DI og DI ITEKs vejledning om cookiebekendtgørelsen



Relaterede dokumenter
IT- og Telestyrelsen Holsteinsgade København Ø.

- Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr

Cookie direktivet. Hvordan skal kommunerne forholde sig til det? KL s arrangemenet d. 12. december 2012

E-handel. Birgitte Toxværd, advokat Claus Barrett Christiansen, partner

BEwares Privatlivspolitik

RETNINGSLINJER FOR COOKIES. Brug af cookies på offentlige myndigheders hjemmesider

PRIVATLIVSPOLITIK FOR G&O MARITIME GROUP

P R I V A T L I V S P O L I T I K F O R B L O M M E N S L Y S T K R O A P S

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger

PRIVATLI V SPO LI TIK FO R CHABBE R

Løsningen garanterer at finde alle de cookies, som et nationalt tilsyn kan finde. Løsningen er valideret af Audit Bureau of Circulation i England.

P R I V A T L I V S P O L I T I K F O R S A M S Ø S Y L T E F A B R I K

Indholdsfortegnelse. Forord Indledning...6

PERSONDATAPOLITIK FOR CENTER FOR DIGITAL PÆDAGOGIK

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Kortlægning af cookies blandt danske ministerier og styrelser

Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr

Retningslinjer for behandling af cookies og personoplysninger

1.1 Det er af høj prioritet for Scenit at beskytte dine personoplysninger.

Detaljeret information om cookies

Lunar Way Business Privatlivspolitik

2. udgave, april 2013

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Privatlivs og Persondatapolitik for Evangelisk Luthersk Netværk

Detaljeret information om cookies

TYPER AF MARKEDSFØRING

COOKIES & PERSONDATAPOLITIK

COKKIEPOLITIK I CISU MAJ 2018

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99

Dette dokument er oprettet ved hjælp af en skabelon fra SEQ Legal (seqlegal.com)

PERSONDATAPOLITIK FOR CSM SYD FRIVILLIGSEKTION

Privatlivspolitik for Falck Healthcare A/S

Sag mho Udkast Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik.

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

3. Hvorfor behandler vi dine personlige oplysninger

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK

Databeskyttelsespolitik for Medictinedic ApS

1. Hvordan vi indsamler og opbevarer personoplysninger

Persondatapolitik Gældende pr. 25. maj 2018

Samtykke, Cookie- og privatlivspolitik

POLITIK FOR DATABESKYTTELSE

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Bilag 1: Spørgeskema 1

Retningslinjer for offentliggørelse af billeder og videoer i Frederiksberg Kommune

Aktion Børnehjælp og vores hjemmesider er nedenfor samlet benævnt Aktion Børnehjælp eller aktionboernehjaelp.dk.

HVILKEN INFORMATION INDSAMLER VI?

Nimb Persondatapolitik

Kontaktoplysninger LiebhaverSkovfogeden er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.

Privatlivspolitik. for Odense LM

Privatlivspolitik for Rationel Service A/S.

Databehandlingspolitik

Europabevægelsens Privatlivspolitik

Kortlægning af cookies blandt de 50 største virksomheder i Danmark

System Transport hjemmesiden indeholder information om System Transports produkter og System Transports promoverende programmer.

Europabevægelsens Privatlivspolitik

PAID CONTENT LOVGIVNINGENS KRAV DANSKE MEDIER. FRANK BØGGILD advokat (H), partner, LLM, HD(R) 3. november 2015

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler dine data.

Detaljeret information om cookies

COOKIENOTE BRUGERVEJLEDNING MODUL VERSION 1.6.1

EasyParks Datapolitik

Privatlivspolitik. Odense LMU

Forbrugerombudsmanden. Carl Jacobsens vej Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19.

1 Cookie- og privatlivspolitik for Dalum Landbrugsskole Cookie-politik Cookies Cookies på hjemmesiden...

Vi indsamler dine personlige oplysninger, når du tilmelder dig og/eller bruger tjenesterne.

PERSONDATAPOLITIK FOR Café Paraplyen - Frederiksberg

Cookie- og Persondatapolitik

Persondatapolitik for VIAVANA.COM. GO WITH PASSION

Privatlivspolitik. for SUN DESIGN A/S.

COOKIE-POLITIK RINGSTED FORSYNING A/S

Denne Cookie- og Privatlivspolitik ejes og drives af NORD.investments A/S, herefter omtalt ved NORD, vi, vores eller os.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Databeskyttelsespolitik (oplysningspligten)

PERSONDATAPOLITIK: Lactalis Scandinavia

Detaljeret information om cookies

Klassisk-dressur.dk er en virksomhed, som sælger rideudstyr, både nyt og brugt.

