Fokus på cookieløsninger

Af Marcus Gangdal

​Har din virksomhed styr på reglerne om behandling af personoplysninger om hjemmesidebesøgende (cookies). Det er nemlig vigtigt, at I bruger en lovlig cookieløsning, hvis ikke kan det straffes med bøde. Virksomheder har længe har stået overfor et valg mellem en lovlig cookieløsning og en effektiv cookieløsning. I denne artikel vil vi derfor kort opridse nogle af de løsninger, som vi ved ikke er lovlige, og nogle, der potentielt vil blive underkendt i fremtiden.

Har du styr på kravene til et cookiesamtykke?

Man skal indhente et samtykke fra besøgende på ens hjemmeside, inden man placerer cookies, ud over cookies, der er nødvendige for at en hjemmeside kan fungere.

Kravene til et gyldigt samtykke er netop et område, der har givet og fortsat giver mange udfordringer. Virksomheder, der investerer i online markedsføring, har stor interesse i at kunne placere cookies. Dette for at kunne målrette annoncer så effektivt som muligt.

Niveauet af besøgende på ens hjemmeside, der afgiver et samtykke, er derfor også blevet et direkte konkurrencemeter for mange virksomheder. Den valgte cookieløsning skal derfor have en så høj samtykke-rating som muligt.

Hvad sker der, hvis de samtykker, man indhenter, ikke er lovlige?

En ulovligt sat cookie straffes med bøde. I de fleste tilfælde vil brugen af cookies også være lig med behandling af personoplysninger. Dette fordi der ved brug af cookies ofte opsamles IP-adresser, og IP-adresser som hovedregel anses for at være personoplysninger.

En sådan ulovlig behandling kan straffes efter databeskyttelsesreglerne. Ifølge Datatilsynets nye bødevejledning ved vi, at behandling uden et gyldigt samtykke er en kategori 5 forseelse, der dækker over mere alvorlige overtrædelser.

Bøder er en ting, men mere alvorligt kan det være, hvis de indsamlede samtykker er ugyldige, og en virksomhed tillige mister et kæmpe markedsføringspotentiale.

Lidt baggrundsviden om reglerne

For at man må anvende cookies via ens hjemmeside, skal man indhente et samtykke fra de besøgende, medmindre de satte cookies er nødvendige, for at hjemmesiden kan fungere. For at et samtykke er gyldigt, er der dog en lang række krav, det skal overholde.

Kravene til et gyldigt samtykke er delvist defineret i reglerne om cookies, som findes i e-Privacy direktivet (der i Danmark er implementeret i cookiebekendtgørelsen) samt databeskyttelsesforordningen (GDPR). Planen fra EU’s side var, at bl.a. cookiereglerne skulle være opdateret sammen med databeskyttelsesreglerne i 2018, så der ikke opstod uhensigtsmæssige situationer.

Desværre blev der ikke opnået enighed om, hvordan en ny lov vedr. bl.a. cookies skulle se ud, hvilket har ledt til mange frustrationer i bl.a. markedsføringsindustrien. Den såkaldte e-Privacy forordning, som skulle tage hånd om problemerne, er fortsat ikke faldet på plads.

Det betyder, at vi i dag må se på de gamle regler i e-Privacy direktivet/ cookiebekendtgørelsen, der henviser til kravene til et gyldigt samtykke i databeskyttelsesreglerne, når vi vil bruge cookies.

Nogle konkrete typer af cookieløsninger

• ”Ved at klikke videre accepterer du vores cookies”

Vi støder ofte på cookiebannere, som popper op i på hjemmesiden, og som oplyser, at vi ved at klikke videre på hjemmesiden accepterer brugen af cookies. Denne type løsning er helt åbenbart ikke lovlig. Denne løsning var forud for GDPR accepteret af Erhvervsstyrelsen, men blev underkendt i EU-dommen C‑673/17. Erhvervsstyrelsen har nu ændret praksis og anser ikke længere sådanne løsninger for lovlige.

