Ændring af cookiebekendtgørelsen

Nuværende problem

Den danske implementering af EU reglerne om information og samtykke ved lagring eller adgang til informationer i slutbrugers terminaludstyr er gennemført ved ”Cookiebekendtgørelsen”, der trådte i kraft december 201[1].

Formålet med reglerne er at præcisere, hvordan de erhvervsdrivende skal leve op til reglerne om, at brugerne af computere, smartphones og andet terminaludstyr, skal informeres og give samtykke til den erhvervsdrivende og i visse tilfælde tredjeparters anvendelse af cookies.

Tillid og gode forbrugerforhold er forudsætningen for at drive forretning. Det er afgørende for virksomhederne, at forbrugerne føler sig trygge, når de handler på nettet og Dansk Erhverv deler i det lys formålet med cookie-reglerne. Men udformningen af denne regel er misforstået, idet den ikke giver den tilsigtede forbrugerbeskyttelse, men til gengæld udgør en byrde for virksomhederne og et irritationsmoment for forbrugerne.

Som reglerne er udformet i dag skal brugerne aktivt samtykke til, at den erhvervsdrivende må anvende og placere cookies på brugernes terminaludstyr. Et krav, der i praksis er til gene for såvel erhvervsdrivende som brugere. Forbrugerne bliver igen og igen bedt om at klikke ”jeg accepterer cookies” hver gang de besøger en hjemmeside, og de erhvervsdrivende påføres administrative byrder og omkostninger ved at indrette deres hjemmesider efter bekendtgørelsen.

Berørte virksomheder

Alle danske virksomheder, myndigheder, foreninger samt alle andre, der lagrer eller opnår adgang til oplysninger i brugernes terminaludstyr fx computere og smartphones.

Forslag

Det foreslås, at kravet om udtrykkeligt samtykke ophæves, således at brugerne ikke hver gang de tilgår en hjemmeside skal acceptere, at der anvendes cookies. I stedet skal det være tilstrækkeligt, at ejeren af hjemmesiden eller den, der lagrer oplysninger på brugernes terminaludstyr skal informere om, at der anvendes cookies samt hvilke typer. Disse oplysninger skal brugerne af hjemmesiderne nemt kunne tilgår fx ved, at de placeres samme med informationerne om, hvem ejeren af hemmesiden er og ikke er længere end ”et klik” væk.

[1] Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, EF-tidende 2002, nr. L108, s. 51, som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse, EF-tidende 2009, nr. L337, s. 11.

Besvaret oktober 2017.

Forslaget gennemføres i mindre grad.

Regeringen anerkender den problemstilling, som Virksomhedsforum rejser. De nuværende cookieregler, som er en del af den europæiske lovgivningsramme for databeskyttelse, har vist sig mindre velegnede til at opnå formålet om kontrol med private oplysninger end ventet.

Reglerne er begrundede i en reel bekymring om privatlivsbeskyttelse på internettet, men er ikke tilstrækkeligt nuancerede, idet virksomheder og borgere hver gang skal samtykke til, at en given hjemmeside anvender cookies.

Der har tidligere været lagt op til at forenkle de danske cookie-regler indenfor for de gældende EU-rammer. I januar 2017 fremlagde EU-kommissionen imidlertid et forslag til en ny e-databeskyttelsesforordning 2017. Forslaget dækker bl.a. cookies og vil erstatte det gældende e-databeskyttelsesdirektiv. I forslaget er der lagt op til at ”cookie-reglen” videreføres, men lempes for så vidt angår cookies, der bruges til at indsamle statistik. Herudover åbner forslaget op for muligheden for, at brugernes samtykke gives via browserindstillinger, i det omfang dette er teknisk muligt. Sidstnævnte vil gøre det lettere for fx hjemmesideejerne, der herefter ikke selv skal indhente et udtrykkeligt samtykke fra brugerne, når denne tilgår hjemmesiderne. Til gengæld vil der påhvile et ansvar på udbydere af browsere og andre applikationer, der giver adgang til internettet.

E-databeskyttelsesforordningen skal træde i kraft i maj 2018 sammen med den nye persondataforordning.

De danske cookie-regler vil derfor blive justeret som en del af den nye e-databeskyttelsesforordning, der er under forhandling. Regeringen vil i den forbindelse arbejde for, at cookiereglerne generelt bliver mindre byrdefulde for erhvervslivet.

Forslaget forventes gennemført i mindre grad i 2019.

Europa-Kommissionen har i januar 2017 fremlagt forslag til en ny e-databeskyttelsesforordning, der bl.a. regulerer anvendelsen af cookies.

Den nye e-databeskyttelsesforordning indeholder som noget nyt i forhold til det gældende e-databeskyttelsesdirektiv en bestemmelse om, at statistik-cookies undtages fra kravet om forudgående samtykke. E-databeskyttelsesforordningen vil erstatte det gældende e-databeskyttelsesdirektiv, hvilket betyder, at de gældende danske cookieregler ophæves og erstattes af forordningens regler.

Ifølge forslaget skulle e-databeskyttelsesforordningen træde i kraft i maj 2018 sammen med den nye databeskyttelsesforordning (GDPR). Forslaget er dog fortsat under forhandling. Regeringen arbejder i den forbindelse for, at de fremtidige cookieregler generelt bliver mindre byrdefulde for erhvervslivet.