Cookie direktivet Hvordan skal kommunerne forholde sig til det? KL s arrangemenet d. 12. december 2012 Af specialkonsulent Karen Gjølbo og fuldmægtig Vibeke Hansen
Program Kort status på gennemførelsen af reglerne i DK Udfordringerne og svar herpå Erhvervsstyrelsens tilsyn Lovgivningen Vejledning version2 EU Praktisk gennemførelse Spørgsmål
Status på gennemførelsen af reglerne i DK Bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr Cookiebekendtgørelsen trådte i kraft 14. december 2011. Vejledning offentliggjort. Bekendtgørelsen implementerer artikel 5, stk. 3, direktiv 2002/58/EF som ændret ved direktiv 2009/136/EF i dansk ret. Direktivændringen i 2009 skyldtes et ønske om at øge beskyttelsen af brugernes privatsfære, når de færdes i en digital verden. Erhvervsstyrelsen er tilsynsmyndighed i Danmark. Hovedparten af danske hjemmesider overholder endnu ikke cookie-reglerne.
Hvorfor er overholdelsen så lille? Branchen udtalelser: Et paradigmeskifte, der grundlæggende bryder med den måde hjemmesider fungerer på. Offentlige hjemmesider lever ikke selv op reglerne. Lovgivningen er uklar og der mangler retningslinjer. Uensartet tilsyn og fortolkning af reglerne indenfor EU.
Hvilke konkrete problemer oplever hjemmesider? En eller flere cookies sættes, inden kravene til information og samtykke er opfyldt. Hvad er fyldestgørende information? Hvordan indhentes brugerens samtykke? 3. part cookies Hvornår er hjemmesiden undtaget for kravene til information og samtykke? Brugernes nej tak til cookies på offentlige hjemmesiders, fx ved brug af selvbetjeningsløsninger.
Erhvervsstyrelsens tilsyn Danske hjemmesider inkl. de offentlige hjemmesider skal overholde lovgivningen. Et paradigmeskifte, der grundlæggende bryder med den måde hjemmesider fungerer på. Erhvervsstyrelsen har valgt at give de danske hjemmesider tid til at omstille sig. Tilsynet består i første omgang i vejledning, udbredelse af viden om forbrugernes rettigheder og fortsat pres for selvregulering. Vejledning version 2. Det vil i første række være de enkelte myndigheders eget ansvar at føre tilsyn med overholdelsen af reglerne. Den 23. maj 2012 sendte Erhvervsstyrelsen et orienteringsbrev til samtlige ministerier, regioner og kommuner for at gøre opmærksom på de nye regler. Politianmeldelse og bøder?
Lovgivningen
De tre trin Information Samtykke Lagring af eller adgang til oplysninger i en brugeres terminaludstyr
E-databeskyttelsesdirektivets artikel 5, stk. 3, direktiv 2009/136/EF Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen...
E-databeskyttelsesdirektivets artikel 5, stk. 3, direktiv 2009/136/EF på engelsk Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing
Ændring af direktivbestemmelsen 2002/58/EF Informationskrav 2009/136/EF Informationskrav Samtykkekrav Bemærk venligst den tidsmæssige forskydning i direktivet. Den danske version: abonnenten eller brugere har givet sit samtykke hertil efter at have modtaget Den engelske version:..the subscriber or user concerned has given his or her consent, having been provided with...
Forudgående samtykke EU-Kommissionen er enig i den danske fortolkning. Article 29 Data Protection Working Party Opinion 2/2010 on online behavioural advertising, s. 13 It follows from the literal wording of Article 5.(3) that: i) consent must be obtained before the cookie is placed and/or information stored in the user's terminal equipment is collected, which is usually referred to as prior consent and ii) informed consent can only be obtained if prior information about the sending and purposes of the cookie has been given to the user. In this context, it is important to take into account that for consent to be valid whatever the circumstances in which it is given, it must be freely given, specific and constitute an informed indication of the data subject s wishes. Consent must be obtained before the personal data are collected, as a necessary measure to ensure that data subjects can fully appreciate that they are consenting and what they are consenting to. Furthermore, consent must be revocable. Informations Commissioner s Office (UK) Guidance on the rules on the use of cookies and similar technologies afsnit om `prior consent. [UK anerkender, at der er problemer med at overholde rækkefølgen].
Cookie-bekendtgørelsen Bekendtgørelsens 3, stk. 1. Fysiske eller juridiske personer må ikke lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnå adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysningerne. Samme rækkefølge som i direktivet Information Samtykke Lagring af eller adgang til oplysninger i en brugeres terminaludstyr
Fyldestgørende information Af bekendtgørelsens 3, stk. 2, fremgår de krav, der som minimum skal være opfyldt, før informationen kan siges at være fyldestgørende.
