Cookie-reglerne gælder også ved "device fingerprinting"
Artikel 29-gruppen har i en ny udtalelse taget stilling til, hvorvidt cookiereglerne også gælder for device fingerprinting, eftersom et stigende antal virksomheder i stedet for traditionelle cookies anvender device fingerprinting til at tracke internetbrugere og brugere af apps mv.
Device fingerprinting er indsamling af oplysninger om en computer, smartphone eller andre devices med det formål at identificere det pågældende device. Indsamlingen af oplysningerne vil typisk ske i forbindelse med brugerens besøg på en hjemmeside, hvor der for at besøge hjemmesiden og få vist denne i korrekt format, gives oplysninger via eksempelvis Javascript eller Flash. Teknikken kan anvendes, selvom cookies er slået fra på brugerens device. Oplysningerne, der i denne forbindelse afgives, kan være tilstrækkelige til, at det er muligt at identificere og tracke devicet. Til forskel fra traditionelle cookies, lagres der ikke nye oplysninger på brugerens device eller opnås adgang til de nye oplysninger. Derfor har der været tvivl om, hvorvidt device fingerprinting er omfattet af cookiereglerne og hovedreglen om krav om samtykke.
Artikel 29-gruppen har i sin nye udtalelse gjort det klart, at cookiereglerne skal iagttages ved brugen af device fingerprinting, hvorfor der stilles krav om samtykke. Device fingerprinting bruges dog typisk også til at sikre, at hjemmesiden vises i korrekt format og med korrekt indhold i forhold til brugerens type af device (computer, smartphone etc.). I det omfang device fingerprinting udelukkende bruges til at levere hjemmesiden i korrekt format mv., kræves der efter cookiereglerne dog ikke samtykke.
Set i forhold til ordlyden af cookiereglerne i Direktiv 2002/58 (e-privacy direktivet) er udtalelsen "markant", idet den i nogle tilfælde også synes at omfatte data, der hverken lagres eller tilgås på brugerens device, hvilket ellers er betingelsen for at reglerne udløses. Et endegyldigt svar udestår fortsat. Plesner anbefaler derfor, at man som virksomhed udarbejder en cookie-politik, når man bruger device fingerprinting til andre formål end at levere en tjeneste til brugerne. Endvidere skal man være opmærksom på, at de oplysninger, som indsamles via såvel cookies som device fingerprinting, kan udgøre personoplysninger, hvorfor de persondataretlige regler i disse tilfælde også skal iagttages ved håndteringen af de indsamlede oplysninger.
Du kan finde artikel 29-gruppens udtalelse her.