• ”Accepter alle cookies” eller ”Vis mere”

Den næste type af cookieløsninger er dem, der oftest præsenterer os for 4 mulige typer af cookies, som vi kan acceptere, nemlig nødvendige, præference, statistiske og markedsføringscookies.

I Datatilsynets afgørelse vedr. DMI’s tidligere cookieløsning blev det fastslået, at det ikke var tilladt at gemme disse valgmuligheder bag en ”vis mere”-knap. Med andre ord er det ikke tilladt at lade besøgende blive mødt med valget mellem at acceptere alle cookies eller klikke på en ”vis mere”-knap, for at kunne ændre heri.

• Forudafkrydsede felter

Den næste faldgrube er cookieløsningen, hvor alle felterne er afkrydset på forhånd.

Her kan man enten fravælge de enkelte typer eller blot bekræfte, at de afkrydsede cookies må anvendes. Denne løsning er heller ikke lovlig. Dette blev bl.a. fastslået i EU-dommen C‑673/17. Domstolen henviste til, at et samtykke til cookies ikke er gyldigt afgivet, når cookies tillades ved hjælp af et forudafkrydset felt, som brugeren skal vælge fra for at nægte at give sit samtykke.

• ”Accepter alle cookies” eller ”Accepter udvalgte cookies”

Efter afsigelsen af dommen vedr. forudafkrydsede felter begyndte der at komme nye ”grå-zone” løsninger, hvor kun de nødvendige cookies er obligatoriske og forudafkrydset i overensstemmelse med loven. De øvrige typer cookies kan frit tilvælges.

Når man har afkrydset de cookies, som man vil acceptere, kan man vælge mellem to knapper. Enten kan man tillade de udvalgte cookies (dem man selv satte kryds ved), alternativt kan man tillade alle cookies.

Fidusen her er, at ”Samtyk til alle”-knappen er highlightet, mens den anden er utydelig. De fleste besøgende vil her helt instinktivt klikke på ”Samtyk til alle”. Der har længe været stor debat om, hvorvidt en sådan løsning er lovlig.

Dette forventes da også afklaret, når vi engang får erstatningen til e-Privacy direktivet og cookiebekendtgørelsen. Indtil da er Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet dog kommet med en bemærkning hertil i deres nye ”Quick-guide til at sætte cookies”.

Heri står der, at man ikke må ”nudge brugerne til at samtykke f.eks. gennem knappers størrelse, farve og placering”. Meget tyder derfor på, at disse løsninger også er ulovlige i Datatilsynets øjne.

Hvad kan du gøre?

For at et cookiesamtykke anses for gyldigt, skal den besøgende have kontrollen herover. Det er dog tydeligt at se på de mange forskellige cookieløsninger, at der ikke er klarhed over, hvor grænsen går. Der er fortsat mange spørgsmål, der ikke er afklaret, og som forhåbentligt bliver adresseret i den nye EU-lovgivning. Eksempelvis er det væsentligt, om et samtykke er ugyldigt, hvis man blokerer adgangen til en hjemmeside, indtil den besøgende har taget stilling til brugen af cookies.

Indtil da anbefales virksomheder at gøre sig overvejelser om, hvorvidt det er værd at bevæge sig i en grå-zone, når konsekvensen kan blive en masse tabt arbejde. Afhængigt af omstændighederne kan det også være værd for virksomheder, der køber sig til onlineløsninger, at gennemgå eventuelle kontraktbetingelser, som beskriver, hvem der bærer ansvaret for, at cookieløsningen er lovlig. En bøde kan man ikke overvælte på en leverandør, men det kan ikke afvises, at et erstatningskrav for et evt. tab kan gøres gældende.

Hvis du vil vide mere, er du velkommen til at kontakte Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk.

Læs også vores artikel omkring samtykke til behandling af personoplysninger

Hvad er et databrud?

Der følger af Databeskyttelsesforordningen en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer efter, at man er blevet bekendt med bruddet.