Dine personoplysninger vil blive indsamlet og håndteret af os med henblik på følgende formål:

Denne privatlivspolitik forklarer, hvordan Bruun & Hjejle Advokatpartnerselskab ( Bruun & Hjejle ) behandler personoplysninger

NOBINAKONCERNENS EKSTERNE PERSONDATAPOLITIK

Privatlivspolitik for MV-Nordic A/S

FORTROLIGHEDSERKLÆRING SYNBRA HOLDING B.V.

FORTROLIGHEDSPOLITIK. Herbalife Europe Limiteds websteder vigtige oplysninger

Databeskyttelsespolitik

FORTROLIGHEDS- OG MARKEDSFØRINGSPOLITIK. 1. Generelt

Detaljeret information om cookies

Fortrolighedspolitik. 22. oktober 2018

Gahrn-Jensen har to fysiske butikker der sælger tøj til kvinder. Gahrn-Jensen har ydermere stor webshop.

PRIVATLIVSPOLITIK. Sidst opdateret: d. 17/05/2018

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

RÅDGIVNING af børn og unge

Detaljeret information om cookies

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Privatlivspolitik CBS Executive

Detaljeret information om cookies

Privatlivs- og cookiespolitik for selvstændige psykologers klinik

BESKYTTELSE AF PERSONDATA OG COOKIE POLITIK Pure Byte ApS (PB)

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

Profil Search s Persondatapolitik

1.1 Vi kan indsamle og opbevare følgende oplysninger fra og om dig, hvis du interagerer med os gennem webstedet:

Transkript:

DI og DI ITEKs vejledning om cookiebekendtgørelsen

Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-989-7 0.02.13

Kort baggrund Det er på baggrund af EU-lovgivning forbudt af lagre og søge adgang til oplysninger i brugeres terminaludstyr uden informeret, frivilligt og specifikt samtykke fra brugeren. EU-lovgivningen er indarbejdet i teleloven og udmøntet i cookiebekendtgørelsen, Bekendtgørelse om krav til information og samtykke ved lagring af og adgang til oplysninger i slutbrugeres terminaludstyr. Baggrunden for loven er, at det fra politisk side er ønsket, at brugerne skal have kontrol med, hvad der placeres af software på deres terminaludstyr, og hvad der hentes af informationer fra deres terminaludstyr. Helt lavpraktisk har begrundelsen for loven været, at man ønskede at imødegå, at der aflures oplysninger om brugernes adfærd og præferencer uden deres viden, samtykke og ønske. Loven er en konkret reaktion på den til stadighed mere udbredte profilering af brugerne gennem anvendelse af cookies, der registrerer præferencer og adfærd på tværs af forskellige hjemmesider (sites) på internettet. DI og DI ITEK, har været i dialog med Erhvervsstyrelsen om den aktuelle fortolkning af loven, og udgiver denne vejledning med det formål at gøre det operationelt for danske virksomheder at bringe deres hjemmesider og disses anvendelse af cookies i overensstemmelse med lovgivningen. Den her skitserede fortolkning gælder for den danske implementering af loven og dermed for alle danske hjemmesider. Der kan være andre fortolkninger andre steder i EU. Domæner Det første, der skal gøres, er at få et overblik over, hvilke domæner virksomheden er involveret i. Nogle af disse domæner vil virksomheden selv eje og have ansvaret for. Andre domæner ejes i fællesskab med andre eller helt af andre, og virksomheden giver kun indhold til domænet. Det er domænets ejer, der har ansvaret for, at domænet er i overensstemmelse med loven. Alle der lagrer eller opnår adgang til oplysningerne er dog omfattet af reglerne. Domænets ejer er også ansvarlig for indhold, der kommer ind udefra herunder tredjepartsleverandører. I det omfang, at man leverer indhold til andre domæner, end dem man selv ejer, vil det være et pænt træk at arbejde for, at disse domæner også er i overensstemmelse med cookie lovgivningen. Når man har et overblik over relevante domæner, vil der givetvis blandt dem findes domæner, som ikke længere anvendes. Det kan f.eks. være domæner brugt til en konkret kampagne. Disse domæner bør lukkes. Herefter afgrænses opgaven til de domæner, man ønsker i en konkret arbejdsproces at bringe i overensstemmelse med lovgivningen. For hvert af disse domæner anbefales det at gennemløbe nedenstående proces. Klassifikation af cookies For det pågældende domæne identificeres al den funktionalitet, som falder under lovgivningen inkl. undtagelserne. Der vil formodentlig fortrinsvis være tale om cookies, men man skal være opmærksom på, at loven gælder for lagring af alle former for software på brugerens terminaludstyr. Vi beskæftiger os i denne vejledning alene med cookies. Det skal bemærkes, at det bør betragtes som en positiv proces i virksomheden at skaffe sig klarhed over, hvad det egentlig er, man placerer på brugernes terminaludstyr, og dermed hvordan man behandler sine brugere. At få bestemt formålet med hver enkelt cookie er dermed helt centralt.

