KLUMME: Lige nu flyder medierne næsten over med lobby-indsatser for at få EU til at droppe de nye e-privacy-regler og starte helt forfra. Reglerne skulle egentlig have været gennemført sammen med GDPR-reglerne sidste år i maj, men de er efterhånden endt i det, som af erhvervsorganisationerne betegnes som et politisk kaos.
Det er særligt cookie-reglerne, der giver anledning til politiske sværdslag. Reglerne skal strammes, så borgernes privatliv bliver beskyttet bedre, er intentionen, men EU-Domstolen har lige overhalet EU-Kommissionen og EU-Parlamentet indenom.
EU-Domstolen har nemlig lige afsagt en dom, som i hvert fald i Danmark vil blive opfattet som en stramning af cookie-reglerne.
Når man færdes på internettet, er det helt obligatorisk, at man skal igennem en bunke af kliks, før man når frem til det indhold, som man egentlig er ude efter. Mindst ét af kliks’ene skulle gerne handle om cookies, men klikket kom nemt til at forsvinde i mængderne, og uden at man som modtager i den anden ende havde givet samtykke til noget.
Den danske vejledning om cookies indeholder nemlig et carte blanche til, at man kan sende cookies ud til brugerne af en hjemmeside, uden at der skal gives et aktivt samtykke.
Ifølge vejledningen kan den såkaldte viljestilkendegivelse, der skal til, før der er givet et samtykke, også bestå ”aktiv brug af en tjeneste, hvor det må forventes, at brugeren er informeret om, at der vil ske lagring af eller adgang til oplysninger (såfremt dette ikke er afslået)”
Altså selve dette at bruge en tjeneste, hvor man ved, at der sendes cookies fra, kan altså udgøre et samtykke ifølge vejledningen.
De af os, der også rådgav om cookies dengang reglerne blev lavet, ved, hvor store sværdslag der blev slået fra internetindustriens side for at få dette punkt med i vejledningen. Vigtigheden for internetindustriens side af denne mulighed kunne ikke overvurderes, og lobbyarbejdet var enormt.
Selv brugte jeg parkeringsanalogien, som den efterhånden blev kaldt, hvor billedet var, at på samme vis som at man ved parkering på en parkeringsplads reguleret efter privatretlige regler er bundet af de regler, der står på skiltet ved indgangen til parkeringspladsen, er man også ved ”indkørsel” på en hjemmeside bundet af de regler, der er tydeligt markeret ved ”indgangen”.
Problemet med denne analogi, uanset hvor sympatisk den er, er, at da e-privacy-direktivet blev vedtaget, skrev man udtrykkeligt, at brugeren skulle have ”givet sit samtykke”. I tidligere versioner af teksten, var der blot et krav om, at brugeren skulle have ”ret til at nægte” at der blev placeret cookies, men man valgte altså at der nu skulle gives samtykke.
Og nu har EU-Domstolen så endelig taget stilling til kravene til dette samtykke.
EU-Domstolen kommer med tre vigtige pointer i dommen:
1. Et samtykke er ikke gyldigt, hvis man som bruger skal vælge et forudafkrydset felt fra, for at nægte at give sit samtykke. Tavshed, forudafkrydsede felter og inaktivitet kan ikke udgøre et samtykke. Der skal en aktiv handling til.
2. Cookie-reglerne gælder uanset om der behandles persondata eller ej i de cookies, der sendes til brugernes devices, og som anvendes til opsamling af data.
3. Det er et krav, at der i en cookie-politik oplyses om cookiernes funktionsvarighed (eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum) og om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.
EU-Domstolen er meget klar i sin afvisning af det ”passive” samtykke, som ellers accepteres i Danmark. Der skal et AKTIVT samtykke til, hvis man vil bruge andre cookies end de teknisk nødvendige cookies, og det kan ikke være aktivt, hvis man selv skal fjerne et hak i en boks.
Domstolen siger, at det er ”praktisk umuligt objektivt at afgøre, om brugeren af et internetwebsted faktisk har givet sit samtykke til behandlingen af sine personoplysninger ved ikke at fravælge et forudafkrydset felt, og under alle omstændigheder, om dette samtykke er blevet givet på informeret måde”.
Det kan være, at brugeren ikke har set teksten eller ikke har forstået den, og så er der intet samtykke. Forventningen om, at brugeren har set teksten, er ikke nok. Det skal objektivt kunne afgøres, om brugeren har givet sit samtykke.
Så opråbet til alle hjemmesideejere herfra af:
I kan ikke sætte cookies på første sidevisning. Der må ikke placeres én eneste cookie, før I har fået et aktivt samtykke fra den besøgende. Og få så lige gennemgået, om I oplyser om alle de cookies, der sættes via jeres hjemmeside, om deres varighed, om tredjeparters adgang og de få andre krav, der er. Der er masser af gode værktøjer derude, der kan gøre det hele enkelt for jer, så der er ikke andet at sige end: Sæt i gang!
AF HEIDI HØJMARK HELVEG, ADVOKAT (L), PARTNER, INTEGRA ADVOKATER