Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012 Af Kontorchef Brian Wessel
Program Status på gennemførelsen af reglerne i DK Udfordringerne og svar herpå Erhvervsstyrelsens tilsyn Eksempler EU Spørgsmål
Status på gennemførelsen af reglerne i DK Bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr Cookiebekendtgørelsen trådte i kraft 14. december 2011. Vejledning offentliggjort. Bekendtgørelsen implementerer artikel 5, stk. 3, direktiv 2002/58/EF som ændret ved direktiv 2009/136/EF i dansk ret. Direktivændringen i 2009 skyldtes et ønske om at øge beskyttelsen af brugernes privatsfære, når de færdes i en digital verden. Erhvervsstyrelsen er tilsynsmyndighed i Danmark. Hovedparten af danske hjemmesider overholder endnu ikke cookie-reglerne.
Hvorfor er overholdelsen så lille? Offentlige hjemmesider lever ikke selv op reglerne. Lovgivningen er uklar og der mangler retningslinjer. Et paradigmeskifte, der grundlæggende bryder med den måde hjemmesider fungerer på. Uensartet tilsyn og fortolkning af reglerne indenfor EU.
Hvilke konkrete problemer oplever hjemmesider? En eller flere cookies sættes, inden kravene til information og samtykke er opfyldt. Hvad er fyldestgørende information? Hvordan indhentes brugerens samtykke? Hvornår er hjemmesiden undtaget for kravene til information og samtykke? 3. part cookies
Eksempel på 3. part cookies Deling af indhold
Erhvervsstyrelsens tilsyn Danske hjemmesider skal overholde lovgivningen. Et paradigmeskifte, der grundlæggende bryder med den måde hjemmesider fungerer på. Erhvervsstyrelsen har valgt at give de danske hjemmesider tid til at omstille sig. Tilsynet består i første omgang i vejledning, udbredelse af viden om forbrugernes rettigheder og fortsat pres for selvregulering. Vejledning version 2. Politianmeldelse og bøder?
Lovgivningen
E-databeskyttelsesdirektivets artikel 5, stk. 3, direktiv 2009/136/EF Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen...
E-databeskyttelsesdirektivets artikel 5, stk. 3, direktiv 2009/136/EF på engelsk Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing
Ændring af direktivbestemmelsen 2002/58/EF Informationskrav 2009/136/EF Informationskrav Samtykkekrav Bemærk venligst den tidsmæssige forskydning i direktivet. Den danske version: abonnenten eller brugere har givet sit samtykke hertil efter at have modtaget Den engelske version:..the subscriber or user concerned has given his or her consent, having been provided with...
Forudgående samtykke Article 29 Data Protection Working Party Opinion 2/2010 on online behavioural advertising, s. 13 It follows from the literal wording of Article 5.(3) that: i) consent must be obtained before the cookie is placed and/or information stored in the user's terminal equipment is collected, which is usually referred to as prior consent and ii) informed consent can only be obtained if prior information about the sending and purposes of the cookie has been given to the user. In this context, it is important to take into account that for consent to be valid whatever the circumstances in which it is given, it must be freely given, specific and constitute an informed indication of the data subject s wishes. Consent must be obtained before the personal data are collected, as a necessary measure to ensure that data subjects can fully appreciate that they are consenting and what they are consenting to. Furthermore, consent must be revocable. Informations Commissioner s Office (UK) Guidance on the rules on the use of cookies and similar technologies afsnit om `prior concent. [UK anerkender, at der er problemer med at overholde rækkefølgen].
Direktivbestemmelsen, som ændret ved 2009/136/EF Information Samtykke Lagring af eller adgang til oplysninger i en brugeres terminaludstyr
Cookie-bekendtgørelsen Bekendtgørelsens 3, stk. 1. Fysiske eller juridiske personer må ikke lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnå adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysningerne.
Eksempel på informationskravet
Eksempel på informationskravet
Eksempel på aktivt samtykke
Eksempel på aktivt samtykke
EU Erhvervsstyrelsen er i dialog med Europa-Kommissionen for at fremme en ensartet fortolkning og håndhævelse i medlemslandene, så danske hjemmesider ikke stilles ringere end hjemmesider i udlandet. Erhvervsstyrelsen holder sig orienteret om udviklingen i de øvrige EU-lande og udveksler erfaringer med en række andre medlemslande fx UK og Holland. Selvregulering og Top 100 (UK) og Top 25 (NL).
Spørgsmål