Mange virksomheder vil formodentlig blive overraskede over, hvor store mængder cookies de placerer og hvor indgribende disse cookies faktisk er. Det følger ikke af lovgivningen, men for at gøre arbejdet operationelt foreslår DI, at cookies opdeles i grøn, gul og rød afhængig af, om de falder i en af nedenstående klasser: Grønne cookies er cookies, som en bruger udtrykkelig har anmodet om, og som er en teknisk nødvendighed for at kunne tilvejebringe en bestemt tjeneste, der fungerer i overensstemmelse med tjenestens formål. Det kan f.eks. være cookies, der bruges til login eller en indkøbskurv. Mange af disse cookies lever kun indenfor en browser session. Denne type cookies er undtaget i lovgivningen. Det betyder, at det ikke er krævet i loven, at der gives information om cookien og indhentes samtykke fra brugerne. Det kan dog betragtes som et pænt træk at give information til brugeren. Gule cookies er cookies, der ikke er nødvendige for, at sitet virker. Disse cookies bruges ofte til at give brugeren en bedre oplevelse eller give information til web-afdelingen om, hvordan brugeren navigerer på siden. Disse cookies deles (som udgangspunkt 1 ) ikke med tredjepartsleverandører. Begrebet tredjepartsleverandører bør i denne sammenhæng anskues fra brugerens synspunkt: Hvis samme virksomhed leverer to eller flere services under hver deres navn, kan det fra brugerens side anskues som to forskellige leverandører (f.eks. en søgemaskine og en webmail). Det kan opfattes som uheldigt, hvis de to services deler informationer om brugerens adfærd på de to services. De gule cookies giver altså ikke en teknisk mulighed for sporing af brugeren på tværs af sites, og dermed kan de ikke bruges til profilering på tværs af sites. Mange af disse cookies lever længere end en browsersession. Denne type cookies er omfattet af lovgivningen. Det betyder, at der skal gives fyldestgørende information om cookien og indhentes samtykke fra brugeren, inden cookien sættes i brugerens terminaludstyr. Herudover skal der være en umiddelbar tilgængelig adgang for brugeren til at afslå eller tilbagekalde samtykke til brugen af cookies. Røde cookies kan udnyttes til udveksling af brugeroplysninger på tværs af sites og oplysningerne tilfalder typisk forskellige tredjeparter. Dermed kan tredjeparter bruge cookies til at profilere i bred forstand. Disse cookies lever længere end en browsersession. Denne type cookies er omfattet af lovgivningen. Det betyder, at der skal gives fyldestgørende information om cookien og indhentes samtykke fra brugeren, inden cookien sættes i brugerens terminaludstyr. Herudover skal der være en umiddelbar tilgængelig adgang for brugeren til at afslå eller tilbagekalde samtykke til brugen af cookies. Desuagtet at det ikke er et lovkrav bør man for alle cookies, der lever længere end en browsersession, fastslå et tidsrum for, hvor længe cookien skal eksistere på brugerens terminaludstyr. Det bør grundig overvejes, om der kan tillades en levetid på mere end 400 dage, svarende til at gæster kan være i kontakt med et site som følge af sæsonudsving f.eks. en bruger der kun er interesseret i et site i en bestemt måned om året. 1 Enhver kategorisering er en forenkling af den virkelige verden. Hvis ejeren af et site har en aftale med en tredjepartsleverandør om, at cookies ikke bruges til andre formål overhovedet end at give sites ejer indsigt i brugerens adfærd, kan en cookie, der i udgangspunktet er rød, måske skønnes til at blive omklassificeret som en gul. Tilsvarende gælder, hvis cookien deles anonymt med en tredjepartsleverandør. Anonymitet må så omfatte både henvisninger til personlige oplysninger og oplysninger om hardware/software, således at hverken person eller udstyr kan profileres.

