Cookies: Som vi nu nok alle er bekendt med, har Databeskyttelsesforordningens ikrafttrædelse medført en række ændringer i alle virksomheders dagligdag. En væsentlig ændring, som vedrører alle virksomheder, men som mange glemmer, er, at der nu er større fokus på, at cookies indsamles med et gyldigt samtykke.
OPDATERET Februar 2020: Det belgiske datatilsyn har for nyligt udstedt en bøde på €15.000 til et mindre nyhedsmedie, der netop ikke havde styr på cookie-politik og opt-in. Datatilsynet har ligeledes udtalt en alvorlig kritik af DMIs brug af cookies. Af afgørelserne kan man drage nogle konklusioner som vi lægger til grund for, hvordan vi vejleder vores kunder om brug af cookies:
1. Det skal være lige så nemt at sige nej som at sige ja til cookies. Altså: Der skal være en “nej tak” knap på din cookie-banner.
2. Du må ikke bruge cookies før du har fået et samtykke (undtaget nødvendige cookies).
3. Du skal indsamle et aktivt samtykke. Dvs. det er ikke nok med “hvis du bruger den her hjemmeside accepterer du at…”
4. Man skal kunne skelne imellem de forskellige cookies og afvise/acceptere brug af disse kategorier(statistik, præferencer, markedsføring).
5. Du skal til enhver tid kunne ændre eller trække dit samtykke tilbage. På en nem måde.
6. Anvendelsen af cookies skal være transparent. Den skal fx være på dansk, hvis en del af dit klientel er danske.
—
Dobbelt arbejde med cookies? Nej tak
Det udeblevne fokus fra mange virksomheders side på cookie-politikker skyldes sandsynligvis, at den nye ePrivacy-forordning forventes at træde i kraft i 2019, som netop også vedrører behandlingen af cookies. Derfor kan man forestille sig, at mange virksomheder – for at undgå dobbeltarbejde – først vil begynde at opdatere deres cookieindstillinger, når ePrivacy-forordningen træder i kraft.
Cost-benefit
Problemet med dette er, at databeskyttelsesforordningen har gjort det ulovligt at anvende cookies, der sporer brugernes IP-adresser, før et samtykke er blevet indhentet. Dette betyder, at alle virksomheder, der har ventet med at ændre deres behandling af cookies og politikker for samme, kan risikere at få den helt store bøde jf. Databeskyttelsesforordningens art. 83, stk. 5.
Da bøden skal vurderes jf. art. 83, stk. 2, vil mindre virksomheder have mindre at frygte i denne sammenhæng, da den skade der kan forvoldes, vil være langt mindre i forhold til, hvis det drejede sig om en større virksomhed. Derimod vil større virksomheder – simpelthen på grund af deres størrelse og det ansvar, der følger hermed – kunne pålægges en større bøde. Dette bør være et tilstrækkeligt incitament til at overveje, om man ikke burde få tilpasset cookie-politikken med det samme, i stedet for at vente på ePrivacy-forordningen.
På vej, men ikke i mål
Kristoffer Jørgensen fra Version 2 henviser i denne artikel til en undersøgelse, der er udført af Filip Wallberg Lektor i Journalistik på SDU. Artiklen beskriver en undersøgelse af, hvordan mængden af cookies hos syv af Danmarks store nyhedssider har været i perioden før GDPR (11. maj), lige efter (27. maj), og et stykke tid efter ikrafttrædelsen (29. og 30. august). Artiklen konkluderer, at mens en række virksomheder er gået i den rigtige retning, er der stadig lang vej igen.
Rosiner eller chokolade?
Skal vi lave en analogi med et sprødt islæt, så kan vi opdele cookies i to typer: De gode med chokolade, og de væmmelige med rosiner. Sidstnævnte er de cookies, der kan være problematiske, fordi de fx sporer brugernes IP-adresser, og hvis de ikke håndteres korrekt, kan det resultere i en bøde. Modsætningen til rosin-cookies er de lækre og problemfri chokoladecookies, som hverken sporer brugernes IP-adresser eller bruges til markedsføring eller statistiske formål.
Hvis I vil vide, om typen af cookies, jeres virksomhed anvender, er fulde af rosiner eller chokolade, kan I læse nærmere om de forskellige typer af cookies her.
Hvis jeres virksomhed har brug for rådgivning omkring efterlevelse af databeskyttelsesforordningen (GDPR) og cookie-politikker, så kan vi hjælpe. Kontakt os på 33 11 81 00 eller kontakt@udvikling.dpo-danmark.dk
