Accepterer du cookies?

Som ejer af en hjemmeside skal du være klar over, at det er lovpligtigt at oplyse om, hvad du opsamler af information om dine gæster, og hvad du bruger den til. Overtrædelse kan medføre bødestraf.

For at kunne genkende de besøgende gemmer hjemmesider ofte en id-kode på gæstens computer i form af en såkaldt 'cookie'. Reglerne for privatlivsbeskyttelsen omtales derfor som cookieregler. Men lovgivningen er faktisk ligeglad med, hvilken konkret teknik du bruger. Det overordnede er at du:

  • Oplyser fyldestgørende om brugen af indsamlede data og metoderne hertil.
  • Anbringer denne information - eller et link til den - synligt og tydeligt på alle sider.
  • Indhenter samtykke fra de besøgende.

Det man især ønsker at bekæmpe fra EUs side, hvor reglerne har sit ophav, er at

  • Information udveksles mellem forkellige websteder.
  • Identifikation af en bruger på et websted kan føre til identifikation af bruger på andre websteder.
  • Browseres indbyggede beskyttelse mod dette brydes af webstederne

Denne tracking af brugernes internetbesøg kan lade sig gøre ved brug af for eksempel tredie parts cookies og Flash Shared Objects. Leverandører af annoncesystemer kan sammenkøre data og få et rigtigt godt billede af forbrugsmønstre og tilbyde dine slutkunder målrettede annoncer.

Cookies bruges til meget andet på en hjemmeside end at snage i folks browservaner. De er temmelig nyttige, når der skal e-handles, dates og bruges netbank m.v. Cookies, som er vigtige for en hjemmesides specifikke drift, er derfor undtaget reglerne om samtykke. Brugeren skal selvfølgelig konkret efterspørge den pågældende service.

Det er Erhvervsstyrelsen, der har tilsynet med loven, men det er op til de enkelte brancher eller ejere af hjemmesider at finde på de gode løsninger. Det har skabt stor utilfredshed, at man selv må bekoste tekniske løsninger, som senere kan vise sig at være i strid med direktivet. Reglerne er på samme tid skrappe og løse.

Oplys fyldestgørende

Det er den vigtigste del af reglerne. Du er nødt til at have en side, der beskriver, hvad du samler ind, og hvad du bruger det til - og hvordan gæsten kan undgå registreringen.

Du skal især være opmærksom på, at du måske selv betjenes af trediepartsleverandørers komponenter eller services, der bruger cookies til dataindsamling. Det er dit ansvar og din pligt at den information også præsenteres for dine gæster.

Tydelig markering

Cookiepolitikken må ikke gemmes væk. Licensregler og politikker er kedelige designelementer, men det går ikke at pakke dem væk. Et link til informationen skal være umiddelbart tilgængeligt for gæsten, når siden åbnes på en normal skærm.

Der tegner sig klart to linier i praksis på dette punkt. Enten ignorer man fuldstændigt kravet til privatlivspolitik, eller også får den hele armen med farvede bannere, der glider ind, op eller ned over sidens normale indhold.

Det sidste er, efter min private mening som bruger, irriterende. Jeg kan endda opleve ved næste besøg igen at møde hele cookie-showet. Det pågældende websted ved åbenbart ikke, at man gerne må bruge en cookie til at huske en framelding med.

Det evindelige accept-klikkeri bliver automatisk adfærd, og dermed bliver vi døve overfor det, der oprindeligt var hensigten med direktivet fra EU.

COOP har et ikon, der trækker information ind, når musen rører det.

Der er ikke rejst sager og dermed ikke faldet domme eller afgørelser på området. Erhvervstyrelsen vil lade de enkelte brancher udstede vejledninger og holde justits. Det er altså dit valg, udfra din branches vejleding, om du vil følge cookie-popup metoden eller blot have et simpelt men tydeligt link.

En serie links i en footer
I bunden af siderne finder vi cookiereglerne som et diskret link hos Dansk Erhvervs hjemmeside.

Accept eller Ikke-accept

I følge vejledningen skal en gæst give sit samtykke til den anonyme registrering.

Spørgsmålet er, hvor aktivt det samtykke skal være. Hvis brugeren klikker videre efter en advarsel, er det så nok? Eller skal brugeren aktivt klikke ja eller nej? Eller hvad med en kombination?

Bruger du siden, accepterer du cookies. Take it or leave it, fra Amino.dk

Parkerings-modellen

Hvis du er en privatperson eller privat virksomhed, har du lov til at betinge, brugen af din hjemmeside kræver accept af cookies. Du kan altså melde at, gæsten er uønsket og må forlade siden. Denne passive accept kaldes Parkeringsplads modellen. Hvis du har læst skiltet på en parkeingsplads og bliver holdende, så accepterer du vilkårene og indgår en kvasiaftale med ejeren. Kan du ikke lide vilkårne, må du blot køre væk igen med det samme.

Med EU forordningen af 14.03.2016 om persondata præciseres det at denne metode ikke er lovlig. Brugerne skal give eksplicitet accept. Forodningen blev dansk lov i 2018.
 
Bemærk at erhversstyrelsens vejledning på dette punkt ikke er opdateret medio 2019.

Formodet accept med framelding

Langt de fleste hjemmesideejere ønsker, at brugerene bliver på siden. Et salg er dog alligevel bedre end en registrering. Så de fleste vælger en løsning, hvor siderne kan besøges, uden at tracking er gjort aktivt for den enkelte kunde. Det er alligevel ganske få personer, der vælger fra i praksis.

Ved formodet accept med framelding går webstedet udfra, at gæsten gerne vil acceptere trackingcookies og slår først dette fra, når gæsten aktiv vælger det fra. Det svarer til en venlig udgave af P-modellen, hvor den virkelige accept ligger i at ignorere 'Nej tak'-knappen..

Et eksempel på formodet accept med framelding fra Danske Bank, hvor samtykke sker gennem brugerens egen handling.
Systemet husker valget til næste gang.

Tilmelding

Ved reel tilmelding skal brugeren klikke på en 'Accept' eller 'OK'-knap for at tilmelde sig. Indtil brugeren gør dette, vil siderne ikke tracke brugeren, selvom der bladres videre. Denne metode er meget sjældent brugt.

NYT: EU arbejder på et regulativ, hvor tilmelding sker i selve browserens opsætning, så vi undgår alle disse cookie-beskeder. Ordningen gælder 3. parts cookies (se info boks) dvs cookies, der ikke er nødvendige for webstedets drift.

Håndhævelse af cookiereglerne

Ved P-modellerne sker det ofte, at den første cookie sættes allerede ved ankomsten til siden og dermed inden gæsten kan sige fra. Denne mangel på forudgående samtykke er teknisk set det letteste, men er på kant med reglerne. Det er dog interessant at læse Erhvervsstyrelsens udtalelse til Version2 (17.04.15):

Erhvervsstyrelsen oplyser, at man i udgangspunkt er enig i fortolkning om samtykkekravet. Styrelsen vil dog ikke håndhæve kravet om forudgående samtykke og opfatter det derfor ikke som et brud på reglerne, hvis cookies sættes før samtykke. I stedet fokuserer styrelsen på, om brugeren får tydelig information, om hvilke cookies der bliver sat.

 Eksperter på området og EU deler ikke denne danske fortolkning, der formodes at blive opdateret inden 2020.

 

Tekst: Ole Klintebæk
Illustration : Steff © 2015, Steffs Galleri