Vurderingen af hvilke cookies, der placeres på brugerens terminaludstyr, kan være afhængig af det tidspunkt, som man analyserer sine cookies på. Har man et meget levende site, vil der typisk være cookies, der skiftes måske så hyppigt som på daglig basis. Det er virksomhedens ansvar, at alle disse cookies indgår i analysen. For de dele af indholdet, som leveres af en tredjepartsleverandør, kan virksomheden stille krav til denne om, at han skal redegøre for, hvilke cookies han placerer på brugerens terminaludstyr og hvilket formål, de har. Virksomheden kan eventuelt aftale at auditere tredjepartsleverandøren. Er alle cookies nødvendige? Når man har en oversigt over, hvilke cookies der sættes på brugernes terminaludstyr, bør man herefter vurdere, om alle disse cookies faktisk er nødvendige. Der bør tages hensyn til virksomhedens økonomiske interesse: Behøver vi disse oplysninger?. Der bør også tages hensyn til brugernes interesse: Skal jeg virkelig overvåges så meget for at bruge denne service?. De røde cookies bør man have en virkelig god begrundelse for at beholde og alternativt skaffe sig af med dem. Tilvejebringelse af information Er blot en eneste af de cookies man placerer på hjemmesiden gul eller rød, har man en forpligtelse til at informere brugerne om cookies. Det anbefales også, at give brugerne information om cookies, der karakteriseres som grønne. For hver cookie skal der gives informationer om: Med hvilket formål den lagres Hvilken fysisk eller juridisk person der foranstalter lagringen Hvordan man kan afslå eller tilbagekalde samtykke til lagringen Informationerne skal gives på en let forståelig måde evt. som billedskrift. Informationerne skal gives forud for lagringen af en cookie. Informationerne skal til enhver tid kunne tilgås af brugeren. Det anbefales også at give informationer om, hvor længe cookies lagres. Sådan kan man slå cookies fra Er blot en eneste af de cookies man placerer på hjemmesiden gul eller rød, har man en forpligtelse til at lade brugerne vælge, om de vil acceptere cookies. Man har mulighed for at udelukke brugere, der ikke vil acceptere cookies fra hjemmesiden, men det er i de fleste sammenhænge ikke en løsning, der kan anbefales. Grønne cookies er undtaget loven, og de må derfor placeres uden samtykke. Der findes flere forskellige måder at opfylde den forpligtelse på. Hvis man vil være helt sikker på at være i overensstemmelse med lovgivningen, anbefaler DI, at man til enhver tid lægger sig op af den løsning som Erhvervsstyrelsen, der forvalter loven i Danmark, har valgt. Der kan skitseres to forslag til at efterkomme kravene i loven. Disse forslag er netop forslag - og altså ikke en udtømmende liste over mulige måder at gøre det på!

Scenariet ser generelt ud som følger: Når en bruger kommer ind på siden bedes vedkommende tage stilling til, om cookies kan accepteres eller ej. Brugerens stillingtagen lagres i en cookie. Denne cookie er i den klassifikation, der er omtalt i dette notat, grøn. Hvis der siges nej, må der efterfølgende ikke placeres gule eller røde cookies på terminaludstyret. Hvis der siges ja, må der gerne placeres gule og røde cookies på terminaludstyret forudsat at informationsforpligtelsen er opfyldt. Første forslag, til hvordan brugeren kan tage stilling, indebærer, at brugeren præsenteres for en dialogboks, hvori brugeren bedes om at tage stilling. Dialogboksen er permanent synlig, indtil brugeren aktivt har taget stilling ved at klikke ja eller nej, og der sættes ikke cookies, førend man eventuelt har modtaget et samtykke. Et praktisk eksempel på denne type implementering kan i skrivende stund (januar 2013) findes på Erhvervsministeriets hjemmeside: http://www.evm.dk. Andet forslag indebærer, at dialogboksen, hvori brugeren bedes om at tage aktivt stilling, forsvinder efter et klik på siden. Det antages, at ved at have dialogboksen synlig indtil brugeren begynder at anvende siden, er brugeren informeret om, at lagringen vil finde sted fra første klik på siden og har dermed samtykket hertil. Det skal eksplicit fremgå af dialogboksens tekst, hvad der sker. Et praktisk eksempel på denne type implementering kan i skrivende stund (januar 2013) findes på Erhvervsstyrelsens hjemmeside, http://www.erst.dk. Hvis du vil vide mere Erhvervsstyrelsen er myndighed på området og står til rådighed for besvarelse af spørgsmål. Her kan man finde selve bekendtgørelsen, http://erst.lovportaler.dk/showdoc.aspx?docid=bek20111148- full. Man kan også læse mere i Erhvervsstyrelsens vejledning på området, http://www.erhvervsstyrelsen.dk/file/254079/vejledning-cookiebekendtgorelse.pdf. Det skal bemærkes, at der offentliggøres en ny version i første kvartal 2013. Der findes forskellige cookie mærker lavet af forskellige organisationer. Der findes dog ikke en officiel vurdering af, om de bringer virksomheden i overensstemmelse med hele loven. Hvis du er erhvervsvirksomhed kan du tage kontakt til Chefkonsulent Henning Mortensen i DI ITEK, hem@di.dk.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback