Cookievejledningen

Teknologier som husker, at brugeren er logget ind på en tjeneste og sikrer, at brugeren fortsætter med at være logget ind. Ligeledes teknologier som anvendes til at sikre mod (gentagne) fejl ved login.

Teknologier som husker de varer, som brugeren har tilføjet til indkøbskurven, imens brugeren navigerer rundt på tjenesten.

Indstillinger, som brugeren selv aktivt har valgt, f.eks. valg af sprog, skriftstørrelse eller land. Det kan også være levering af f.eks. skrifttyper fra tredjeparter. Det forudsætter dog, at de oplysninger, som tredjeparten herigennem indhenter fra brugeren kun bruges til at levere skrifttyperne og ikke f.eks. anvendes til at spore brugeren på tværs af hjemmesider og platforme.

Teknologier, som anvendes til at bekræfte brugerens identitet på tjenester med begrænset adgang.

Teknologier, som anvendes til at allokere brugere til en specifik server for at balancere adgangen til en tjeneste. 

For at samtykke kan anses for at være givet frivilligt, må adgangen til din tjeneste eller til funktionerne på din hjemmeside eller app som udgangspunkt ikke være betinget af brugerens samtykke.

Du kan i visse tilfælde anvende såkaldte cookie walls, hvis du giver brugerne et alternativ til at give samtykke. Det afgørende er, om brugeren tilbydes et tilfredsstillende alternativ. Ved brug af betaling som alternativ skal du i din vurdering af alternativet være opmærksom på følgende fire kriterier. Du skal sikre, at: 

• Alternativet er rimeligt
• Alternativet har en rimelig pris
• Du kun indsamler personoplysninger til de formål, der er nødvendige for at modsvare betaling fra brugeren
• Der ikke behandles yderligere personoplysninger, end hvad der er nødvendigt, for at tjenesten kan leveres i de tilfælde, hvor brugeren betaler for adgang til tjenesten.

Det første kriterie om, at alternativet skal være rimeligt, indebærer, at tjenesten i vidt omfang skal være tilsvarende, uanset om brugerne giver samtykke eller betaler for at få adgang til tjenesten.

Det andet kriterie om, at prisen skal være rimelig, indebærer, at du ikke må fastsætte en urimelig høj pris for betalingsalternativet. Du er dermed ikke afskåret fra at tilbyde adgang mod betaling som alternativ til samtykke, men prissætningen må ikke være så høj, at brugernes valgfrihed i praksis bliver illusorisk. Du har et vidt skøn ved fastsættelsen af det specifikke beløb, så længe brugerne i praksis har et reelt valg.

Det tredje kriterie, om at behandlingen skal være begrænset til det nødvendige for at modsvare betaling indebærer, at du skal kunne påvise, at alle de formål, som du indhenter samtykke til, udgør en nødvendig del af betalingsalternativet. Hvis du vurderer, at behandling til flere formål ikke er nødvendig, skal du gøre det muligt for brugerne at give særskilt samtykke til disse formål.

Ofte er det brugernes samtykke til behandling af personoplysninger i markedsføringsøjemed, der udgør den ønskede fordel for virksomheden. I så fald er det kun samtykke til dette formål, der er en nødvendig del af alternativet til adgang mod betaling.

Efter det fjerde kriterie må du som udgangspunkt kun behandle de oplysninger, der er nødvendige for, at du kan levere din tjeneste. Det kan f.eks. være, at leveringen af tjenesten forudsætter oprettelse af en konto eller brugerprofil. Hvis brugerne har betalt for adgang til din tjeneste, må du som udgangspunkt ikke behandle oplysninger til flere formål end det, der er nødvendigt for, at tjenesten kan leveres. Det kan f.eks. være personalisering eller markedsføring. Det udelukker dog ikke, at brugerne – også i disse tilfælde – kan beslutte efterfølgende at give samtykke til behandling af sine oplysninger til disse formål.

Enhver form for disproportionalt pres på eller påvirkning af brugernes frie vilje kan medføre, at samtykket er ugyldigt. Du skal derfor være omhyggelig i dine overvejelser om, hvordan du beder om samtykke. Du bør f.eks. ikke presse dine brugere til at afgive samtykke ved gentagne gange at præsentere dem for muligheden for at acceptere brugen af sporingsteknologier under deres besøg på din hjemmeside eller app. Du skal også være påpasselig med at bruge et sprog eller forklaringer, der presser brugerne i retning af at give samtykke.

Brug af forskellige farver ved valg af responsknapper kan også efter omstændighederne påvirke brugerne til at foretage bestemte valg. Særligt vil bestemte farvevalg kunne udgøre en form for nudging, ligesom knapper, der går i et med baggrunden, kan påvirke brugernes valg. Sådanne designs vil efter omstændighederne være i strid med cookiebekendtgørelsen. 

Du har en betydelig designmæssig frihed med hensyn til layout og indhold, så længe det ikke fører til uigennemsigtighed eller urimelige situationer for brugerne.

Granularitet er et væsentligt element i vurderingen af, om et samtykke er frivilligt. Granularitet indebærer, at brugerne skal have mulighed for at give særskilt samtykke til forskellige formål.

Ønsker du at behandle oplysninger til flere formål, må brugerne dermed ikke tvinges til at give samtykke til samtlige formål.

Du skal under alle omstændigheder identificere dig selv. Hvis der er tale om virksomhedens eller myndighedens egen hjemmeside eller tjeneste, vil identiteten ofte være indlysende.