Af Databeskyttelsesforordningens artikel 4, stk. 12 fremgår, at et ”brud på persondatasikkerheden er et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Dette omfatter bl.a. hændelser, hvor der er en risiko for diskrimination, identitetstyveri eller –svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.

I praksis kan databrud inddeles i to overordnede kategorier:

• Tekniske databrud, hvor virksomhedens systemer ikke er tilstrækkeligt sikrede, hvilket eksempelvis kan give anledning til, at udefrakommende får adgang til personoplysninger via hacking.
• Menneskelige databrud, der forårsages af virksomhedens egen håndtering af persondata, eksempelvis ved utilsigtet eller uberettiget videregivelse af personoplysninger til en tredje part eller ved utilstrækkelig sikring af data i forbindelse med uheld, eksempelvis brand og oversvømmelse.

Vær opmærksom på, at selv det, at en taske med tavshedsbelagte oplysninger bortkommer, at der er fejl i rettighedsstyringen i virksomhedens systemer, eller at man ved en fejl sender et brev eller en mail til en forkert modtager kan udgøre er databrud. Desuden kan det forekomme, at der via virksomhedens servere gives utilsigtet adgang til personoplysninger, enten på grund af manglende sikkerhedsforanstaltninger (hvor oplysninger ved en simpel søgning kan findes via internettet) eller ved hacking.

Hvornår skal et databrud anmeldes?

Hvis man som dataansvarlig vurderer, at bruddet ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder – med andre ord ikke påvirker de berørte – kan man undlade at anmelde bruddet til Datatilsynet. Dette kræver dog en

konkret vurdering af hændelsen, herunder en efterfølgende risikovurdering. Det anbefales at lave denne risikovurdering skriftligt, herunder elektronisk, da der er krav om, at den skal kunne dokumenteres. Den kan derudover også udleveres til Datatilsynet ved en eventuel kontrol.

I risikovurderingen indgår som minimum: En vurdering af hvilken type af sikkerhedsbrud, der er tale om (videregivelse, tab, brud på fortrolighed mv.), oplysningernes omfang og art, risikoen for, at den registrerede kan identificeres, konsekvenser for den/de berørte, hvorvidt bruddet omfatter særlige registrerede (børn og andre særligt udsatte) og antallet af berørte.

Hvis et databrud indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ske anmeldelse til Datatilsynet.

Hvis et databrud indebærer en høj risiko for de registrerede, skal disse endvidere underrettes. Hvad der kan betegnes som en høj risiko beror på en individuel konkret vurdering ved hvert databrud. Sandsynligheden for, at bruddet får konsekvenser, samt alvoren af konsekvenserne, kan indgå som parametre i denne vurdering.

Hvordan håndteres databrud i virksomheden?

Det er en god idé, at man som virksomhed processuelt forbereder sig på, hvordan brud på persondatasikkerheden håndteres. Dels fordi der er en tidsfrist for anmeldelse af databrud, dels fordi Datatilsynet kan vælge at kontrollere virksomhedens håndtering af databrud.

Virksomheden kan forberede sig ved at udarbejde en procesbeskrivelse for håndtering af databrud. Det vil bl.a. være relevant at udarbejde et skema til indsamling af relevante oplysninger om bruddet og få beskrevet, hvem der er ansvarlig for at anmelde databruddet til Datatilsynet og underrette de registrerede. Man kan med fordel udarbejde et standardbrev, som kan benyttes til underretning af de registrerede.

Af forordningen fremgår, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne afhjælpende foranstaltninger. Dette kan gøres ved, at der føres en logbog over databrud. Logbogen skal både indeholde de databrud, som anmeldes og de databrud, som ikke vurderes at udgøre en risiko for de registrerede og dermed ikke anmeldes. Logbogen fungerer som dokumentation for, at virksomheden håndterer databrud i henhold til reglerne.