Fyldestgørende information 1. Informationen fremstår i et klart, præcist og letforståeligt sprog eller tilsvarende billedskrift. 2. Information om formålet med lagringen af eller adgangen til oplysninger i brugerens terminaludstyr. 3. Informationen der identificerer enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne. 4. en umiddelbart tilgængelig adgang for brugeren til at afslå samtykke eller tilbagekalde samtykke til lagring af eller adgang til oplysninger samt en klar, præcis og letforståelig vejledning om, hvordan brugeren anvender en sådan adgang. 5. Informationen er umiddelbart tilgængelig for brugeren ved samlet og tydeligt at blive meddelt denne samt vedvarende tilgængelig for brugeren ved en direkte og tydeligt markeret adgang på den pågældende tjeneste.
Eksempel på information
Indhentning af samtykke Samtykke er defineret i bekendtgørelsens 2, stk. 1, nr. 8: Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved slutbrugeren indvilliger i, at der lagres oplysninger eller opnås adgang til allerede lagrede oplysninger i slutbrugerens terminaludstyr.
Indhentning af samtykke Viljestilkendegivelse En viljestilkendegivelse kan være mange ting, herunder eksempelvis: Afkrydsning af en boks, Klik på en knap Udfyldelse af en formular Aktiv brug af en tjeneste, hvor det må forventes, at brugeren er informeret om, at der vil ske lagring af eller adgang til oplysninger (såfremt dette ikke er afslået jf. 3, stk. 2, nr. 4)
Eksempel på samtykke
Eksempel på aktivt samtykke
Eksempel på samtykke
Undtagelser 4, stk. 1 indeholder 2 undtagelser 1) Lagring af eller adgangen til oplysninger alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet. - Eks. opkobling til Internettet 2) Lagringen af eller adgangen til oplysninger er påkrævet for at sætte tjenesteudbyderen af en informationssamfundstjeneste, som slutbrugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste. - Eks. Indkøbskurve
Undtagelser Bekendtgørelsens 4, stk. 1, nr. 2 har et bredere anvendelsesområde end nr. 1. For at være omfattet af undtagelsesbestemmelsen skal to krav være opfyldt. For det første skal brugeren udtrykkeligt have anmodet om tjenesten. For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr være påkrævet.
Undtagelser Guidelines Vejledningen version 2 Artikel 29 gruppens udtalelse fra juni 2012 Ikke juridisk bindende Kategorisering af cookies Funktioner og formål
Undtagelser 1. krav : Udtrykkeligt anmodet om sitet baggrunden for brugerens besøg aktiv handling kan det understøttes i teksten på sitet? Eks. husk mig eller gem
Undtagelser 2. krav: Anvendelsen af cookie er påkrævet 4, stk. 2 : Lagring af eller adgang til oplysninger i en slutbrugers terminaludstyr er påkrævet, jf. stk. 1, nr. 2, hvis lagringen af eller adgangen til oplysninger er en teknisk forudsætning for at kunne levere en tjeneste, der fungerer i overensstemmelse med tjenestens formål Service skal ikke kunne fungere uden brug af cookie Alle formål skal være undtaget
Undtagelser Eksempler Indkøbskurv, on-line booking og log-ins Identifikationscookies Sikkerhedsindstillinger Multimedia player session cookies Brugerdefinerede indstillinger sprog/søgepræferencer Del sociale medier
Vejledning version2 Erhvervsstyrelsen anerkender behovet for yderligere vejledning på området. Modtager en del henvendelser. Vil adressere udvalgte problemstillinger. Alene tale om en opdatering af vejledningen. Version2 forventes offentliggjort primo 2013.
EU Erhvervsstyrelsen er i dialog med Europa-Kommissionen for at fremme en ensartet fortolkning og håndhævelse i medlemslandene, så danske hjemmesider ikke stilles ringere end hjemmesider i udlandet. Erhvervsstyrelsen holder sig orienteret om udviklingen i de øvrige EU-lande og udveksler erfaringer med en række andre medlemslande fx UK, Holland, Sverige og Finland.
Praktisk gennemførelse Læs vejledningen, der indeholder inspiration til processkridt version 2 vil indeholde flere eksempler Erhvervsstyrelsen besvarer konkrete spørgsmål vedrørende lovgivningen. Få kortlagt brug af cookies Kan cookies dækkes af simple kategorier til formålsbeskrivelsen? Gør det let for brugeren at tage stilling ja, eller nej til cookies
Spørgsmål