Integrerer du indhold fra tredjeparter på din tjeneste, skal du også identificere og informere om disse (navngivne) tredjeparter.

Du skal også informere brugerne om formålene med indsamling og behandling af oplysninger. Det er ikke tilstrækkeligt kun at oplyse, at der sker indsamling, registrering eller anden behandling af oplysninger.

Du skal i den forbindelse sikre, at brugerne har let ved at forstå, hvilke(t) formål der anmodes om samtykke til, ligesom det skal være tydeligt, hvilke type(r) af personoplysninger der behandles til de(t) specifikke formål.

Samtidig med at du indhenter samtykke, skal du også informere om, at samtykket kan trækkes tilbage. Er brugerne ikke informeret om retten til at trække samtykke tilbage, vil samtykket ikke være gyldigt.

Brugerens alder og modenhed spiller en væsentlig rolle i forhold til evnen til at give et gyldigt samtykke. Børn nyder en særlig beskyttelse, og den dataansvarlige er pålagt at foretage en konkret vurdering af, om barnet er tilstrækkeligt moden til at forstå de risici og konsekvenser, der kan være forbundet med indsamlingen af data. Som udgangspunkt vil et barn fra og med 15 år på egne vegne kunne give et gyldigt samtykke.

I visse tilfælde kan der være tale om, at din samarbejdspartner kun handler på dine vegne og efter din instruks. Det kan f.eks. være tilfældet, hvis du har antaget en virksomhed til at hjælpe dig med at generere besøgsstatistik på din tjeneste. I givet fald er du fortsat ansvarlig, da din samarbejdspartner handler på dine vegne. Oftest vil du indgå en kontrakt der fastlægger, hvilke krav samarbejdspartneren skal overholde i jeres indbyrdes relation.

Hvis du derimod udliciterer driften af din hjemmeside til en hostingvirksomhed, som hoster hjemmesiden på dine vegne, vil der typisk være tale om en såkaldt databehandlerkonstruktion.

Det kan også være, at du herudover ønsker, at analyseværktøjet også skal drives af en anden ekstern virksomhed, der har flere kompetencer i denne henseende. Det kunne f.eks. være et analysebureau.

Der kan dog også være tale om, at du er fælles ansvarlig sammen med dine samarbejdspartnere for at overholde reglerne. Det er tilfældet, hvis I i fællesskab fastlægger ”formål og hjælpemidler”, dvs. i fællesskab beslutter, hvorfor der skal indsamles og behandles oplysninger samt hvordan.

Det vil f.eks. ofte være tilfældet, hvis du integrerer indhold fra tredjeparter f.eks. fra sociale medier, indholdsudbydere og lignende på din tjeneste.

Hvor du og en eller flere tredjeparter i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan oplysningerne skal behandles (hjælpemidlerne), vil der være tale om såkaldt fælles dataansvar.

Det nærmere dataansvar skal fastlægges med udgangspunkt i samarbejdet mellem dig og udbyderen af det pågældende plug-in, som du har på din tjeneste. Ansvarsfordelingen skal analyseres på grundlag af de særlige betingelser for samarbejdet med udbyderen af det pågældende plug-in, som kan fremgå af serviceaftalerne.

I praksis – og navnlig ved brug af større leverandører af it-standardprodukter – er en gennemgang af leverandørens servicevilkår et godt sted at starte. På den måde kan du danne dig et overblik over, hvad det er for et analyseværktøj, som du har med at gøre.

Du skal i denne forbindelse være særligt opmærksom på, om leverandøren forbeholder sig retten til at behandle personoplysningerne til egne formål, hvilket kan være en integreret del af produktet. Hvis dette er tilfældet, kræver det nøje analyser, før brug af produktet kan ske lovligt.

Fordelingen af jeres roller og ansvarsområder kan ske i hovedaftalen på baggrund af jeres generelle aftaleretlige forpligtelser. Det skal dog ske på en gennemsigtig måde, så det er fuldstændigt klart for brugerne, hvor de skal henvende sig, hvis de vil gøre deres rettigheder gældende. I skal derfor gøre den ”ordning”, der ligger til grund for samarbejdet, tilgængelig for brugerne.

Du skal derfor gøre dig en række overordnede overvejelser – ideelt i dialog med leverandøren, f.eks. en udbyder af plug-ins – om, hvordan de forskellige forpligtelser og rettigheder for brugerne vil blive håndteret af jer.

For at kunne fastlægge dit konkrete ansvar skal du først og fremmest vide, hvilke sporingsteknologier du benytter på din tjeneste. Du kan med fordel starte med at spørge udvikleren af din tjeneste, hvilke cookies og lignende teknologier tjenesten er ”født med”, herunder som følge af eventuelle plug-ins.

Når du ved hvilke sporingsteknologier, der benyttes på tjenesten, har du et bedre udgangspunkt for at fastlægge, hvilken rolle du og eventuelle andre parter indtager. Det er vigtigt, at du løbende får lavet en analyse af, hvilke cookies og lignende teknologier, der er integreret på din tjeneste. Når du f.eks. integrerer et plug-in fra et socialt medie, følger der normalt cookies og lignende teknologier med. Det kan derfor være en god idé løbende at scanne din tjeneste i takt med, at du implementerer nye funktionaliteter eller ændrer på din tjeneste, så du kan danne dig et overblik over hvilke cookies, pixels eller lignende, der benyttes.