Som databehandler har man en absolut forpligtelse til at underrette den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse. Det er den dataansvarlige, som er ansvarlig for at vurdere bruddet.

Læs mere om databrud i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden her.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller e-mail kmm@hulgaardadvokater.dk 

Af Kristine Mølgaard Mogensen

Selvom det ikke udtrykkeligt fremgår af databeskyttelsesforordningen (GDPR), skal du som dataansvarlig føre kontrol med dine databehandlere.

Hvorvidt et tilsyn skal gennemføres af dig selv eller en uafhængig tredjepart, samt hvor ofte og hvordan tilsynet skal gennemføres, afhænger af en konkret risikovurdering.

Tilsyn med eventuelle underdatabehandlere føres i udgangspunktet af den oprindelige databehandler. Den dataansvarlige har dog en forpligtelse til at sikre sig, at tilsynet løbende føres.

Baggrund

Hvis man benytter databehandlere, skal man som dataansvarlig indgå en databehandleraftale. Af databehandleraftalen skal det fremgå, at databehandleren sikrer sig, at der implementeres et passende niveau af teknisk og organisatorisk sikkerhed i forhold til de data og risici, som behandlingen indebærer. De konkrete sikkerhedsforanstaltninger bør fremgå af databehandleraftalen.

Kravet om at føre kontrol med databehandlere og underdatabehandlere fremgår ikke af en konkret bestemmelse i databeskyttelsesforordningen, men det er Datatilsynets opfattelse, at man for at kunne leve op til ansvarlighedsprincippet skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen, og at den dataansvarlige ikke vil kunne leve op til dette krav ved blot at indgå en databehandleraftale og herefter ikke føre kontrol.

Hvad er ansvarlighedsprincippet?

Ansvarlighedsprincippet henviser til databeskyttelsesforordningens artikel 5, stk. 2, hvoraf det fremgår, at den dataansvarlige er ansvarlig for at kunne påvise, at
de grundlæggende principper for behandling af personoplysninger overholdes.

Hvem skal føre tilsyn?

Som dataansvarlig kan man vælge selv at påse behandlingssikkerheden hos underleverandører, eller man kan vælge at få en ekstern uafhængig tredjepart til at påse behandlingssikkerheden og overholdelse af databehandleraftalen.

Ved kontrollen tages udgangspunkt i de sikkerhedsforanstaltninger, der er aftalt i den indgåede databehandleraftale.

Hvordan skal der føres tilsyn?

Tilsynet med en databehandler kan gennemføres som et fysisk besøg eller som et skriftlig tilsyn baseret på et tilsynsskema.

Ved valget af tilsynsform, vil man skulle tage udgangspunkt i den risikovurdering, der ligger til grund for de implementerede sikkerhedsforanstaltninger. Tilsynsformen afhænger således af den identificerede risiko for de registrerede.

Hvor ofte skal man føre tilsyn med sine databehandlere?

Hyppigheden af tilsyn afhænger ligeledes af den risikovurdering, som den dataansvarlige ved indgåelse af databehandleraftalen har foretaget.

Hvis risikoen for de registrerede er høj, kan det være nødvendigt at påse behandlingssikkerheden hos databehandlere årligt eller halvårligt. Hvis risikoen er lav, kan tilsynet føres med en lavere frekvens.

Skal man også føre tilsyn med underdatabehandlere?

Den oprindelige databehandler skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som dem der gør sig gældende for databehandleren selv. På denne baggrund er Datatilsynets udgangspunkt, at det overlades til den oprindelige databehandler at føre kontrol med egne underdatabehandlere. Den dataansvarlige er dog forpligtet til at sikre sig, at databehandleren fører kontrol med underdatabehandlere.

Kontakt og gratis møde

Hos Hulgaard Advokater har vi erfaring med at føre både fysiske og skriftlige tilsyn med databehandlere og underdatabehandlere, herunder vurdere formen og frekvensen af tilsyn.

