Få styr på de nye cookieregler

Nye cookieregler pr. 14. dec 2011. Læs, hvordan din virksomhed undgår at bryde de nye regler.

D. 14. december 2011 trådte den nye EU-lovgivning, e-databeskyttelsesdirektivet, omhandlende cookies i kraft. Det betyder, at din virksomhed fremover skal sørge for at jeres hjemmesidebesøgende kan tage aktivt stilling til om de ønsker at benytte cookies på hjemmesiden eller ej.

Får I adgang til en besøgendes terminaludstyr eller lagrer fil på dennes computer, smartphone eller tablet så er I altså forpligtet til at oplyse om dette, samt hvad der lagres og hvorfor. Der er dermed indført nye krav til indhentning af samtykke fra jeres besøgende i forbindelse med lagring eller adgang til oplysninger i deres terminaludstyr. Har din organisation styr på cookiereglerne?

Gælder reglerne for mig?

De nye regler gælder for alle, der lagrer eller opnår adgang til oplysninger i en brugers terminaludstyr. Det vil sige alle organisationer, der anvender cookies eller lignende teknologier. I behøver dog ikke selv stå for den praktiske og tekniske efterlevelse af reglerne, men kan vælge, at 3. part håndterer dette på jeres vegne. Ansvaret for, at reglerne overholdes, vil dog i følge direktivet altid ligge hos jer som udbyderen af tjeneste, uanset hvad I måtte have aftalt med 3. part.

Hvilke teknologier drejer det sig om?

Bekendtgørelsen er teknologineutral. Derfor gælder reglerne ikke kun ved lagring eller adgang til oplysninger i jeres brugeres terminaludstyr, der finder sted når de er på internettet. Reglerne er nemlig også i kraft ved lagring eller adgang til oplysninger fra eksterne medier som fx USB-nøgler, CD’er, CD-ROM’er, eksterne harddiske eller lignende. Bekendtgørelsen angår på samme måde også enhver form, format, standard og teknologi oplysninger lagres i samt alle former for virus, spyware, malware, webbugs, beacons såvel som andre skjulte identifikationsmekanismer, der lagres eller tilgås i brugeres terminaludstyr.

Hvilke oplysninger er omfattet?

Bekendtgørelsen vedrører alle former for af oplysninger, der lagres eller opnås adgang til i en brugers terminaludstyr, uanset om der er tale om semantisk meningsfulde oplysninger, uforståelige tekststrenge, kode, eller om oplysningerne er krypterede. Kort sagt er reglerne gældende for alle oplysninger, som I får adgang til, uanset om de er brugbare for jer eller ej.

Et kort indblik i de nye krav til information og samtykke

Herunder kan I se nogle af de krav der stilles til information og samtykke ved lagring af eller adgang til oplysninger i jeres brugeres terminaludstyr:

  • I må ikke lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret i jeres besøgendes udstyr, eller lade 3.part (f.eks. Bleau) lagre oplysninger eller opnå adgang til oplysninger, hvis ikke dine besøgende har givet sit samtykke til dette, efter de har modtaget en fyldestgørende information om lagringen eller adgangen til oplysningerne
  • Fyldestgørende information er information, der som minimum:
    • er beskrevet i et letforståeligt sprog, der oplyser om formålet med lagringen eller adgangen
    • oplyser om alle og alt, der foranstalter lagringen eller adgangen
    • giver den besøgende mulighed for at acceptere, afslå eller tilbagekalde samtykke til lagringen og adgangen og desuden letforståeligt og tilgængeligt vejleder den besøgende om disse muligheder
    • Desuden skal information i forbindelse med lagring af eller adgang til oplysninger i den besøgendes udstyr være konstant tilgængelig for den besøgende med en direkte og tydeligt markeret adgang på den informations og indholdstjeneste.

Vejledningen til de nye cookie-regler kan I se her. Der er dog to undtagelser til ovenstående krav, som I finder I vejledningen under §4.

Et ønske om selvregulering

I den danske fortolkning af EU-reglerne er der dog er der skabt plads til, at branchen selv kan justere og i vejledningen beskriver at: ”De danske regler tegner, sammen med denne vejledning, en ramme eller et mulighedsrum, hvor tjenesteudbydere kan arbejde med at finde løsninger, der passer til deres konkrete kontekst. Tjenesteudbyderne selv vil have de bedste forudsætninger for at kunne tilvejebringe nye, innovative og brugervenlige løsninger, der øger gennemsigtigheden og brugerkontrollen”.

Hermed lægger direktivet op til en form for selvregulering, hvor din organisation selvfølgelig skal følge de helt grundlæggende regler (beskrevet ovenfor), men giver på samme tid mulighed for at tilpasse jeres løsning indenfor de fastsatte rammer. I forbindelse med selvregulering har Europa-Kommissionen tilkendegivet, at den som minimum ser følgende elementer inkluderet i selvregulering på området:

  • Information og gennemsigtighed omkring hvad der sker i brugernes terminaludstyr
  • Indhentning af samtykke på en passende måde
  • Brugervenlige løsninger
  • Effektiv håndhævelse, herunder 
  • En forståelig og enkel klageadgang for brugerne,
  • Troværdigt tilsyn med 3.part(er)
  • Effektive saktionsmuligheder

4 råd fra Den danske telemyndighed

Den danske telemyndighed har opstillet fire gode råd til helt grundlæggende tommelfingerregler, som I kan anvende til at undersøge, vurdere og handle på jeres brug af cookies:

  • Undersøg, hvordan jeres tjeneste lagrer eller tilgår oplysninger i brugernes terminaludstyr
  • Undersøg om de oplysninger, der eventuelt lagres eller tilgås, er nødvendige
  • Undersøg om jeres tjenestes lagring af eller adgang til oplysninger er undtaget i kravene til information og samtykke
  • Beslut jer for, hvordan I giver brugerne fyldestgørende information og indhenter samtykke

I kan læse en uddybende beskrivelse af rådene i vejledningen.

Og hvad sker der hvis jeg ignorerer de nye cookie-regler?

Ifølge vejledningen vil Den danske telemyndighed føre tilsyn med, at reglerne i bekendtgørelsen overholdes en manglende efterlevelse af reglerne i bekendtgørelsen kan straffes med en bøde.

Udgivet:
21. december 2011
Tags:
Større digital forretningsforståelse? Kontakt os i dag