduer før start – de deler nemlig cookie-store. Sørg også for at, at du ikke har valgt Block third party cookies in Incognito .

Vi har været rundt om det her flere gange: de første versioner af Firefox spurgte netop omhyggeligt om man ville acceptere cookies fra sider, der sendte dem. Hvis man svarede nej, sørgede browseren sådan set for at lade være med at gemme dem. Det er dybt mærkeligt at vi ikke blot har genindført den løsning, da den også giver brugeren fuld kontrol.

Hvor ville det være dejligt, hvis man kunne få sin browser til automatisk at fortælle serveren, at man ikke ønsker alle mulige tracking cookies. Så kunne man helt slippe for at klikke "nej tak".

Det kunne for eksempel ske ved, at browseren sendte en HTTP-header med oplysninger om, hvorvidt man øskede at blive sporet. Man kunne passende kalde headeren "Do Not Track"...

Tænk hvis cookie-reglerne blev ændret, så sådan en header skulle respekteres.

I mangel på thumbs up mulighed på artiklen - får du her lidt ros :)

Det kunne være fedt hvis Erhvervsstyrelsen var lidt nytænkende, fx at få udleveret alle registerede domæner af DK Hostmaster (ingen GDPR data) og besøge alle domæner for at undersøge overholdelse.

Det kræver lidt forarbejde, men så kan man jo overfor bla Rigsrevisionen vise at man tager sit tilsyn alvorligt.

Det er ikke kun fyens.dk der gør det. Det gør alle aviser under Jysk Fynsk Medier.

I forhold til cookiereglerne, tror jeg dog ikke der er et problem i det de gør. Du får muligheden for at afvise cookies, men skal så betale for at se deres artikler / bruge deres side.

Det er ikke et krav at du skal kunne tilgå deres artikler gratis.

Prøv at gå ind på fyens.dk - eventuelt i incognito mode. Der koster det simpelthen penge hvis du vil undgå tracking cookies.

Elgiganten har stadig til gode at ændre deres samtykkeboks.

Øhh. Hvor mange steder er det lige at man har valget mellem "tillad alt" og "afvis alt" eller i det mindste "tillad kun nødvendige"?

Jeg synes stadigvæk det er et mindretal. Man kunne også sende dem efter blandt andet jysk-fynske medier. De giver reelt kun mulighed for "tillad alt" eller "send penge"

Jeg har derfor bedt Erhvervs­styrelsen genåbne min klage. Selvom de af princip ikke uddeler bøder for overtrædelse af reglerne, så har jeg faktisk haft held med at klage over virksomheder, som jeg selv forgæves har forsøgt at råbe op.

Hvor finder man en template til klagen? Det kunne være man stulle til at bruge lidt tid på det også ;-)

/Henning