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk for en vurdering af dit behov for at føre tilsyn med eventuelle databehandlere eller underdatabehandlere.

Af: Marcus Gangdal

Grundet coronavirussen (COVID-19) er det blevet mere almindeligt at arbejde hjemmefra. Dog må man huske på, at de persondataretlige regler også gælder andre steder end på arbejdspladsen. I dette oplæg vil vi komme med nogle tips til at beskytte personoplysninger fra hjemmearbejdspladsen.

Konkrete tiltag

For arbejdsgivernes vedkommende er det en rigtig god ide at sikre sig, at virksomheden har indført retningslinjer for hjemmearbejde. Herved kan virksomheden sikre, at der også på medarbejdernes hjemmearbejdsplads træffes de fornødne sikkerhedsforanstaltninger, som krævet af databeskyttelsesforordningen. Hvis virksomheden har medarbejdere der regelmæssigt/til tider arbejder hjemmefra, er det vigtigt at have udarbejdet retningslinjer herfor og at medarbejderne får sådanne retningslinjer tilsendt/bliver orienteret herom.
Det er op til den enkelte virksomhed at vurdere hvilke sikkerhedsforanstaltninger, der er behov for. Vi vil imidlertid give nogle eksempler her, målrettet den enkelte medarbejder.

Cloud og netværksadgang

• Sørg for, at du som medarbejder kender processerne for fjernadgang og tester, at de virker (f.eks. VPN, fler-faktor autentifikation osv.)
• Hvor det er muligt, skal du kun bruge den anviste sikre adgang til fagsystemer (VPN, direkte opkobling eller andre sikre services) og overhold organisatoriske regler og procedurer for sky- eller netværksadgang, log-in og datadeling.
• Hvis du arbejder uden cloud- eller netværksadgang, skal du sikre dig, at alle lokalt lag-rede data sikkerhedskopieres tilstrækkeligt på en sikker måde.

Enheder

• Vær ekstra omhyggelig med, at enheder, f.eks. USB’er, telefoner, bærbare computere eller tablets, ikke går tabt eller placeres forkert.
• Sørg for, at enhver enhed har de nødvendige opdateringer, f.eks. operativsystemopdateringer (som iOS eller Android) og software-/antivirusopdateringer.
• Sørg for, at din computer, bærbar computer eller anden enhed bruges på et sikkert sted, f.eks. hvor du kan holde øje med den og minimer, hvem der ellers kan se skærmen, især hvis du arbejder med følsomme personoplysninger.
• Lås din enhed, når du forlader den.
• Sørg for, at dine enheder er slukket, låst eller opbevares omhyggeligt, når de ikke er i brug.
• Sørg for at du bruger effektive adgangskontroller (f.eks. Multifaktor-godkendelse og stærke adgangskoder), og hvor det er muligt, kryptering for at begrænse adgangen til enheden og for at reducere risikoen, hvis en enhed bliver stjålet eller forkert placeret.
• Hvis en enhed mistes eller bliver stjålet, skal du straks tage skridt for at blokere eller slette enhedens indhold, såfremt det er muligt.

E-mails

• Følg alle relevante politikker i din organisation omkring brugen af e-mail, mens du arbejder hjemme.
• Brug din arbejdsmailadresse frem for en evt. personlig mailadresse til arbejdsrelaterede formål, der involverer personoplysninger. Hvis du skal bruge personlig mailadresse, skal du sørge for, at indhold og vedhæftede filer er krypteret, og undgå at bruge personoplysninger eller fortrolige data på emnelinjer.
• Inden du sender en e-mail, skal du sikre dig, at du sender den til den rigtige modtager, især for e-mails, der involverer store mængder af personoplysninger eller følsomme personlige data.

Opmærksomhed på de øgede trusler

Center for Cybersikkerhed har også bemærket, at man bør være opmærksom på det øgede trusselsbillede, hvor kriminelle prøver at udnytte hjemmearbejdende.

Hvis du vil vide mere, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.