Webinar: Opdatering på cookieområdet

Plesner Persondata team afholder i regi af LegalHub fredag den 12. november 2021, kl. 12.00-13.00, et fagligt webinar med fokus på cookieområdet, herunder Erhvervsstyrelsens nyeste udmeldinger og Datatilsynets nye afgørelse på området.

Bemærk: Webinaret er afholdt. Se oversigt over vores aktuelle seminarer/webinarer. 

Nyt fra Erhvervsstyrelsen på cookieområdet

Erhvervsstyrelsen har i løbet af de seneste par uger været på banen hele to gange vedrørende cookieområdet.

Den 12. oktober 2021 meldte Erhvervsstyrelsen ud, at man vil gennemføre en række emnebaserede tilsyn på cookieområdet. Tilsynene vil tage udgangspunkt i de udvalgte hjemmesiders risikoprofiler, herunder om den pågældende hjemmeside indebærer en særlig risiko for at krænke borgere.

De hjemmesider, som er eller kan blive omfattet af tilsynet, er:

  • Hjemmesider på sundhedsområdet  
  • Statslige og regionale hjemmesider, herunder de offentlige digitale obligatoriske selvbetjenings-løsninger
  • De 100 mest besøgte danske hjemmesider  

Du kan genlæse Erhvervsstyrelsens nyhed her.

Den 15. oktober 2021 meldte Erhvervsstyrelsen så ud, at man fremadrettet ikke vil prioritere tilsynet med hjemmesiders anvendelse af cookies til brug for simpel statistik. Dette skal ses i lyset af, at der på nuværende tidspunkt formelt set ikke er hjemmel til at undtage sådanne cookies fra samtykkekravet i cookiebekendtgørelsen, der implementerer det nuværende ePrivacy direktiv.

Erhvervsstyrelsen begrunder udmeldingen med, at forhandlingerne om en fremtidig ePrivacy forordning går i retning af at undtage sådanne cookies fra det nuværende samtykkekrav.

Erhvervsstyrelsens udmelding er på linje med lignende udmeldinger fra andre europæiske tilsynsmyndigheder, herunder det irske og franske datatilsyn, og begrænser sig til kun at omfatte cookies og lignende teknologier, der indsamler statistik til hjemmesideejerens egen brug, fx i form af trafikmåling,

a) når dette ikke bygger en brugerprofil af den besøgende, og

b) hvor data ikke gives videre til en tredjepart.

Du kan genlæse Erhvervsstyrelsens nyhed her.

Nyt fra Datatilsynet vedr. behandling af persondata i forbindelse med cookies

Selvom der i Danmark er særlovgivning på cookieområdet, er det vigtigt at huske på, at GDPR og databeskyttelsesloven også finder anvendelse for behandling af persondata indsamlet via cookie-teknologi. De almindelige krav om saglighed, nødvendighed og proportionalitet, behandlingsgrundlag, oplysningspligt, databehandlere og tredjelandsoverførsler, gælder derfor også, hvis oplysningerne udgør persondata.

Datatilsynet har således i flere omgange været på banen med kritik af hjemmesiderejeres behandling af persondata om hjemmesidebesøgende, herunder i den velkendte DMI-afgørelse, som også har dannet udgangspunkt for Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende.

Senest har Datatilsynet i en ny afgørelse, som blev offentliggjort den 20. oktober 2021, udtalt kritik og alvorlig kritik af en hjemmesideejers behandling af persondata om hjemmesidebesøgende forbundet med hhv. hjemmesideejerens gamle og nye samtykkeløsning til brug for at sætte cookies og den hertil tilknyttede behandling af persondata.

Det er i denne forbindelse værd at bemærke, at Datatilsynet udtalte alvorlig kritik af hjemmesideejerens nye samtykkeløsning, da denne tillod, at der blev sat cookies til brug for statistik og markedsføring uden forudgående samtykke, hvorfor der også blev behandlet persondata til disse formål uden gyldigt samtykke, jf. GDPR art. 4, nr. 11.

I øvrigt havde hjemmesideejeren ikke handlet i overensstemmelse med princippet om gennemsigtighed, da de hjemmesidebesøgende ifølge Datatilsynet ikke havde mulighed for at orientere sig om og forholde sig til den behandling af persondata, der fandt sted på hjemmesiden.

Du kan genlæse hhv. nyheden om afgørelsen her og selve afgørelsen her.

Derudover har Datatilsynet den 26. oktober 2021 udsendt en nyhed, hvor Datatilsynet specifikt kommenterer på Erhvervsstyrelsens udmelding om ikke at ville prioritere tilsynet med hjemmesiders anvendelse af cookies til brug for simpel statistik.

Datatilsynet er ganske skarpe i retorikken og understreger, at GDPR og databeskyttelsesloven, herunder de almindelige krav om saglighed, nødvendighed og proportionalitet, behandlingsgrundlag, oplysningspligt m.v. - desuagtet Erhvervsstyrelsens udmelding - fortsat finder anvendelse i det omfang der indsamles og behandles persondata om hjemmesidebesøgende, hvilket også gør sig gældende for persondata, der behandles til brug for statistik.

Som hjemmesideejer bør man især være opmærksom på, at de persondataretlige krav om behandlingsgrundlag og oplysningspligt ikke berøres af Erhvervsstyrelsens udmelding, hvorfor man som hjemmesideejer fortsat skal finde en løsning herpå, hvis man ikke længere vil søge at indhente  samtykke til brug for simple statistik cookies og den hertil tilknyttede behandling af persondata.

Du kan læse Datatilsynets nyhed her.

Slutteligt bør man som nævnt fortsat være opmærksom på, at den EU-retlige baggrund for kravet om samtykke til at bruge cookies til brug for simpel statistik juridisk set er uændret, hvilket vil være tilfældet indtil vedtagelsen af en fremtidig ePrivacy forordning.

LegalHub-webinar: Opdatering på cookieområdet

Plesner Persondata team afholder i regi af LegalHub fredag den 12. november 2021, kl. 12.00-13.00, et fagligt webinar med fokus på cookieområdet, herunder Erhvervsstyrelsens nyeste udmeldinger og Datatilsynets nye afgørelse på området.

Der vil i denne omgang være tale om et åbent webinar, hvor ikke-abonnenter på LegalHub også vil have mulighed for at deltage.

Du kan tilmelde dig webinaret her

Hvis du har spørgsmål til Erhvervsstyrelsens nyeste udmeldinger eller Datatilsynets nye afgørelse på området, kan du altid række ud til vores eksperter på området.

Seneste nyt om Persondata

Persondata