Gemt

Endelig: Nu kan du sætte statistik-cookies uden samtykke

19. oktober 2021

Erhvervsstyrelsen har meddelt, at styrelsen i fremtiden ikke vil prioritere tilsynet med, om hjemmesider indhenter samtykke til cookies til simpel statistik, når følgende betingelser er opfyldt: Oplysningerne indsamles til hjemmesideejerens eget brug, der bygges ikke brugerprofiler af de besøgende, og oplysningerne videregives ikke til 3. part.


Siden Datatilsynet i foråret 2020 strammede kravene til indhentelse af samtykke til cookies og personoplysninger, har op mod halvdelen af alle besøgende i danske netbutikker afvist alle cookies.

”Det er et stort problem, for det betyder, at netbutikker og andre med en tilstedeværelse på nettet har mistet vigtig indsigt i, hvordan brugerne anvender hjemmesiden. Og samtidig har håndhævelsesmyndighederne i flere andre EU-lande undladt at kræve samtykke til statistik-cookies, så de danske virksomheder har set, at deres konkurrenter ikke skulle følge samme regler,” forklarer Carsten Rose Lundberg, fagchef for digital handel i Dansk Erhverv.

Dansk Erhverv har derfor flere gange i samarbejde med Danske Medier opfordret Erhvervsstyrelsen til at tillade cookies til statistik uden samtykke. Senest har vi i Dansk Erhverv rejst spørgsmålet i regeringens EU- og regelforum.

”Det var derfor også med stor glæde, at vi modtog Erhvervsstyrelsens meddelelse om, at styrelsen i fremtiden ikke vil prioritere tilsynet med, om hjemmesider opfylder oplysningskravet og indhenter samtykke til cookies til simpel statistik,” siger Carsten Rose Lundberg, som dog understreger, at følgende betingelser skal være opfyldt for at indhente statistik-cookies:

  • Oplysningerne indsamles til hjemmesideejerens eget brug
  • der bygges ikke brugerprofiler af de besøgende
  • oplysningerne videregives ikke til 3. part.

Den nye E-privacy forordning, som er på vej, tillader cookies mv., der er nødvendige for hjemmesideejerens egen måling af besøgende på siden, uden at der kræves samtykke. Styrelsens udmelding tager altså glæderne på forskud.

Læs mere hos Erhvervsstyrelsen

Hvad betyder Erhvervsstyrelsens seneste udmelding?

Cookiebekendtgørelsen er ikke ændret. Kravet om indhentelse af forudgående samtykke til cookies og lignende teknologier, bortset fra teknisk nødvendige cookies, gælder derfor principielt stadig.

Erhvervsstyrelsens udmelding om, at de ”ikke vil prioritere tilsynet” med hjemmesiders indhentelse af samtykke til egen statistik, betyder formentlig, at de ikke vil håndhæve cookiereglerne i forhold til cookies til egen statistik, hvis betingelserne for deres beslutning om ikke at prioritere tilsynet i øvrigt er opfyldt. Det svarer til at cookies til simpel statistik optræder under ”nødvendige cookies.”

Fagbladet Journalisten har spurgt Erhvervsstyrelsen, hvordan den nye udmelding skal forstås og har fået følgende svar:

”Danske medier og hjemmesideejere i Danmark generelt er stadig underlagt reglerne i cookiebekendtgørelsen og GDPR. Erhvervsstyrelsen vil dog i en tilsynssag ikke forholde sig til simple statistikcookies, og det vil kunne have betydning for, hvordan danske medier og andre hjemmesideejere kan gennemføre trafikmålinger. Tilsynet vil i stedet fokusere på forhold, såsom brugerens mulighed for at afslå indsamling af data, der kan bruges til at bygge en brugerprofil.”

Hvornår sker der videregivelse til 3. part?

De fleste websideejere bruger eksterne systemer til at ”måle” de besøgendes adfærd. Virksomhederne bag sådanne eksterne systemer behandler oplysningerne på vegne af websideejeren og ikke til egne formål. I sådanne tilfælde betragtes 3. parten som databehandler, og der skal indgås en databehandleraftale.

Der er efter vores opfattelse ikke tale om en ”videregivelse” i den situation. Det harmonerer også med forslaget til ny e-privacy forordning, der tillader websideejere at sætte cookies til egen statistik uden samtykke, selvom målingen udføres af en databehandler, når betingelserne i databeskyttelsesforordningens artikel 28 er opfyldt.

Vi har modtaget mange spørgsmål om, hvorvidt Google Analytics kan indstilles til at overholde Erhvervsstyrelses krav til cookies til simpel statistik. Det er vores umiddelbare vurdering, at det er muligt. Vi vil vende tilbage til det spørgsmål i næste uge.

GDPR – behandling af personoplysninger

Placering af en cookie og læsning af en cookie på kundens device er omfattet af cookiereglerne. Den efterfølgende behandling af de oplysninger, der er indhentet, skal opfylde kravene i GDPR, hvis der er tale om personhenførbare oplysninger, fx et unikt ID.

Det betyder bl.a. at der skal være et ”behandlingsgrundlag”.

Datatilsynet og Erhvervsstyrelsen skriver i deres cookiekvikguide:

”I visse situationer kan det ikke udelukkes, at der efter GDPR kunne være andre retlige grundlag for behandling af de personoplysninger, der evt. indsamles i forbindelse med cookies, end samtykke – f.eks. kontrakt, offentlig myndighedsudøvelse eller interesseafvejning. Det kræver en konkret vurdering af formål, videregivelse m.v. af personoplysninger for at fastslå, hvilket retligt grundlag der kan anvendes, men oftest er samtykke det rette grundlag.”

Behandling af oplysninger til statistik formål er efter vores opfattelse en ”legitim interesse”. Jo mindre indgribende behandlingen er for den registrerede (den besøgende på hjemmesiden) desto mere taler for, at interesseafvejningsreglen kan bruges som behandlingsgrundlag.

Interesseafvejningsreglen kan efter vores vurdering (i hvert fald) anvendes som behandlingsgrundlag, ved måling af den besøgendes færden på siden, hvis

  • Der ikke indsamles flere oplysninger end nødvendigt til opfyldelse af formålet (egen statistik).
  • Oplysningerne pseudonymiseres ved indhentelsen.
  • Der ikke er tale om følsomme oplysninger som fx oplysninger om helbred og seksualitet,
  • Personhenførbare oplysninger ikke videregives
  • Personoplysninger udelukkende anvendes i aggregeret form.

Helt anonymiserede oplysninger er ikke personoplysninger.

Læs Erhvervsstyrelsens nyhed

Danske netbutikker i cookie-nødråb: Vi ser spøgelser · Dansk Erhverv - Digital Handel (fdih.dk)

 

Kontakt os

Digital Handel

Tina Morell

Chefkonsulent
Digital Handel

Carsten Rose Lundberg

Fagchef for digital handel